【0day shellcode编写艺术】—— jmp esp、动态获取api。后续:编码、压缩

最新推荐文章于 2022-05-30 14:57:54 发布
最新推荐文章于 2022-05-30 14:57:54 发布
阅读量2.7k 收藏 4
点赞数
分类专栏: Reverse ing
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ls1160/article/details/41876299
版权
博客探讨了shellcode的编写,特别是如何使用jmp esp进行动态定位,以解决缓冲区溢出攻击中shellcode的地址问题。作者遇到动态获取API时的访问权限问题,并分享了使用OD插件和Dependency Walker的经验。文章还提及了shellcode的编码和压缩流程,以及获取API hash的重要性。
摘要由CSDN通过智能技术生成

此次主要徒手体会了一下编写shellcode 的不容易。当真不容易,看着作者的代码,都感觉自己无处可以下手了。 需要的底层原理知识也还挺多需要补充上去的。

打算后期再逐渐补充。目前阶段将jmp esp弄懂了。后面动态获取api在主机上出错了。问题和搜索jmp esp代码时候貌似一样,产生访问越权的问题。后期再继续解决吧。

目前整理一下整个的思路。

1、shellcode、expoit的概念;

2、为了更好的注入shellcode,里程碑式的方法。使用jmp esp。

3、后续:动态获取api、编码shellcode、压缩shellcode。

后续内容用在之后再学习。

1、shellcode、exploit概念

shellcode:通称缓冲区溢出攻击中植入进程的代码。

exploit: 代码植入的过程成为漏洞利用,即exploit。

2、里程碑式的注入方法:jmp esp

之前我们的一个思路,是将shellcode注入到缓冲区里面。通过溢出修改返回地址,指向缓冲区的起始位置从而执行shellcode。

但是这样会有一个弊端。目前溢出修改的返回地址是固定的,如果系统一重新启动,或者重新运行程序,分配的地址就会改变,原来的shellcode就不行了,需要再次od看地址,修改地址。这样很不方便。这个问题再困扰了人们很久以后,在1998年,黑客组织“cult of the dead cow”的Dildog首次提出了使用jmp esp的动态定位,成为shellcode里程碑式的进步。

98年,我还是小屁孩的。外面的世界就早已经风起云涌了= =惊讶

使用jmp esp有这样的原理。在每次当前函数返回之后,esp都会指向紧紧挨着的下一个栈帧的栈顶。那么通过将shellcode放在返回地址后面,就可以动态的执行了。

(其实我考虑能不能在shellcode中直接获取当前缓冲区的起始地址,然后动态的放到返回地址中,但发现难度大,而且麻烦,代码量也会增加很多。革命式的进步真是很伟大!)

目前的问题就是通过代码搜索内存的jmp esp指令的。使用OD插件可以成功,但是自己设计程序却始终无法找到。

uer32.dll找0x1000个字节就说越权了,不明白是为什么,难度目前windows对这个进行了控制?

