缓冲区溢出之JMP ESP皮毛

最新推荐文章于 2020-11-16 19:59:10 发布
最新推荐文章于 2020-11-16 19:59:10 发布
阅读量870 收藏 1
点赞数
分类专栏: 基础 文章标签: windows dll 任务 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/donghaima/article/details/3793545
版权

Windows下执行一个函数,会把指向正在运行的指令的地址压入堆栈,也就是寄存器EIP的值。当函数执行完毕,会让该数据出栈,以便程序继续原路运行。

      

       如果这个函数有8个CHAR的局部变量,也压入堆栈。堆栈是从内存高地址向低地址分配的,如果这8个CHAR是放置用户输入的数据,并且如果没有检查长度的话,可能会覆盖掉高地址的记录EIP的值,如果这个值是一个非法地址,当函数返回时,Windows就会跳出致命错误的对话框,说某某地址不可读等等。

     

       但是如果我们精心构造一个有效的地址,让Windows以为这就是它先前压入栈的EIP的值,而这个地址有是指向我们要获得系统权限的ShellCode,那会怎样呢?

 

       假设我们这样构造用户输入:

       [8个任意CHAR]+[替代EIP的地址]+[SHELLCODE]

       这些都会被写入栈中,并且替代的EIP地址覆盖掉原来的地址。

 

       如果我们能想办法让[替代EIP的地址]的指令变是指向[SHELLCODE]就完美了。

      

       我们发现当函数返回时,取出[替代EIP的地址]后,堆栈指针向高地址移4个字节,正好指向我们的[SHELLCODE],也就是说如果我们能找到[替代EIP的地址]是指向JMP ESP指令的,任务就完成了。

 

       我们知道WINDOWS运行一个程序会分配给它4G虚拟内存,其中要装载很多固定基本的DLL,我们不难找到有指向JMP ESP指令的地址,通过相关工具,把这个地址写到我们的代码中就OK了。

