以jmp esp 为跳板的shellcode开发

最新推荐文章于 2023-07-14 15:01:16 发布
最新推荐文章于 2023-07-14 15:01:16 发布
阅读量1w 收藏 24
点赞数 3
分类专栏: 漏洞分析 文章标签: shellcode 缓冲区溢出 jmp-esp跳板
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/swjtu100/article/details/50032831
版权

0x00 Shellcode概述

  • Shellcode与exploit
    1) shellcode:缓冲区攻击中植入进程的代码。进行删改文件、窃取数据、上传木马并运行、格式化硬盘等。用汇编语言编写,并转换成二进制机器码,内容和长度受到苛刻限制。
    2) exploit: 漏洞利用程序,用于生成攻击性的网络数据包或其他形式的攻击性输入。exploit的核心是淹没返回地址,劫持进程控制权,跳去执行shellcode
    3) 区别:shellcode具有一定的通用性,exploit针对特定漏洞
    这里写图片描述

0x01 定位shellcode

  • 漏洞利用过程中,由于动态链接库的装入和卸载等原因,Windows进程的函数栈帧可能产生移位,即shellcode在内存中的地址是动态变化的,因此需要exploit在运行时动态定位栈中的shellcode。

  • 函数返回步骤
    1) 保存返回值:函数返回值保存在EAX寄存器
    2) 弹出当前栈帧,恢复上一个栈帧
    a) ESP + 当前栈帧大小:堆栈平衡基础上,降低栈顶,回收当前栈帧空间
    b) POP EBP:前栈帧EBP弹给EBP,恢复上一个栈帧
    c) POP EIP:函数返回地址弹给EIP
    3) 跳转:按EIP的值返回母函数继续执行
    由函数调用过程可知,一般情况下,ESP中地址总是指向系统栈且不会被溢出的数据破坏。函数返回时,ESP所指的位置是淹没的返回地址的下一位(子函数平衡栈ret n时,ESP将指向下n位)。

  • 可用”jmp esp”作为跳板动态定位shellcode
    1) 用内存中任意一个”jmp esp”的地址覆盖返回地址
    2) 函数返回后被重定向去执行内存中jmp esp指令
    3) 由于函数返回后ESP指向返回地址后,jmp esp执行后,CPU将到栈区函数返回地址之后的地方取指令执行
    4) shellcode的布置。缓冲区前面一段用任意数据填充,把shellcode放在函数返回地址后面。jmp esp执行完就执行shellcode。

  • 获取跳板的地址
    1) 一些经常被用到的动态链接库会被映射到内存,如kernel.32.dll、user32.dll会被几乎所有进程加载,且加载基址始终相同(不同OS上可能不同)。所有这里使用user32.dll中的jmp esp作为跳板。
    2) 编程搜索jmp esp的内存地址。搜索得到以下地址,从中选取0x77d93acc作为定位shellcode的跳板覆盖函数返回地址。
    这里写图片描述

