栈溢出笔记1.5 换一个汇编工具

最新推荐文章于 2024-08-12 00:15:00 发布
最新推荐文章于 2024-08-12 00:15:00 发布
阅读量827 收藏
点赞数
分类专栏: 逆向工程 Windows内核 Windows编程 文章标签: 栈溢出 Shellcode Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hustd10/article/details/51108470
版权

前面的内容中我们使用VC++内联汇编,虽然很方便,但是无法定义字符串常量,导致我们需要把字符串的ASCII码找到,再一个一个压入栈中,比较繁琐,本节,我们换一个汇编工具——nasm,选择它是因为它可以跨平台使用。

有了这个汇编工具,我们就可以定义字符串常量了,例如:

/*****************************************************************************/
DB  “example_1”, 0x00
DB  “HelloWorld”, 0x00
/*****************************************************************************/

这样方便是方便了,但是出现了新的问题,我们不可能写成这个样子:

/*****************************************************************************/
push    ebp
        mov ebp, esp

        db      “example_1”, 0x00
db      “HelloWorld”, 0x00
db      “user32.dll”, 0x00

        lea     ebx, [ebp-24h]
        push    ebx
        mov ebx, 0x7c801d7b 
        call        ebx // LoadLibraryA
/*****************************************************************************/

因为三个字符串为数据,而不是指令,不可能夹在指令中间,这样会让CPU将数据当做指令运行,程序跑飞。因此,只能放在指令区域之外。但是,又必须放在代码段中,因为Shellcode只有指令,没有数据段。因此,有了下面这种经典的做法:将字符串定义放置到一条CALL指令之后,由于CALL指令会将返回地址压栈,此时压入栈中的地址就为第一个字符串的地址,从而,我们可以在此后的代码中在栈上获取该字符串的地址。如下结构:

/*****************************************************************************/ JMP short GetString
RunMsgBox:
...
GetString:
CALL RunMsgBox
DB  “example_1”
DB  “HelloWorld”
/*****************************************************************************/

这种结构就充分说明了指令和数据并不区分,本来CALL指令用来在栈上保存指令,结果现在被用来保存数据了。

下面就是利用上述结构编写的汇编程序:

/*****************************************************************************/
// example_8 nasm下的汇编Shellcode
SECTION .text

BITS 32

global _main

_main:
    jmp short GetString

RunMsgBox:
    pop     ebx

    push    ebx             ; "user32.dll"
    mov     eax, 0x7c801d7b  ; LoadLibraryA
    call    eax

    xor     eax,eax
    push    eax
    lea     ebx, [ebx+11]    ; "example_1"
    push    ebx
    lea     ebx, [ebx+10]    ; "HelloWorld"
    push    ebx
    push    eax

    mov     ebx, 0x77d507ea ; MessageBoxA
    call    ebx

    push    eax
    mov     ebx, 0x7c81cafa  ; ExitProcess
    call    ebx    

GetString:
    call    RunMsgBox
    db      "user32.dll", 0x00
    db      "example_1", 0x00
    db      "HelloWorld", 0x00
/*****************************************************************************/

RunMsgBox中第一句pop ebx就将“user32.dll”的首地址保存在了ebx,这里注意与栈不同,后面的ebx地址是加而不是减。使用命令:

nasm -f win32 example_8.asm

编译为obj文件。然后使用VS的cl.exe,链接为exe:

cl example_8.obj libcmt.lib

运行exe,成功:

这里写图片描述
图34

下面我们在Immunity Debugger来看看:
这里写图片描述
图35

这一段就是完整的代码,可见,字符串数据全部被反汇编为指令了,上图中标出了三个字符串的结尾符。

标出了结尾符之后,问题也就来了,是的,空字节,又出现了空字节,而且这次更不好处理,因为我们只用了字符串的首地址。为了不出现空字节,我们定义字符串的时候不能加0x00结束符,但是使用字符串的时候又需要该结束符,而且,这样定义的字符串位于代码段,代码段是不可写的,也就是一旦定义,不可修改。所以,如果空字节会引起问题,就不要这样定义。使用直接压栈的方法反而容易处理。

使用nasm有个好处,就是可以直接编译为bin格式,即操作码,例如:

nasm -f bin -o example_8.bin example_8.asm

用HexEdit打开example_8.bin,如下:

