虚函数突破GS

最新推荐文章于 2024-10-03 20:21:41 发布
最新推荐文章于 2024-10-03 20:21:41 发布
阅读量110 收藏
点赞数
文章标签: shell
原文链接:http://www.cnblogs.com/MeiJi/p/3737859.html
版权

 

  1. 如何确定变量的内存布局
  2. 为什么不直接执行buff里面的shellcode,而要绕远
    • 因为虚表指针指向buff,buff的地址还要指向另一个地址,没有办法直接执行buff。这是由虚函数与虚表性质决定。
  3. 为什么执行完call还必须返回shellcode,call不就是call进shellcode吗?
    • call是必须的,见问题2.然后剩下的问题是怎么回到shellcode内,一是把shell地址作为call的地址,但是地址在不同电脑上加载的时候是不一样的(?),所以地址的方法不可行;二是通过跳板跳转实现。这样需要注意的是跳板在shellcode的一开头,当作为shell的时候要被执行到,需要尝试一个“poppopretn”的地址时不产生异常(乱指令比较容易产生异常,但是也会被编译器放过去,尝试的时候7c开头的5个不成,78开头的2个都成功了)。

转载于:https://www.cnblogs.com/MeiJi/p/3737859.html

weixin_30709929
关注
同时替换栈中和.data中的Cookie突破GS
Yx0051的博客
08-02 685
最近刚刚接触漏洞调试逆向,希望能够将自己调试过程中的看法与大家分享,望大神们不要喷我。参考书籍就是有名的《0day》,作为想接触漏洞的新手非常适合。 言归正传 GS机制: GS会在函数调用前往函数栈帧内压入一个随机数(canary),然后等函数返回前,会对canary进行核查,判断canary是否被修改。因为canary的地址是(前栈帧EBP-4),所以如果溢出攻击想要覆盖返回地址,就会路过
《Windows安全机制》之GS机制
weixin_43742894的博客
06-02 2669
Windows安全机制第三弹——GS机制 第一篇《Windows安全机制——ASLR(地址随机化)及如何关闭ASLR》,地址如下:https://blog.csdn.net/weixin_43742894/article/details/105702886 第二篇《Windows安全机制——DEP保护》 ...
覆盖虚函数突破GS (踩坑)
weixin_30485291的博客
03-08 283
环境: xp sp3 vs 2008 参考文章: https://bbs.pediy.com/thread-211315.htm https://www.52pojie.cn/thread-490768-1-1.html 《0day安全软件漏洞分析技术》 10.3 节 代码: #include "stdafx.h" #include "string.h" class GSVirtual { pu...
虚函数绕过 GS保护 学习
weixin_30432179的博客
09-08 162
#pragma strict_gs_check(on) 强制设置 GS保护 VS2008 当缓冲区<=4字节时 不被 GS保护 设置上面的 可以强制保护 #include "stdafx.h" #include <windows.h> #pragma strict_gs_check(on) void f(char str[]) { char ...
0day 第10章--10.3:覆盖虚函数突破GS
I have a dream
11-01 447
实验环境:winxp sp3 vs2010 实验要求:程序要求禁用优化、release版本 实验原理:程序只有在函数返回时才检查Security Cookie,如果在函数检查之前劫持程序流程,就能实现缓冲区溢出了!因此可以利用C++中的虚函数!(为什么?见0day第6章攻击C++虚函数) [C++虚函数原理] {虚表指针-&amp;gt;虚表-&amp;gt;函数地址,call函数地址} 总结一下入的坑: (1)...
7.1 覆盖虚函数突破GS
qq_55202378的博客
10-10 686
GS 溢出
0Day》之通过覆盖虚表指针来突破GS
binghupo的博客
12-05 1073
对于栈溢出,微软做了GS防护,就是在函数栈帧初始化之后,生成一个随机的cookie,将其保存在EBP之前,同时在.data中也保存一份,在函数返回之前,先检测栈中cookie的值,如果我们还用之前栈溢出的方式,通过shellcode覆盖函数返回地址来达到溢出的目的,这时必然会覆盖掉栈中的cookie,这样的溢出就会被检测到,也就无法达到溢出的目的。但是正所谓你有张良计,我有过墙梯,GS的检测要在函
0day安全》栈中的守护天使:GS
weixin_50287973的博客
09-09 241
针对缓冲区溢出时覆盖函数返回地址这一特征,微软在编译程序时使用了一个很酷的安全编译选项——GS,在 Visual Studio 2003 (VS 7.0)及以后版本的 Visual Studio 中默认启用了这个编译选项。 以下情况不会应用 GS: (1)函数不包含缓冲区。 (2)函数被定义为具有变量参数列表。 (3)函数使用无保护的关键字标记。 (4)函数在第一个语句中包含内嵌汇编代码。 (5)缓冲区不是 8 字节类型且大小不大于 4 个字节。 修改栈帧中函数返回地址的经典攻击将被 GS 机制有效遏制;