donghaima
关注
专栏目录
shellcode 之 JMP ESPJMP EBX
06-30 3561
堆栈溢出在我们exploit时常用到,利用其一般方式是:JMP ESPJMP EBX; 昨天有一“同学”问我关于JMP EBX详细的问题,所以在此介绍一下:1 JMP ESP函数调用后的堆栈结构:    L    L -> child program of Local variable    L -> 一般情况下此处保存的ebp    R -> EIP for ret
本地缓冲区溢出
qq_43717119的博客
06-22 910
本地缓冲区溢出 【实验目的】 1、掌握缓冲区溢出的基本原理; 2、熟练利用jmp.egp指令实现缓冲区溢出; 3、掌握缓冲区溢出的危害及其防范手段。 【实验环境】 登录Linux靶机环境,在无root权限的情况下,通过编译运行程序,利用本地缓冲溢出,达到获取root权限的目的。 备注:使用Linux靶机作为本地环境。 【实验预备知识点】 本小节利用如下的一段程序来说明本地缓冲区溢出的工作原理: void function (char *str) { char buffer [16]; strcpy (buf
读0day第三章开发shellcode艺术Jmp esp
chengkou8481的博客
05-27 210
环境:XPsp2中文版 老规矩,上代码 (代码来自0day2电子资料->02栈溢出原理与实践->2_4_overflow_code_exec.c) /*******************************************************...
万能jmp esp
gxustudent的专栏
07-22 1163
0x7ffa4512(JMP ESP),据说2000, xp, 2003下通用.
JMP ESP =>SEH(CALL EBX)
Yatere的天平秤
01-23 1615
首先你要知道怎么利用JMP ESP的方式 其利用格式是ORS,这里O=NOP,R=RET(jmp esp的地址),S=ShellCode。就是把缓冲区一直覆盖成NOP(空指令,什么都不做),直到原来的EIP位置时,J JMP ESP,紧跟后面才是我们的ShellCode。  这种方式执行到ShellCode的原理:正常情况下,函数返回时,RET,等于POP EIP,即回复原来PUSH的EIP
缓冲区溢出(栈溢出)实验 之 JMP ESP
大头的博客
07-27 9752
3、缓冲区溢出JMP ESP 本文属于原创,如有错误请指正。其中引用他人的部分已经标出,如涉及版权问题请联系本人 这里不得不讲一讲JMP ESP的原理了,在实验之前我一直没看懂他是如何试下跳转ESP之后回到栈区执行我们的shellcode的。在实验中你仔细观看会发现随着函数栈的销毁ESP是在变化的,JMP ESP正式利用这种变化,将我们精心准备的shellcode执行。   JMP ES...
jmp espjmp ebx:缓冲区溢出的转换技巧
`jmp esp`到`jmp ebx`的转换是缓冲区溢出攻击技术的一个重要方面,涉及到对程序执行流程的精细控制和对目标系统特性的深入理解。通过这种方式,攻击者能够适应不同的安全环境,有效地实施攻击。学习和掌握这些技术,...
缓冲区溢出利用实验(详细步骤)
02-23
由于程序的运行机制,假设利用 strcpy()函数进行字符串... 核心:1、函数执行到返回地址时:esp+4 2、64 位的应用程序会加载 System32 目录下的 user32.dll 3、利用 use32.dll 段中的 jmp esp 指令跳转至 shellcode
练习二-缓冲区溢出.doc
11-29
通过对程序的逐步调试,可以找出正确的前导码长度,`jmp esp`地址,以及构建有效的shellcode,以实现本地缓冲区溢出并达到预期的效果,例如弹出对话框。 总之,缓冲区溢出是一个复杂的安全问题,需要对程序的内存...
Q版缓冲区溢出教程Pdf版
04-27
- 应用:在缓冲区溢出攻击中,通过精心构造的数据可以使得程序执行`jmp esp`指令,从而跳转到攻击者控制的内存区域执行恶意代码。 3. **寻找`jmp esp`地址的方法** - 方法概述:通过遍历特定DLL文件的内存区域来...
JMPESP.rar_jmp_jmp esp_jmp9.02 crack_shellcode_sp3 jmp esp
09-24
获取jmp esp地址程序,shellcode编写需要用到
栈溢出 利用jmp esp绕过栈帧移位
Misaka10046的博客
09-16 588
实验代码 #include<stdio.h> #include<windows.h> #define PASSWORD "1234567" int verify_password(char *password) { int authenticated; char buffer[44]; authenticated = strcmp(password,PASSWORD); strcpy(buffer,password);//overflowed return authenti
jmp esp执行shellcode
Sakura给爷pwn全场
11-16 279
关于 [栈溢出后jmp esp执行shellcode] 原理分析: http://www.mamicode.com/info-detail-2506484.html
栈溢出利用-----jmp esp
qq_41683305的博客
02-14 1051
通过jmp esp利用栈溢出,首先我们要找出jmp esp 的地址,因为系统不同,通用jmp esp的地址可能不同,下面的代码是找出jmp esp的地址的: #include<windows.h> #include<iostream.h> #include<tchar.h> int main() { int nRetCode=0; bool we_load_i...
exploit - windbg - find "jmp esp"
Nixawk
06-20 2281
Demo Program: Easy RM to MP3 Converter Demo Platform: Windows XP SP3Exploit StackOverflowFinal exploit code as follow:#!/usr/bin/env python # -*- coding: utf8 -*-with open("windbg_crash.m3u", "w") as
栈溢出学习(二)之 jmp esp & return2libc
Pz_mstr's Blog
03-22 3256
前言 栈溢出学习(二),针对一个例子,进行各种栈溢出技术的练习。本文内容承接栈溢出学习(一) 本文属于新手实验难度,过程比较详细,适合新手学习 样例代码 本文使用的代码如下 #include <stdio.h> #include <stdlib.h> #include <string.h> /* * compiled with: * gcc -...
shellcode 之 JMP ESPJMP EBX [转载]
turbocc 因程序而激情
08-19 876
shellcode 之 JMP ESPJMP EBX 2010-04-02 10:32堆栈溢出在我们exploit时常用到,利用其一般方式是:JMP ESPJMP EBX;<br />昨天有一“同学”问我关于JMP EBX详细的问题,所以在此介绍一下:<br /><br />1 JMP ESP<br />函数调用后的堆栈结构:<br />    L<br />    L -> child program of Local variable<br />    L -> 一般情况下此处保存的ebp<
Windows Shellcode学习笔记——栈溢出中对jmp esp的利用与优化
weixin_33787529的博客
09-20 573
本文讲的是Windows Shellcode学习笔记——栈溢出中对jmp esp的利用与优化, 0x00 前言 在《Windows Shellcode学习笔记——shellcode在栈溢出中的利用与优化》中对栈溢出的利用做了介绍。通过将返回地址覆盖为shellcode在内存中的起始地址,实现对栈溢出的利用 但是shellcode在内存中的起始地址往往不...
另一种溢出方式 JMP ESP另一种溢出方式 JMP ESP
爱.NET
06-15 417
另一种溢出方式 JMP ESP另一种溢出方式 JMP ESP 信息来源:openlab.nwpu.edu.cn 以上的溢出都是靠猜测buffer地址范围来进行(当然也可以写程序不断猜测)自己写的程序当然地址很容易确定,但若攻击别人的程序就不大方便了往往要猜很多此,传统的程序猜测地址同buffer长度相关,同test()中的数据定义相关,同调用test() 的函数相关 . . . . . 要猜测的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值