OD的插件最后放出来。

自己写的代码(书上的

最低0.47元/天 解锁文章
helloDesword
关注
专栏目录
利用JMP ESP植入SHELLCODE
weixin_44723038的博客
10-19 1158
当我们使用构造shellcode覆盖返回地址跳转到shellcode植入点的位置进行攻击时,常常很难找到该地址的具体位置,无法到达目标计算机上去调试,因此更常用的是利用JMP ESP指令来进行攻击。 代码: #include <stdio.h> #include <windows.h> #include <stdlib.h> #define PASSWORD ...
jmp esp 为跳板的shellcode开发
热门推荐
##
11-25 1万+
0x00 Shellcode概述 Shellcode与exploit 1) shellcode:缓冲区攻击中植入进程的代码。进行删改文件、窃取数据、上传木马并运行、格式话硬盘等。用汇编语言编写,并转换成二进制机器码,内容和长度受到苛刻限制。 2) exploit: 漏洞利用程序,用于生成攻击性的网络数据包或其他形式的攻击性输入。exploit的核心是淹没返回地址,劫持进程控制权,跳去执行shel
0day第三章开发shellcode艺术Jmp esp
chengkou8481的博客
05-27 206
环境:XPsp2中文版 老规矩,上代码 (代码来自0day2电子资料->02栈溢出原理与实践->2_4_overflow_code_exec.c) /*******************************************************...
jmp esp执行shellcode
Sakura给爷pwn全场
11-16 273
关于 [栈溢出后jmp esp执行shellcode] 原理分析: http://www.mamicode.com/info-detail-2506484.html
Windows Shellcode学习笔记——栈溢出中对jmp esp的利用与优化
weixin_33787529的博客
09-20 552
本文讲的是Windows Shellcode学习笔记——栈溢出中对jmp esp的利用与优化, 0x00 前言 在《Windows Shellcode学习笔记——shellcode在栈溢出中的利用与优化》中对栈溢出的利用做了介绍。通过将返回地址覆盖为shellcode在内存中的起始地址,实现对栈溢出的利用 但是shellcode在内存中的起始地址往往不...
0day安全》——数据与程序的分水岭:DEP
sunr_的博客
08-31 538
DEP机制的保护原理 溢出攻击的根源在于区分不了代码与数据。 DEP 的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入 shellcode 时,程序会尝试在数据页面上执行指令,此时 CPU 就会抛出异常,而不是去执行恶意指令。 DEP 的主要作用是阻止数据页(如默认的堆页、各种堆栈页以及内存池页)执行代码。微软从 Windows XP SP2 开始提供这种技术支持,根据实现的机制不同可分为:软件 DEP( Software DEP)和硬件 DEP( Hardware-enforced DEP
0day安全》——在内存中躲猫猫: ASLR
sunr_的博客
08-31 284
原理 前面所有漏洞利用方法都有着一个共同的特征:都需要确定一个明确的跳转地址。无论是 JMP E SP 等通用跳板指令还是 Ret2Libc 使用的各指令,我们都要先确定这条指令的入口点。 微软的 ASLR( Address Space Layout Randomization)技术就是通过加载程序的时候不再使用固定的基址加载,从而干扰shellcode 定位的一种保护机制。 支持 ASLR 的程序在它的 PE 头中会设置 IMAGE_DLL_CHARACTERISTICS_ DYNAMIC_BASE 标识
shellcode动态定位API
whatday的专栏
09-24 1293
  定位API原理: 所有的win_32程序都会加载ntdll.dll和kerner32.dll这两个最基础的动态链接库。如果想要在win_32平台下定位kernel32.dll中的API地址   1,首先通过段选择字FS在内存中找到当前的线程环境快TEB。   2,线程环境快偏移位置为0x30的地方存放着指向进程环境块PEB的指针。   3,进程环境块中偏移位置为0x0C的地方存放着...
S.E.H中shellcode占用空间压缩
weixin_44723038的博客
11-26 237
实验环境:Windows 10,Microsoft Visual C++6.0,OllyDbg 实验原理:在上一次实验”在栈溢出中利用S.E.H“的基础上,改变shellcode的位置,从向下跳转改为向上回溯跳转,即将NS.E.H中的指令内容改为向上跳转。 实验代码:(其中构造的shellcode不同电脑不一样,需调试找到具体函数的地址) #include <windows.h> #i...
shellcode API的自动定位
u200915331的专栏
07-20 952
1.背景知识补充 在使用shellcode的时候有个很大的问题就是动态定位API,下面这段代码介绍的是利用PE结构来寻址API的方法。 步骤: a.找到PEB b.找到PEB_LDR_DATA c.找到InInitializationOrderModuleList d.找到kernel32.dll基地址 e.找到PE头 f.找到函数导出表 g.
0day-简单动态获取API(shellcode)分析NO.1
aimarpp的专栏
10-15 1198
0day安全,代码分析
c++动态定位API地址的shellcode锁定 ,免遭黑客袭击的有效手段!
05-09 511
通过前面介绍的 win_32 平台下搜索 API 地址的办法,我们可以从 FS 所指的线程环境块开始,一直追溯到动态链接库的函数名导出表,在其中搜索出所需的 API 函数是第几个,然后在函数偏移地址(RVA)导出表中找到这个地址。 对于王清的《0DAY安全软件漏洞分析技术》(第二版)第3.4.3章节中动态获取API地址的shellcode的一点改进,将原书中对于dll基地的获取由: ...
万能jmp esp
gxustudent的专栏
07-22 1155
0x7ffa4512(JMP ESP),据说2000, xp, 2003下通用.
win7下寻找不到jmp esp的地址
Tracy_yi的博客
05-30 463
描述 在做栈溢出时需要用到jmp esp指令,但是在kernel32和user32.dll中均未找到jmp esp的地址 解决 自己推测有可能是windows把jmp esp这条指令在几个重要的dll中隐藏起来了。可以去别的不知名dll中寻找。 按alt+E查看所有模块 双击打开其中一个,按ctrl+F查找命令 如果未找到条目的话就换一个,总会找到的 = = 欢迎指正 ...
使用C语言寻找jmp esp的地址
单核CPU的小朋友的博客
03-22 1196
需要加载user32的dll动态链接库,然后通过16进制的0xFF和0xE4来寻找jmp esp的跳转地址。 #include <stdio.h> #include <windows.h> #include <stdlib.h> int main() { BYTE *ptr; int position; HINSTANCE handle; BOOL done_flag = FALSE; handle = LoadLibrary(L"user32.dll");
JMP ESP =>SEH(CALL EBX)
Yatere的天平秤
01-23 1596
首先你要知道怎么利用JMP ESP的方式 其利用格式是ORS,这里O=NOP,R=RET(jmp esp的地址),S=ShellCode。就是把缓冲区一直覆盖成NOP(空指令,什么都不做),直到原来的EIP位置时,J JMP ESP,紧跟后面才是我们的ShellCode。  这种方式执行到ShellCode原理:正常情况下,函数返回时,RET,等于POP EIP,即回复原来PUSH的EIP
缓冲区溢出(栈溢出)实验 之 JMP ESP
大头的博客
07-27 9650
3、缓冲区溢出之JMP ESP 本文属于原创,如有错误请指正。其中引用他人的部分已经标出,如涉及版权问题请联系本人 这里不得不讲一讲JMP ESP原理了,在实验之前我一直没看懂他是如何试下跳转ESP之后回到栈区执行我们的shellcode的。在实验中你仔细观看会发现随着函数栈的销毁ESP是在变化的,JMP ESP正式利用这种变化,将我们精心准备的shellcode执行。   JMP ES...
栈溢出 利用jmp esp绕过栈帧移位
Misaka10046的博客
09-16 564
实验代码 #include<stdio.h> #include<windows.h> #define PASSWORD "1234567" int verify_password(char *password) { int authenticated; char buffer[44]; authenticated = strcmp(password,PASSWORD); strcpy(buffer,password);//overflowed return authenti
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值