0day安全》——栈中的守护天使:GS
sunr_的博客
08-26 382
GS安全编译选项 原理 在栈帧中压入一个随机DWORD,IDA称之为“security cookie”,位于EBP之前。系统在.data区块中存放一个security cookie的副本。当栈发生溢出是,security cookie将被覆盖,之后才是EBP和返回地址。函数返回之前比对两者的值,如果改变则说明security cookie已被破坏,发生了溢出。 例外 额外的数据和操作带来的直接后果就是系统性能的下降,为了将对性能的影响降到最小,编译器在编译程序的时候并不是对所有的函数都应用 GS,以下情况
栈溢出防御之——Windows安全机制GS编译选项
BetaBin
10-14 8316
安全漏洞中有个重灾区:栈溢出。利用类似memset之类的字符串修改函数,输入超出正常长度的字符串,导致栈溢出,从而影响其它数据(返回地址、标志变量等)。 维基百科给出的资料http://zh.wikipedia.org/wiki/%E5%A0%86%E6%A0%88%E6%BA%A2%E5%87%BA主要是函数无限调用导致的堆栈溢出,下面给出个0day2里面的例子温习下栈溢出: #includ
还原0day----覆盖虚函数突破GS
笔记本
05-12 460
接上一篇,与vc++6.0(并没有GS安全机制)不一样的是,vs2008启用GS后的实例内存布局有些不一样,结合0day代码探究下突破GS的具体细节 C++代码:vs2008 release 优化禁用 #include "stdafx.h" #include "string.h" class GSVirtual { public : void gsv(char * src) ...
0day 第10章--10.4节:攻击异常处理突破GS(2)
I have a dream
11-01 316
文章目录**实验原理:**实验环境:源程序: 实验原理: 传入参数过长,直到覆盖掉SEH句柄。将SHE句柄覆盖为shellcode地址即可。 实验环境: Winxp sp3 vs2010 Release版本、禁用优化、多了后面2个“否”(这样编译的程序就出现strcpy和strcat函数了,便于分析) 仅仅是这两个否,之后的程序分析就和书中一样了! 传说中的关闭safeseh的方法。。。 源程...
shell编程:export导出变量在shell和Makefile中差异
hs977986979的博客
09-28 224
在Makefile和Shell中,export命令的作用确实有一定的相似性,但具体的使用场景和效果有所不同。
进程的那些事--实现shell
2301_80148295的博客
09-28 499
目标:实现一个shell 实现思想: 1:捕捉用户的输入 2:对用户输入进行解析 3:创建子进程 3.1:对子进程进行替换,替换为对应的指令 3.2:替换失败子进程退出 4:父进程等待子进程退出--避免僵尸进程
(六)Shell 脚本应用(1):基础与环境变量详解
最新发布
卓琢
10-03 659
【代码】(六)Shell 脚本应用(1):基础与环境变量详解。
Shell参考 - 如何使用grep命令在文件中搜索字符串
guoqx的专栏
10-02 281
You can use `grep` to search for patterns within a file by following this syntax:Example:To search for the word "apple" in a file called `fruits.txt`, use:This will print the lines in the file `fruits.txt` that contain the word "apple."Common Options:- `-i
Linux权限
2302_82004664的博客
09-28 856
你看上了小花,但是有不好意思直接表白,那就让你你家人找媒婆帮你提亲,所有的事情你都直接跟媒婆沟通,由媒婆转达你的意思给小花,而我们找到媒婆姓王,所以我们叫它王婆,它对应我们常使用的bash。命令可以将自己的指令提权到root进行执行,而且是输入自己的密码,但是要自己在root的白名单中,这里我们在学会用vim后在进行更改。​ b.特殊情况下,配置umask,可以控制文件的默认权限,让我们的代码都是可控的。我们创建的目录都会有对应的权限,那么这些权限是如何进行创建的呢,如何修改呢。
【代码模板】Shell
XuanyuXiang
09-28 223
【代码】【代码模板】Shell
地统计学与半方差函数模型-GS+实战指南
"这篇教程介绍了地统计学中的半方差函数模型在GS+软件中的应用。GS+是一款用于地统计分析的工具,尤其适合处理空间异质性和相关性的数据。地统计学是一门研究空间分布现象随机性和结构的学科,其核心是通过样本点...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值