jmp esp、动态定位shellcode

最新推荐文章于 2022-05-30 14:57:54 发布
最新推荐文章于 2022-05-30 14:57:54 发布
阅读量152 收藏
点赞数

通过前面的学习,我们进一步利用了strcpy的未检查数据长度机制进行各种操作。

但是,如果我们的程序是动态的加载,可能会造成shellcode不能执行成功,即跳转到错误的位置。

这时候,我们就想利用程序本身的功能来完成这个,我们想到了jmp esp

淹没返回地址为jmp esp

使用插件收缩jmp esp或call esp

 1 0027762F   Location found: call    esp in [unknown]
 2  00277A0D   Location found: call    esp in [unknown]
 3  00277A17   Location found: call    esp in [unknown]
 4  003010C8   Location found: call    esp in [unknown]
 5  00305028   Location found: jmp     esp in [unknown]
 6  76D7B543   Location found: call    esp in [unknown]
 7  7C8369F0   Location found: call    esp in kernel32.text
 8  
 9  7C86467B   Location found: jmp     esp in kernel32.text
10  
11  7C868667   Location found: call    esp in kernel32.text
12  7C934663   Location found: call    esp in ntdll.text
13  7C97311B   Location found: call    esp in ntdll.text
14  7FFA4512   Location found: jmp     esp in [unknown]
15  7FFA54CD   Location found: jmp     esp in [unknown]
16             13 addresses found, 0 filtered