#include <windows.h>
#include <stdio.h>
#define DLL_NAME "user32.dll"
main()
{
    BYTE* ptr;
    int position,address;
    HINSTANCE handle;
    BOOL done_flag = FALSE;
    handle=LoadLibrary(DLL_NAME);
    if(!handle)
    {
        printf(" load dll erro !");
        exit(0);
    }
最低0.47元/天 解锁文章
0x4C43
关注
专栏目录
利用JMP ESP植入SHELLCODE
weixin_44723038的博客
10-19 1156
当我们使用构造shellcode覆盖返回地址跳转到shellcode植入点的位置进行攻击时,常常很难找到该地址的具体位置,无法到达目标计算机上去调试,因此更常用的是利用JMP ESP指令来进行攻击。 代码: #include <stdio.h> #include <windows.h> #include <stdlib.h> #define PASSWORD ...
Linux ubuntu 24.04 使用 Cheat Engine 内存修改器(游戏作弊器),安装简体中文语言包,修改游戏内存,更改游戏物品、金钱数量,妈妈级教程,一文学会!
最新发布
u010912615的博客
08-17 1557
ubuntu 24.04 使用 Cheat Engine 作弊器修改游戏内存数据,修改游戏属性、物品和金钱教程,以《仙剑奇侠传四》为例修改游戏内存数据,妈妈级教程,解决汉化和使用找不到进程的问题,添加桌面快捷方式
jmp esp执行shellcode
Sakura给爷pwn全场
11-16 272
关于 [栈溢出后jmp esp执行shellcode] 原理分析: http://www.mamicode.com/info-detail-2506484.html
Windows Shellcode学习笔记——栈溢出中对jmp esp利用与优化
weixin_33787529的博客
09-20 549
本文讲的是Windows Shellcode学习笔记——栈溢出中对jmp esp利用与优化, 0x00 前言 在《Windows Shellcode学习笔记——shellcode在栈溢出中的利用与优化》中对栈溢出的利用做了介绍。通过将返回地址覆盖为shellcode在内存中的起始地址,实现对栈溢出的利用 但是shellcode在内存中的起始地址往往不...
【0day shellcode编写艺术】—— jmp esp、动态获取api。后续:编码、压缩
desword-- 技术,杂文。
12-11 2770
此次主要徒手体会了一下编写shellcode 的不容易。当真不容易,看着作者的代码,都感觉自己无处可以下手了。 需要的底层原理知识也还挺多需要补充上去的。 打算后期再逐渐补充。目前阶段将jmp esp弄懂了。后面动态获取api在主机上出错了。问题和搜索jmp esp代码时候貌似一样,产生访问越权的问题。后期再继续解决吧。 目前整理一下整个的思路。 1、shellcode、expoit的概念;
利用JMPESP执行shellcode
爱.NET
06-15 797
利用JMPESP执行shellcode 1. 前言.Linux下面Buffer overflow中利用跳转到堆栈中的shellcode用的比较多, windows下面利用JMP ESP跳转的比较多, 本文没有什么技术新意,不过是突发奇想, 改变一下我自己以往的方法而已.2. 比较.经常使用的跳转到堆栈的shellcode方法有很好的一面, 比如可以把shellcode放到ENV里面, 这样可以逃...
PWN-shellcode
MuMuLee_的博客
09-26 1830
构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖掉正常的返回地址。 题目: 1Ch=16+12=28,+esp=32:偏移量是32 能溢出:100-0x1c-4=68字节 C伪代码: 理论基础 函数返回步骤 : 保存返回值:函数返回值保存在EAX寄存器 弹出当前栈帧,恢复上一个栈帧 a) ESP + 当前栈帧大小:堆栈平衡基础上,降低栈顶,回收当前栈帧空间...
二进制菜鸟之栈溢出漏洞利用思路
Blood_Pupil的博客
08-06 961
作为一只二进制菜鸟,不,应该是作为一只各安全领域的菜鸟,感觉二进制学的还是蛮开心的,每天也都能学到点新的东西,调试代码的过程也是非常令人开心。今天总结下目前学到的栈溢出漏洞的利用思路 栈溢出漏洞简介 我们知道C语言中有些字符串操作函数不会对字符串的长度进行检查,比如strcpy。 #include<stdio.h> #include<string.h> char nam...