这里写图片描述
图36

这样,可以简单的写个程序将bin文件写出为Shellcode,就不用再去Immunity Debugger一个字节一个字节的抠出来了。

hustd10
关注
专栏目录
一个简单程序,从汇编初识栈溢出漏洞
Cvjark的博客
03-14 885
阅读本文需要C++编程基础以及汇编知识,废话不多说,进入正文 // StackOverFloat.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include "string.h" #include "stdio.h" #include "windows.h" int tes...
Pwn,我的栈溢出笔记就该这么写(上)
weixin_54150681的博客
12-05 207
一周的刨坟结束了,忙着搭建维护k8s,该整个小小的笔记了 原理篇 什么是栈溢出栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变。 栈溢出会导致什么结果? 栈溢出漏洞轻则可以使程序崩溃,重则可以使攻击者控制程序执行流程。 如何防范栈溢出? (1).金丝雀(canary) 1、 在所有函数调用发生时,向栈帧内压入一个额外的随机 DWORD(数),这个随机数被称作 “canary”,函数执行完在返回之前,程序通过检查这个随机数
汇编层看64位程序运行——有惊无险的栈溢出
最新发布
方亮的专栏
08-12 1360
在一文中,我们通过“篡改”函数的返回地址来达成修改程序执行流程的目的。但是这个方案存在一个问题:它会导致栈溢出。这是因为ret指令会导致栈的pop,call指令会导致栈的push。而案例中,foo7调用foo函数时,使用的是ROP攻击方法——没有使用call指令。这样就导致整个流程call了1次(main–>foo7),即压栈1次;而ret了2次,foo7一次,foo一次。在foo7进入foo之后,我们修改了foo的返回地址。这个地址是0x7fffffffdef8,而它属于main函数的栈帧。
栈溢出
每昔的博客
07-27 705
漏洞原理:         栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致栈中与其相邻的变量的值被改变。若输入足够多的、精心挑选的字符,将改写函数的返回地址(也可以是jmp、call指令的跳转地址),由此获取对CPU的控制,从而执行任何任意操作。 实验环境:Ubuntu16.0、gdb 漏洞程序: #include <stdio.h> ...
libutils: 反汇编工具
u011279649的专栏
04-21 546
gprof: 分析性能瓶颈 这个没有用过 nm ./hexagon-nm -C ./wire_pedometer/sns_wrist_pedometer_sensor_algo_island.o ./hexagon-nm ./wire_pedometer/sns_wrist_pedometer_sensor_algo_island.o -S size strings ...
[超详细]栈溢出漏洞原理实例讲解
Breeze的博客
05-03 2万+
[超详细]通过实例讲解栈溢出漏洞 文章目录[超详细]通过实例讲解栈溢出漏洞代码简介分析程序整体执行流程程序执行细节及栈空间变化栈溢出通过栈溢出控制程序执行结果通过栈溢出插入代码 本篇文章通过《0day安全:软件漏洞分析技术》书中第二章中所用到的一个程序的栈溢出漏洞的复现,以及使用OD一步步调试来学习栈溢出完整的原理。程序虽然简单,但在一些基础薄弱的人眼中还是无法理解,所以导致很多新手到了这里就被“...
汇编使用笔记
08-24
4. 控制寄存器:IP指示下一条待执行指令的地址,而FLAG寄存器存储运算结果的状态标志,如CF(进位标志)、PF(奇偶标志)、AF(辅助标志)、ZF(零标志)、SF(符号标志)和OF(溢出标志)等,以及控制标志TF(跟踪...
栈溢出原理及解题练习
weixin_44222568的博客
04-15 1953
一个小白的慢慢理会过程
汇编语言笔记(一)——汇编语言基础
翻肚鱼儿的博客
10-18 2520
汇编
NUAA汇编语言课堂笔记
01-24
汇编语言】是计算机科学中的一个重要分支,它是一种低级编程语言,允许程序员直接操纵计算机硬件的指令系统。在“NUAA汇编语言课堂笔记”中,主要涵盖了以下几个核心知识点: 1. **CPU基本功能**:CPU的主要任务...
汇编工具下载
zhangkala的专栏
11-26 907
文件说明Masm32v6 [本地][国外]Win32 汇编编译器,包含详尽的 Import 库,让你可以直接在汇编中使用 Win32API,内含 Microsoft MASM 6.14 大小:3997kMasm32v5 大小:3.66MBorland Turbo ASM 5.0Borland 公司的32位汇编
ARM汇编之堆栈溢出实战分析一(GDB)
github_38641765的博客
01-06 2412
转自:安全课传送门 引言 经过很长一段时间在azeria-labs进行的ARM基础汇编学习,学到了很多ARM汇编的基础知识、和简单的shellcode的编写,为了验证自己的学习成果,根据该网站提供的实例,做一次比较详细的逆向分析,和shellcode的实现,为自己的ARM入门学习巩固。 实例下载地址:git clone https://github.com...
栈溢出漏洞及栈溢出攻击
guilanl的专栏
03-13 1万+
1. 栈溢出的原因 栈溢出(stack-based buffer overflows)算是安全界常见的漏洞。一方面因为程序员的疏忽,使用了 strcpy、sprintf 等不安全的函数,增加了栈溢出漏洞的可能。另一方面,因为栈上保存了函数的返回地址等信息,因此如果攻击者能任意覆盖栈上的数据,通常情况下就意味着他能修改程序的执行流程,从而造成更大的破坏。这种攻击方法就是栈溢出攻击(stack
栈溢出例子理解
qq_36760780的博客
07-22 6375
背景:最近在看一些教学视频,然后主讲人敲了一段栈溢出的代码。我当场蒙蔽了-。- ! 而且他也没有细讲原理,最为一名爱探险星人,我决定Get it。 栈溢出示例代码: #include<Windows.h> #include<stdio.h> #include<stdlib.h> void Msg() { MessageBoxA(NULL, "嘿嘿!...
详解栈溢出
dongdong7_77的博客
05-28 5803
前言 在我们平时开发的过程中,经常会出现stack overflow的情况导致程序崩溃,通常的原因都是无限的递归调用导致的,也就是无限的调用函数,导致空间用完,可是为什么非要使用栈呢,它内部是怎么运行的,栈的空间一共有多大呢,在下面会一一的详解 为什么要使用程序栈? 我们先来看一段代码 // function_example.c #include <stdio.h> int static add(int a, int b) { return a+b; } int main() {
栈溢出(stack overflow)原因分析及解决方案
热门推荐
LuffysMan的博客
12-18 2万+
原因分析: 以vs2017为例,windows栈大小默认为1M,超过1M就会报错提示栈溢出:stack overflow 举例: 1.新建windows console程序,在main函数里只定义一个字符数组 char maxStack[1024][1024]; 2.编译正常 3.链接运行,报错:exception unhandled, stack overflow parameter xxxxx...
Q版缓冲区溢出教程PDF实战与汇编地址查找
作者王炜在其分享的内容中强调了缓冲区溢出攻击中的一个常见技术,即利用`jmpesp`指令来控制程序流程。`jmpesp`通常用于跳转到栈上的某个地址,从而实现执行恶意代码或进行系统级操作。然而,问题在于`jmpesp`的具体...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值