shellcode 之 JMP ESP 与 JMP EBX

最新推荐文章于 2023-04-09 22:55:14 发布
最新推荐文章于 2023-04-09 22:55:14 发布
阅读量3.5k 收藏 2
点赞数
文章标签: exception dll c windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2599970
版权
本文详细介绍了利用JMP ESP和JMP EBX技术进行堆栈溢出攻击,以执行Shellcode。通过分析函数调用后的堆栈结构和exploit后的变化,阐述了如何通过覆盖返回地址来执行系统DLL中的Jmp esp或Jmp ebx指令,最终达到执行自定义Shellcode的目的。同时,文章还提到了stdcall调用约定以及SEH(结构化异常处理)在异常处理过程中的作用。
摘要由CSDN通过智能技术生成 
堆栈溢出在我们exploit时常用到,利用其一般方式是:JMP ESP 与 JMP EBX;
 昨天有一“同学”问我关于JMP EBX详细的问题,所以在此介绍一下:

1 JMP ESP
函数调用后的堆栈结构:
    L
    L -> child program of Local variable
    L -> 一般情况下此处保存的ebp
    R -> EIP for return parent funcion 
    P -> pass to child prgram variable
    P 
    P
exploit后的堆栈结构:
    N 
    N
    N -> NOP把原来的Local variable空间覆盖掉,导致它overflow
    R -> 系统dll中的Jmp esp的地址
    N -> NOP把原来pass过来的参数给覆盖掉 
    N
    N
    S -> Shellcode
    S
    S