软件安全试验2
heminzhang的专栏
04-02 1204
这篇日志里,只分析了stackoverrun和stackvar,另外一个overflowet由于相似性就不再写了,如果你不知道怎样输入对应16进制的ascii码,可以直接拉到最后看最后一点 我又改了改,实际上对不对还是不太确定,因为堆栈那边的东西没吃懂。。。。 stackvar 篇 首先我们需要找到程序的具体比较函数的入口点。我们在OD里按F8,发现到00401724的call边
另类HOOK 以KiFastSystemCall为例
Rprop
01-21 2683
标题的另类并非什么高新技术, 说白了仍是满大街的inline hook, 只不过它为解决可patch空间不足提供了一种有限的解决方案, 本文以早期32位windows系统的以KiFastSystemCall为例.
【逆向】软件漏洞shellcode
一个努力生活的人的博客
07-14 394
解决方法:因为shellcode的注入方法都是通过程序输入字符串的位置进行注入,因此如果shellcode中出现了0x00,就会导致shellcode提前被截断,这样就无法直行shellcode原本的功能。利用xdbg工具查找的栈中shellcode起始地址,用该地址淹没返回地址,这个地址会经常发生变化,须找到一个能动态定位到shellcode起始地址的办法。解决方法:因为执行完ret后,除了eip的值被修改了,esp的值此时能刚好存放shellcode的起始位置。因此只需要从系统调用的dll文件中找到。
缓冲区溢出漏洞攻击——Shellcode编写
热门推荐
pianogirl123的博客
12-19 1万+
一、实验内容利用一个程序漏洞,编写shellcode,达成效果:蹦出对话框,显示“You have been hacked!(by JWM)”二、实验原理因为输入了过长的字符,而缓冲区本身又没有有效的验证机制,导致过长的字符覆盖了返回地址。如果覆盖的返回地址是一个有效地址,而在该地址处又有有效的指令,那么系统就会毫不犹豫地跳到该地址处去执行指令。本次实验中用到了跳板jmp esp)由于操作系统每次
软件安全实验——lab6(缓冲区溢出2:使用jmp esp或者call esp方法和修改函数指针)
Onlyone_1314的博客
07-30 1212
目录标题Task 1第一步:打开内存地址随机化第二步:编译上面的程序为Set-UID程序,注意加上-fno-stack-protector进行编译第三步:bof的返回地址第四步:确定缓冲区的位置第五步:返回地址和缓冲区之间的距离Task 2第一步:打开内存地址随机化第二步:编译上面的程序为Set-UID程序,注意加上-fno-stack-protector进行编译第三步:strcpy函数的返回地址第四步:hmm函数的地址第五步:攻击 Task 1 下面的程序具有缓冲区溢出利用jmp esp或者call e
缓冲区溢出(栈溢出)实验 之 JMP ESP
大头的博客
07-27 9643
3、缓冲区溢出JMP ESP 本文属于原创,如有错误请指正。其中引用他人的部分已经标出,如涉及版权问题请联系本人 这里不得不讲一讲JMP ESP的原理了,在实验之前我一直没看懂他是如何试下跳转ESP之后回到栈区执行我们的shellcode的。在实验中你仔细观看会发现随着函数栈的销毁ESP是在变化的,JMP ESP正式利用这种变化,将我们精心准备的shellcode执行。   JMP ES...
获得jmp esp地址
qq_41683305的博客
02-13 1890
对于大部分想要利用缓冲区溢出的人来说,jmp esp就再熟悉不过了,我最近发现网上将如何如何利用它的人太多太多,可是就是没人告诉在shellcode 中到底jmp esp的地址在哪,有些直接给除了它的地址可是由于jmp esp随系统的不同地址也不同,有可能别人能用,你拷下就没办法,于是,我便贴出下面一个实用程序,方便大家,而且值得一提的是如果将程序稍加修改,便可以查找任何机器码所对应汇编代码的地址...
jmp指令对应的机器码
心之所向,身之所往
01-07 8094
jmp指令对应的机器码  (2012-08-27 20:18:26) 转载▼ 标签:  杂谈 分类: 驱动逆向 od随便打开一个记事本,汇编几条jmp指令,可以看到如下 地址           HEX              反汇编 010073B4     - E9 7B9E8787      JMP 8888123
没找到jmp esp指令怎么办
06-11
如果在特定的程序或操作系统中找不到 `jmp esp` 指令,有以下几种可能的解决方法: 1. 找到类似的指令替代:可以尝试找到与 `jmp esp` 功能类似的其他指令,如 `call esp` 等。但需要注意这些指令的功能和安全性,...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值