漏洞利用exploit ——跳板技术 静待春暖花开之时,你我相见 听你说一声 好久不见

最新推荐文章于 2024-02-26 07:00:00 发布
最新推荐文章于 2024-02-26 07:00:00 发布
阅读量2.2k 收藏 2
点赞数
分类专栏: 漏洞分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sxr__nc/article/details/104653567
版权

expolit指的是漏洞利用的过程,一般一一段代码的形式出现。exploit的核心功能是淹没函数的返回地址,获取进程的控制权限
关于shellcode前边已经做过相关的介绍,那么shellcode和exploit二者之间有什么联系呢?其实二者在本质上是没有任何联系的但是二者又息息相关,我们知道exploit的核心功能就是提权(getshell),而shellcode就是我们在提权之后要执行的命令,但是exploit只管提权不管提权之后要干什么,而shellcode则只管提权之后的命令执行不管是否提权,所以说这二者互不相干又息息相关。

我们所说的跳板技术其实是一种动态定位shellcode的方法,当然与之相对应的还有静态定位shellcode 的方法,前边在对shellcode进行介绍的时候,也并没有对shellcode的定位进行介绍,这里就对这两种方法简单的进行介绍:

静态定位shellcode

以缓冲区溢出为例:我们所说的静态定位方法就是在动态调试程序的时候,计算出函数在执行过程中的返回地址,然后利用缓冲区溢出的原理将原来的函数返回地址覆盖成为另一个地址,而这个地址就是shellcode存放的地址。这个过程就是静态定位shellcode的方法。这种方法便于理解但是有一个不可避免的弊端:在每次程序重新装载的时候,缓冲区的起始地址和函数的返回地址都可能会发生变换,因此,在这种静态定位shellcode的方法中,很容易导致函数返回地址的覆盖错误,导致程序跳向未知数据的地方导致程序运行出错
静态定位shellcode的过程如下图所示:
在这里插入图片描述
***题外话:***需要注意的是,shellcode的开发,不同于普通意义上的开发,shellcode的开发,需要在不断地动态调试的过程中去改进,不管是代码的体量还是代码插入的位置,都需要经过一番思量,而且在不同编译器的优化下动态调试的过程也不尽相同,因此,shellcode的学习和开发需要在查阅资料和自己动手调试的基础上共同进行才能对整个过程以及原理更清晰的掌握

跳板技术

之所以会使用到跳板技术是因为在静态定位shellcode 的过程中,我们需要将函数的返回地址覆盖成为shellcode的地址,但是(还是以缓冲区溢出为例),我们的shellcode是填充在缓冲区内部(或者其他数据空间里边),而且我们在填充shellcode的时候,该地址是被硬编码了的,在下一次程序重新装载之后,我们的缓冲区的地址就会发生变化,也就是我们常说的“帧移位”,这个时候再按照之前的硬编码数据进行地址覆盖的时候,就会造成程序EIP 指向其他数据导致程序无法正常运行(程序奔溃),为了解决这个问题,提出了跳板技术进行shellcode的动态定位。
要实现shellcode的动态定位,也就是说不管什么时候我们都能找到一个不变的量,以此为依据才能进一步找到shellcode的位置。

这里介绍一种情况下的跳板寻找:以jmp esp为跳板,具体实现过程如下:
1:将函数返回地址处的指令修改为jmp esp的地址(也就是将函数的返回地址重定向)(一般情况下,ESP 寄存器中的地址总是指向系统栈中且不会被溢出的数据破坏。函数返回时,ESP 所指的位置恰好是我们所淹没的返回地址的下一个位置),当然也可以修改为其他指令,这就需要在shellcode的开发过程中自己去调试获得这个不变的量或者是变化有规律的量
2:跳转指令jmp esp执行之后,开始将之后的地址空间覆盖为shellcode,这样再jmp esp指令执行过后,就会跳到shellcode的空间。如下图所示
在这里插入图片描述
那么现在还有一个问题需要解决,那就是用来重定向返回地址的地址从何而来也就是说jmp esp这个指令的地址从哪来,这个其实相对比较好解决,在程序装载的时候会加载一些模块到内存空间去,我们可以在内存空间里边直接搜索这个指令的机器码 0xFFE4就可以了,可以自己编写程序实现,也可以通过OD来动态调试的过程中找到相应指令的地址,但是需要注意的一点是,这个跳转指令在一定程度上需要有通用性才比较使用,当我们采用跳板的方式来定位shellcode的时候就希望能够在极大程度上减轻压力,因此通用性也是一个需要考虑的因素,在不同的操作系统和不同的版本里边,一个模块(主要指常见的动态链接库)里边指令的地址是不一样的,所以选择的时候也要多加注意。