解释:
  1) 函数返回时执行ret XXX指令; 要做的事: pop eip; add esp,XXX;
  2) 此时栈中的R已不是原来的返回地址了,而改成了系统dll中的Jmp esp的地址(eg:0x7FFA4512)
  3) ret指令执行完毕后,此时的EIP->Jmp esp的addr(eg:0x7FFA4512);ESP->我们的shellcode
  4) 程序继续执行,此时EIP里的内容是Jmp esp,系统执行Jmp esp
最低0.47元/天 解锁文章
iiprogram
关注
jmp esp 为跳板的shellcode开发
##
11-25 1万+
0x00 Shellcode概述 Shellcode与exploit 1) shellcode:缓冲区攻击中植入进程的代码。进行删改文件、窃取数据、上传木马并运行、格式话硬盘等。用汇编语言编写,并转换成二进制机器码,内容和长度受到苛刻限制。 2) exploit: 漏洞利用程序,用于生成攻击性的网络数据包或其他形式的攻击性输入。exploit的核心是淹没返回地址,劫持进程控制权,跳去执行shel
轻松将jmp esp方式 改写为jmp ebx方式.doc
11-09
轻松将jmp esp方式 改写为jmp ebx方式.doc
轻松将jmp esp方式 改写为jmp ebx方式
要饭's Blog
06-16 3323
转载:Q版黑客溢出教程一书写这篇文章,希望能给想我一样的初学缓冲区溢出的菜鸟一些帮助,因为到现在的确还没找到介绍这类的文章。首先,介绍在堆栈溢出中,我们的两种利用方式—jmp espjmp ebx;接下来,说明了其转化的简单方法;最后给了两个实际例子,将isno写的.printer利用代码和flashsky写的RPC利用代码改写成jmp ebx的方式,以实现对win2000 sp0-sp4全版本
JMP ESP =>SEH(CALL EBX)
Yatere的天平秤
01-23 1592
首先你要知道怎么利用JMP ESP的方式 其利用格式是ORS,这里O=NOP,R=RET(jmp esp的地址),S=ShellCode。就是把缓冲区一直覆盖成NOP(空指令,什么都不做),直到原来的EIP位置时,J JMP ESP,紧跟后面才是我们的ShellCode。  这种方式执行到ShellCode的原理:正常情况下,函数返回时,RET,等于POP EIP,即回复原来PUSH的EIP
缓冲区溢出之JMP ESP皮毛
donghaima的专栏
01-16 857
Windows下执行一个函数,会把指向正在运行的指令的地址压入堆栈,也就是寄存器EIP的值。当函数执行完毕,会让该数据出栈,以便程序继续原路运行。             如果这个函数有8个CHAR的局部变量,也压入堆栈。堆栈是从内存高地址向低地址分配的,如果这8个CHAR是放置用户输入的数据,并且如果没有检查长度的话,可能会覆盖掉高地址的记录EIP的值,如果这个值是一个非法地址,当函数返
shellcodeJMP ESPJMP EBX [转载]
turbocc 因程序而激情
08-19 865
shellcodeJMP ESPJMP EBX 2010-04-02 10:32堆栈溢出在我们exploit时常用到,利用其一般方式是:JMP ESPJMP EBX;<br />昨天有一“同学”问我关于JMP EBX详细的问题,所以在此介绍一下:<br /><br />1 JMP ESP<br />函数调用后的堆栈结构:<br />    L<br />    L -> child program of Local variable<br />    L -> 一般情况下此处保存的ebp<
【0day shellcode编写艺术】—— jmp esp、动态获取api。后续:编码、压缩
desword-- 技术,杂文。
12-11 2770
此次主要徒手体会了一下编写shellcode 的不容易。当真不容易,看着作者的代码,都感觉自己无处可以下手了。 需要的底层原理知识也还挺多需要补充上去的。 打算后期再逐渐补充。目前阶段将jmp esp弄懂了。后面动态获取api在主机上出错了。问题和搜索jmp esp代码时候貌似一样,产生访问越权的问题。后期再继续解决吧。 目前整理一下整个的思路。 1、shellcode、expoit的概念;
PWN-shellcode
MuMuLee_的博客
09-26 1828
构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖掉正常的返回地址。 题目: 1Ch=16+12=28,+esp=32:偏移量是32 能溢出:100-0x1c-4=68字节 C伪代码: 理论基础 函数返回步骤 : 保存返回值:函数返回值保存在EAX寄存器 弹出当前栈帧,恢复上一个栈帧 a) ESP + 当前栈帧大小:堆栈平衡基础上,降低栈顶,回收当前栈帧空间...
Get JMP ESP/JMP EBX/CALL EBX Address in a Process
爱.NET
07-30 164
/////////////////////////////////////////////////////// Get JMP ESP/JMP EBX/CALL EBX Address in a Process// by isno// 必须在VC下用DEBUG模式编译/////////////////////////////////////////////////////#include &lt;...
关于溢出JMP/CALL EBX两个问题向各位请教
陈刚编程心得与知识集
01-13 752
关于溢出JMP/CALL EBX两个问题向各位请教: 各位好,我是新手,昨晚看《Q版缓冲区溢出教程》和相关文章,有两个事儿不明白,想了一宿没有答案,敬请各位帮助: 1、既然用JMP EBX方式需要事先确定异常处理程序入口地址,为何不直接用ShellCode将异常处理程序覆盖,而是要先JMP EBXJMP 04这么间接? 2、先JMP EBX往低址跳4,再JMP 04
[0Day]栈溢出原理—— 注入自己的代码
desword-- 技术,杂文。
11-29 1394
这个小部分实验还是花了一点时间的。开始想知道就可以了,先不玩了。后来还是静下心来,把这个玩出来了。跳出msgbox还是很兴奋的,尽管里面啥都木有。 上有漏洞的代码: /* note: //MessageBox(0,"test","helloworld!",MB_OK); */ #include #include #include #define PASSWORD "123456"
JMP指令寻址方式总结,JMP BX指令寻址方式是什么
最新发布
我写写哈的博客
04-09 2983
jmp dword ptr 内存单元地址 ( 段间转移) 高字地址存放cs 低字节存放ip。jmp far ptr 标号 超段转移 跳转包含目标地址jmp reg 16位寄存器。jmp short 标号 段间跳转 -128-127。jmp word ptr 内存单元地址 段内转移。jmp 指令的几种寻址方式。
缓冲区溢出(栈溢出)实验 之 JMP ESP
大头的博客
07-27 9639
3、缓冲区溢出之JMP ESP 本文属于原创,如有错误请指正。其中引用他人的部分已经标出,如涉及版权问题请联系本人 这里不得不讲一讲JMP ESP的原理了,在实验之前我一直没看懂他是如何试下跳转ESP之后回到栈区执行我们的shellcode的。在实验中你仔细观看会发现随着函数栈的销毁ESP是在变化的,JMP ESP正式利用这种变化,将我们精心准备的shellcode执行。   JMP ES...
phim java.net_xemphimhai.net服务器iP
weixin_34365042的博客
03-01 1万+
2021-01-30-----2021-01-3031.13.91.332021-01-30-----2021-01-3059.188.250.542021-01-30-----2021-01-3069.63.187.122021-01-30-----2021-01-3091.195.240.942021-01-30-----2021-01-30108.160.167.1482021-01-30-...
2021-02-09 sex没有被调用出来的原因 ,答案。 封装的sex
chenggong9527的博客
02-09 5134
上个问题的答案。 sex是私有变量, 得用set方法。 在父类里面写一个set方法,后面的test类,就可以调用出来sex了。 所以,记住,凡是私有的变量,属性,调用不出来的, 要用set, get方法去调用。但是,不得不说的是您的年龄劣势,真的是客观现实。 为您过去的失败而买单,付出。 解决思路: 是应该先看 不能出来的方法,是什么属性。 然后再去复习相关课程。 要不然,真的没有办法的! 比如这个sex, 就是私有的,因为封装了。不能被随便调用, 记住一个...
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> <sty
热门推荐
u014497548的博客
06-03 57万+
Title img,div,body{margin: 0;padding: 0;} .orgindiv {width: 200px;height: 200px;position: relative;float: left;margin-left: 100px;} .orgindiv img{width: 100%;height: 100%;}
http://95u.free.fr/index.php,Electronic Software Distribution Service
weixin_39603327的博客
03-19 37万+
Content-Type: multipart/related; start=; boundary=----------OH5LlQ9dynBJGqR8E2AiMRContent-Location: https://software.pitt.edu/software/software.aspSubject: =?utf-8?Q?Electronic=20Software=20Distributi...
利用JMP ESP植入SHELLCODE
weixin_44723038的博客
10-19 1155
当我们使用构造shellcode覆盖返回地址跳转到shellcode植入点的位置进行攻击时,常常很难找到该地址的具体位置,无法到达目标计算机上去调试,因此更常用的是利用JMP ESP指令来进行攻击。 代码: #include <stdio.h> #include <windows.h> #include <stdlib.h> #define PASSWORD ...
Shellcode手册:探索与利用安全漏洞
"《Shellcoder's Handbook》中文版Word文档,涵盖了从基本概念到实际漏洞利用的详细知识,包括内存管理、汇编语言、栈溢出、Shellcode编写、格式化串漏洞和堆溢出等主题,是深入理解网络安全攻防的宝贵资料。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值