堆栈溢出在我们exploit时常用到,利用其一般方式是:JMP ESP 与 JMP EBX; 昨天有一“同学”问我关于JMP EBX详细的问题,所以在此介绍一下: 1 JMP ESP函数调用后的堆栈结构:
L L -> child program of Local variable L -> 一般情况下此处保存的ebp R -> EIP for return parent funcion P -> pass to child prgram variable P P
exploit后的堆栈结构:
N N N -> NOP把原来的Local variable空间覆盖掉,导致它overflow R -> 系统dll中的Jmp esp的地址 N -> NOP把原来pass过来的参数给覆盖掉 N N S -> Shellcode S S 解释: 1) 函数返回时执行ret XXX指令; 要做的事: pop eip; add esp,XXX; 2) 此时栈中的R已不是原来的返回地址了,而改成了系统dll中的Jmp esp的地址(eg:0x7FFA4512) 3) ret指令执行完毕后,此时的EIP->Jmp esp的addr(eg:0x7FFA4512);ESP->我们的shellcode 4) 程序继续执行,此时EIP里的内容是Jmp esp,系统执行Jmp esp
shellcode 之 JMP ESP 与 JMP EBX
最新推荐文章于 2023-04-09 22:55:14 发布
本文详细介绍了利用JMP ESP和JMP EBX技术进行堆栈溢出攻击,以执行Shellcode。通过分析函数调用后的堆栈结构和exploit后的变化,阐述了如何通过覆盖返回地址来执行系统DLL中的Jmp esp或Jmp ebx指令,最终达到执行自定义Shellcode的目的。同时,文章还提到了stdcall调用约定以及SEH(结构化异常处理)在异常处理过程中的作用。
摘要由CSDN通过智能技术生成