这样跳板的地址找到之后,就可以进行动态定位shellcode了,定位到shellcode之后就可以开始为所欲为了(当然前提是插入有效能够实现功能的shellcode代码)

当然除此之外还有其他的情况发生 比如说,在一些判断条件比较严格的漏洞里边,我们用跳板来定位shellcode 很难做到,但是静态定位的方法又不准确那这个时候我们使用什么方法呢?
下边介绍两种思路,
第一种就是增加我们“靶子”的面积,所谓“靶子”是指shellcode所处的内存区域,我们可疑淹没一大片的内存区域,将前边的内存区域都覆盖为nop指令,而把真正的shellcode放在后边,这样,只要返回地址在nop指令的区域里,就可以执行我们的shellcode指令,如下图所示:
在这里插入图片描述
第二种:增加“扫射面积”
我们说的增加扫射面积。其实和上边的增加“靶子面积”大同小异,不同的是,这种方法采用的是多个返回地址来覆盖真正的返回地址,以此来增加命中的几率,如下图所示:
在这里插入图片描述

Psy_Hacker
关注
专栏目录
getExploit:从exploit-db.com下载漏洞利用程序
05-25
注意:如果是首次运行,该脚本将在启动时自动下载最新的漏洞利用程序存档。 如果要更新从exploit-db.com下载的数据库,请运行getExploit.py updatedb ,它将开始从网站下载最新的漏洞利用列表。搜索漏洞search命令...
【总结】网安术语EXP、POC、Shellcode、Payload简单
最新发布
风舞雪凌月的博客
04-09 1549
EXP(Exploit):漏洞利用,一般是完整的漏洞利用代码或程序POC(Proof of Concept):漏洞概念验证,一般用于证明漏洞存在,不具有攻击性Shellcode:获取shell的代码,获取shell是大部分攻击的最终目的Payload:攻击载荷,一系列具有完整框架性的攻击代码。
什么是EXP漏洞
qq_44833342的博客
05-29 958
EXP漏洞概念
Metasploit 如何使用Exploits(漏洞
jklbnm12的博客
02-23 681
在Metasploit中选择一个漏洞利用程序将’exploit’和’check’命令添加到msfconsole。 msf > use  exploit/windows/smb/ms09\_050\_smb2\_negotiate\_func\_indexmsf exploit(ms09\_050\_smb2\_negotiate\_func\_index) > help...略...Exploit 命令=======
【安全】漏洞名词扫盲(POC,EXP,CVE,CVSS等)
热门推荐
qqchaozai的专栏
12-16 2万+
POC(Proof of Concept) 漏洞证明,漏洞报告中,通过一段描述或一个样例来证明漏洞确实存在 EXP(Exploit漏洞利用,某个漏洞存在EXP,意思就是该漏洞存在公开的利用方式(比如一个脚本) 0DAY 含义是刚刚被发现,还没有被公开的漏洞,也没有相应的补丁程序,威胁极大。 CVE(Common Vulnerabilities & Exposures) 公共漏洞和...
Exploit Pack 漏洞利用工具包
m0_60571990的博客
11-21 1100
Exploit Pack 漏洞利用工具包
漏洞利用篇(上)
m0_57929980的博客
06-16 7393
漏洞利用篇:介绍漏洞利用的基本概念及示例,主要讲解Shellcode的编写与编码
exploit:我写的一些内核漏洞利用
07-02
我写的一些内核漏洞: CVE-2009-2692-sock_sendpage.c CVE-2009-2698-udp_sendmsg.c Intel_sysret.c can_bcm_exp.c csaw文件 nfs_mount.c perf_exp.c perf_stack.c
Jboss Application Server反序列化命令执行漏洞利用工具(CVE-2017-12149)
07-23
在2017年,它被发现存在一个严重的安全漏洞,被称为CVE-2017-12149,这是一个反序列化漏洞,允许远程攻击者通过精心构造的输入来执行任意系统命令,从而对受影响的系统造成严重威胁。 反序列化是将已序列化的对象...
内核漏洞利用技术文章集合
04-05
内核漏洞利用技术是网络安全领域中的重要研究方向,它涉及到操作系统的核心部分——内核的安全性。内核是操作系统的心脏,负责管理硬件资源、调度进程、处理系统调用等关键任务,因此,任何针对内核的漏洞都可能导致...