我们选择一个来作为跳转

淹没了esp后的数据

然后通过jmp esp使程序执行这些代码。

对应的

weixin_33859504
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
轻松将jmp esp方式 改写为jmp ebx方式.doc
11-09
在这种方式中,我们首先将缓冲区溢出,并覆盖系统原来的东西,然后将 jmp esp 的地址写入到返回地址处,这样当函数返回时,EIP 会被设置为 jmp esp 的地址,从而跳到我们的 ShellCode 中去执行。 jmp esp 方式的...
天道酬勤漏洞挖掘
07-23
教程名称:天道酬勤漏洞挖掘教程目录:【】1....获取跳板Jmp_esp的地址【】7.使用跳板定位exploit【】8.ShellCode加载与调试【】9.开发通用的ShellCode【 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
获得jmp esp地址
qq_41683305的博客
02-13 1875
对于大部分想要利用缓冲区溢出的人来说,jmp esp就再熟悉不过了,我最近发现网上将如何如何利用它的人太多太多,可是就是没人告诉在shellcode 中到底jmp esp的地址在哪,有些直接给除了它的地址可是由于jmp esp随系统的不同地址也不同,有可能别人能用,你拷下就没办法,于是,我便贴出下面一个实用程序,方便大家,而且值得一提的是如果将程序稍加修改,便可以查找任何机器码所对应汇编代码的地址...
win7下寻找不到jmp esp的地址
Tracy_yi的博客
05-30 420
描述 在做栈溢出时需要用到jmp esp指令,但是在kernel32和user32.dll中均未找到jmp esp的地址 解决 自己推测有可能是windows把jmp esp这条指令在几个重要的dll中隐藏起来了。可以去别的不知名dll中寻找。 按alt+E查看所有模块 双击打开其中一个,按ctrl+F查找命令 如果未找到条目的话就换一个,总会找到的 = = 欢迎指正 ...
linux如何查看jmp esp地址,问下windows7下的JMP ESP 指令的地址是多少?该如何解决...
weixin_29838911的博客
05-13 221
问下windows7下的JMP ESP 指令的地址是多少?最近学习缓冲区溢出,写了好几个都不能正常执行,后来跟踪进去看了下,执行到我填的那个JMPESP地址就不能读了,估摸是这个指令地址有问题,求各位大侠告知下,在网上也搜了好多JMPESP地址在w7下都不顶用。。。。。。。。。。。另外也请各位帮我看看是不是代码错了。。#include#include#includecharShellC...
使用C语言寻找jmp esp的地址
单核CPU的小朋友的博客
03-22 1181
需要加载user32的dll动态链接库,然后通过16进制的0xFF和0xE4来寻找jmp esp的跳转地址。 #include <stdio.h> #include <windows.h> #include <stdlib.h> int main() { BYTE *ptr; int position; HINSTANCE handle; BOOL done_flag = FALSE; handle = LoadLibrary(L"user32.dll");
缓冲区溢出(栈溢出)实验 之 JMP ESP
大头的博客
07-27 9568
3、缓冲区溢出之JMP ESP 本文属于原创,如有错误请指正。其中引用他人的部分已经标出,如涉及版权问题请联系本人 这里不得不讲一讲JMP ESP的原理了,在实验之前我一直没看懂他是如何试下跳转ESP之后回到栈区执行我们的shellcode的。在实验中你仔细观看会发现随着函数栈的销毁ESP是在变化的,JMP ESP正式利用这种变化,将我们精心准备的shellcode执行。   JMP ES...
JMPESP.rar_jmp_jmp esp_jmp9.02 crack_shellcode_sp3 jmp esp
09-24
获取jmp esp地址程序,shellcode编写需要用到
jmpesp.rar_jmpesp_jmp漏洞
09-21
当程序执行到“jmp esp”指令时,程序的控制权会转移到 ESP 寄存器所指向的内存地址,这意味着攻击者可以通过填充缓冲区,改变 ESP 的值,进而控制程序的执行流程。 二、漏洞形成条件 1. 缓冲区溢出:程序在处理...
练习二-缓冲区溢出.doc
11-29
`jmp esp`是一条无条件跳转指令,它将指令指针设置为堆栈指针ESP的当前值,使得程序执行从堆栈上的某个位置开始,通常是溢出后被填充的shellcode所在的位置。 实现缓冲区溢出的过程分为以下几个步骤: 1. **编写...
获取dll中的跳转指令地址jmp esp
Walter的专栏
09-11 5579
1、ntdll.dll和kernel32.dll文件属于Windows的系统文件,在Windows系统中扮演着重要角色。 ntdll.dll(NT Layer DLL)是Windows NT操作系统的重要模块,属于系统级别的文件。用于堆栈释放、进程管理。 kernel32.dll是Windows 9x/Me中非常重要的32位动态链接库文件,属于内核级文件。它控制着系统的内存管理、数据的输入输出
jmp esp 为跳板的shellcode开发
热门推荐
##
11-25 1万+
0x00 Shellcode概述 Shellcode与exploit 1) shellcode:缓冲区攻击中植入进程的代码。进行删改文件、窃取数据、上传木马并运行、格式话硬盘等。用汇编语言编写,并转换成二进制机器码,内容和长度受到苛刻限制。 2) exploit: 漏洞利用程序,用于生成攻击性的网络数据包或其他形式的攻击性输入。exploit的核心是淹没返回地址,劫持进程控制权,跳去执行shel
动态链接库中获取jmp esp地址
做一个快乐学习者
10-26 2103
#include &lt;windows.h&gt; #include &lt;stdio.h&gt; int main(int,char**,char**) { BYTE* pbyte; int nPos=0,nAddr=0; HINSTANCE hHinst=NULL; bool bTips=true; hHinst=LoadLibrary("user32.dll"); if(!...
利用JMPESP执行shellcode
爱.NET
06-15 795
利用JMPESP执行shellcode 1. 前言.Linux下面Buffer overflow中利用跳转到堆栈中的shellcode用的比较多, windows下面利用JMP ESP跳转的比较多, 本文没有什么技术新意,不过是突发奇想, 改变一下我自己以往的方法而已.2. 比较.经常使用的跳转到堆栈的shellcode方法有很好的一面, 比如可以把shellcode放到ENV里面, 这样可以逃...
动态定位API的shellcode
weixin_34320724的博客
11-09 223
前面的<<HOOK IAT RING3>>文章中使用到了shellcode,那么这个shellcode是怎么制造出来的呢,本文将为你一步一步的解惑 这个shellcode的主要功能是调用MessageBoxA弹出一个空的对话框,注意此时的地址空间是在别的进程,由于不同的操作系统会影响动态链接库的加载地址,而且不同版本的dll中函数的偏移量RVA也不尽相同,因此写一个通用型...
关于 [栈溢出后jmp esp执行shellcode] 原理分析
lixiangminghate的专栏
11-25 6212
网上关于栈溢出后用jmp esp执行shellcode的文章有很多,感觉分析的都没有戳到点,所以想结合自己调试的经历写下自己的想法。 正常情况下,函数栈分布图如下:---->栈内存由低向高方向-----> |------------栈变量----------|----ebp----|------返回地址------|函数形参| 发生溢出后,以上栈空间的内容被覆盖,可能从上面的布局变成这样:
万能jmp esp
gxustudent的专栏
07-22 1143
0x7ffa4512(JMP ESP),据说2000, xp, 2003下通用.
没找到jmp esp指令怎么办
最新发布
06-11
如果在特定的程序或操作系统中找不到 `jmp esp` 指令,有以下几种可能的解决方法: 1. 找到类似的指令替代:可以尝试找到与 `jmp esp` 功能类似的其他指令,如 `call esp` 等。但需要注意这些指令的功能和安全性,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值