Exploit-Development:我把漏洞利用POC扔在这里
03-17
在IT安全领域,"Exploit Development" 是一个关键的话题,涉及到如何发现、分析和利用软件中的漏洞。"POC"(Proof of Concept)是证明某个安全漏洞确实存在的一个简化的代码或过程,通常用于学术研究、漏洞报告或者...
四、漏洞发现
weixin_70557959的博客
05-09 2684
42、漏洞发现-操作系统之漏洞探针利用修复 一、漏洞扫描工具演示-Goby,Nmap,Nessus(操作) 1.goby忍者系统测试 可以到官网下载,也可以直接使用忍者系统里的 进行扫描 扫描结果 可以查看端口,协议等等 点击192.168.137.12的漏洞 漏洞描述(ms17-010) 访问漏洞的网站链接(漏洞利用的代码) 2.nmap扫描 43、漏洞发现- ...
Metasploit 漏洞利用Exploit)详解
悦分享
11-27 1058
由于它经常发生在SEH溢出攻击中,我们现在需要找到一个POP POP RET(其他序列也很好,以及在“击败Microsoft Windows 2003服务器的基于堆栈的缓冲区溢出预防机制”Litchfield 2003)中的地址,以便将执行流程重定向到我们的缓冲区。所以我们看到我们调用了pattern_create函数,它最多只需要两个参数,我们正在创建的缓冲区的大小以及一个可选的第二参数,它们使我们可以控制缓冲区的内容。请注意,将最初的公共漏洞利用作者命名为他们的辛勤工作是首先发现该漏洞的通常礼貌。
渗透测试神器-msf基础
qq_51796436的博客
12-01 5279
渗透测试在远控,权限维持阶段不可避免的要用到msf,在awd中也会经常用到,msf的功能不可谓不强大
黑客的隐藏术之跳板攻击
Candour_0的博客
03-05 264
黑客的隐藏术之跳板攻击
Exploit编写教程1:栈溢出
周无争的博客
05-26 2247
Exploit编写教程1:栈溢出 要点提示: 复现环境首选 WinXP,因为没有 地址随机化ASLR,可以减少复现难度。ASLR在 Vista以上版本才有。 用到的工具有:python3\pwntools\windbg\x32dbg\msfvenom 造成崩溃后查看EIP是否为目标地址,使用 d esp 查看栈中的数据。 直接使EIP指向ESP不会有效果,要使EIP指向 jmp esp 指令的地址。 查看软件加载的DLL所在的地址范围,再使用 s 1a800000 l 1f200000 ff e4 查询该
Metasploit -- 渗透攻击模块(exploit)
weixin_41489908的博客
02-25 2920
终于熬成了不想和任何人话,包括家里的人都不想联系,厌倦了这个世界的是是非非,就算你晚上有太阳我都不想辩解了。。。 ​---- 网易云热评 作用:渗透攻击模块可以直接发起渗透攻击 1、显示所有渗透攻击模块 showexploits 根据需求筛选模块 search -h 2、查找关于mysql数据库的攻击模块 search name:mysql type:exploit 3、查找路径含有mysql的模块 searchpath:mysql 4、查找漏洞编号 sea...
Exploit编写教程2:跳转的多种姿势
周无争的博客
06-09 2032
在上节文章中,讲解了发现漏洞并构建有效 exploit 的基础知识。在使用的例子中, ESP 直接指向栈缓冲区的 Shellcode 开头,并且可以使用 语句来跳转到 Shellcode 。使用 是一个几乎完美的方法,但不是每次都那么容易。本节文章将讨论执行或跳转到 Shellcode 的其他方法,最后谈谈遇到较小的缓冲区如何应对。有以下方法可以执行 Shellcode :可能有多种方法跳转到 Shellcode ,也可能只有一种方法,也可能需要多种技术的组合。一个漏洞也很可能只会引发崩溃,不能利用。如
<网络安全>《52 网络攻防专业课<第十五课 - 跳板
Else 的博客
02-26 2010
当攻击者入侵被攻击者时,被攻击者可以根据IP地址追踪攻击者来自哪里。攻击者为了隐藏自己的真正IP,通常会采用跳板,如右图, 攻击者通过2个跳板攻击被攻击者。即使被攻击者进行反向追踪,也只能追踪到攻击来自跳板2。如果需要进一步追踪,就需要在跳板2上追踪,而在跳板2上也只能追 踪攻击是来自跳板1。如果被攻击者、跳板1、跳板2分布在不同的国家,将使得追踪攻击者成为一个政治问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值