如何利用栈溢出执行指定的的代码_栈溢出原理和利用

最新推荐文章于 2023-05-25 11:54:52 发布
最新推荐文章于 2023-05-25 11:54:52 发布
阅读量514 收藏 1
点赞数
文章标签: 如何利用栈溢出执行指定的的代码

作者:自然dashen

原文&附件链接:[原创]栈溢出原理和利用-『二进制漏洞』-看雪安全论坛

案例代码

int main(void){char cPas[20]={20 *0};int iResult;FILE* pFile = NULL;pFile = fopen("pd.txt", "r");fscanf(pFile, "%s",cPas);iResult=strcmp(Password, cPas);if(iResult == 0){printf("Welcomrn");}else{printf("failrn");}fclose(pFile);return 0;}

栈溢出原理

  • 栈溢出是指向向栈中写入了超出限定长度的数据,溢出的数据会覆盖栈中其它数据,从而影响程序的运行。

+ fscanf()函数(有点像正则表达式):功 能: 从一个流中执行格式化输入,fscanf遇到空格和换行时结束,注意空格时也结束。用 法:int fscanf(FILE *stream, char *format,[argument...]);

  • 案例代码中fscanf读取文件到cPas中,没有限定读多少,那么可以读大量的16进制到栈里
  • 如图:
    把断点下到fscanf这个函数在这里,注释是我自己写的
    可以发现buff是ecx的值,所有在堆栈那里跟到buff
    然后选择锁定堆栈,为了让我们方便观看这一块堆栈

aac2245e33e0453920d58f10cbea3ed3.png


F8单步走一步,然后发现读的值在栈里面了,可以发现下面有个返回地址,
如果我们把读的数据返回地址给覆盖成我们的代码地址呢?是不是就可以执行我们的代码了。返回地址是6*7=28字节后面的4自己改我们的返回地址

6423eca4d07e8c645e23c5a7c978209f.png


由上图可以知道第25个字节是我们的返回地址,编写好记住栈的返回地址的地址是0018FF4c,我们往这个地址里面改成我们需要返回的地址内容,我改的是0018FF50,下面是我的nop代码

1b28bc52ea53b0bd9416ac42207cdb1e.png


F8执行fscanf,读入的数据把返回地址覆盖了,返回地址变成了0018FF50,

060af17fd3a0a20a8d6a69b418653afd.png


最后走到retn的地方,retn的操作是jmp esp 并且 pop esp
所有单步F8的话会到0018FF50这个地方执行代码

d00069fae6a87a09c251da814a0b6de4.png


观察Eip和反汇编窗口,发现执行了我们的代码

b4e6034cdc4c8725df4d5bff1b1e3207.png

栈溢出漏洞的利用

  • 问题
  1. 首先栈的位置不一定能确定,那么返回值的代码同样不能确定,我们的目的是要在返回函数地址的下一行执行我们的代码
  2. fscanf函数在读取到0XA,0XC,0X20...这样的Hex时会被中断
  • 解决问题
    • 第一个问题我们可以使用jmp esp这个解决,HEX为FF E4,在返回地址处填上jmp esp这句代码的地址,这个exe的代码里面搜索到FF E4,把返回地址改成这个即可。
      • 搜索方法:
        ALT+M 然后Ctrl+B搜索

697190638beed2c7e78a05ebd0467d59.png


使用插件搜索

b7ab5edad9513a5b92b232d7fe566944.png


可以发现非常多的log,这里我们一般选择主模块(随机基址会出问题)的或者kerenl32.dll、ntdll.dll,窗口的程序加上user32.dll(Winows必定会加载的dll,加载顺序都一样,但是可能系统版本不一样,导致dll不一样),这里看情况办事了

65e42bbfe3b6cfb7e6a2986e0217bb3f.png

1c569ecad050e7c51cad26d61ff2917a.png
    • 第二个问题我们可以对fscanf代码进程加密使其不产生这些Hex
      • 使用工具

f7c724bc623079b7f955d94bf9debbfc.png


特征文件的后缀是.fea

3099faea1cfed6f21ed9820e6f385fa9.png

cae7ba396f053dd54c8366faf222d9e4.png


需要异或的代码后缀是.code

利用漏执行shellcode

论坛随便看到的shellcode

0a2dd660512fdeb949627c410099a4dc.png

Explanation:6a 0b push 0xb58 pop eax 99 cdq 68 2f 73 68 00 push 0x68732f 68 2f 62 69 6e push 0x6e69622f89 e3 mov ebx,esp 31 c9 xor ecx,ecx cd 80 int 0x80

然后就是发现这段shellcode里面有 cd 0b这样的阶段HEX
所以我自己写了改这段代码的shellcode

.386.model flat, stdcall ;32 bit memory modeloption casemap :none ;case sensitive.codestart:call NextNext:pop ebxsub ebx,offset Nextlea eax,[ebx+offset mydata];1Bh==>Bhmov bl,[eax+1]sub bl,10hmov [eax+1],bl;0CEh==>CDhmov bl,[eax+18]dec blmov [eax+18],blmydata db 6Ah,1Bh,58h,099h,68h,2Fh,73h,68h,00h,68h,2Fh,62h,69h,6Eh,89h,0E3h,31h,0C9h,0CEh,80hretend start

编译链接exe,用winhex打开复制shellcode代码

957ce393de0a6179ad060c7b7e828a7d.png

复制到我们的输入中去

c9614f145db1d7d4aa7f586df953edd0.png


OD执行下

7fee2c4bb4ce5361b2f0319673ec6480.png

7fee2c4bb4ce5361b2f0319673ec6480.png

怎么防止栈溢出漏洞

  1. 系统中开启DEP(数据保护执行)

5f4caf2266fbf65d269743635875db6e.png
  1. 编译的时候VS中有选项

a3ecf3f6de99024c3fb9af2ad59eafa8.png
weixin_39707612
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
溢出漏洞
03-30
在“湖湘杯2016网络安全技能大赛pwnme”这个挑战中,参赛者可能需要理解溢出的工作原理,分析提供的程序代码,寻找可能的溢出点,然后构造特定的输入数据来覆盖返回地址,实现控制程序执行流程的目的。这需要扎实...
溢出攻击技术及实例代码
06-11
在"溢出攻击技术"这个主题中,我们首先需要理解的基本结构和工作原理遵循“后进先出”(LIFO)的原则,新进入的数据会放在顶,最先进入的数据会在最后被处理。当函数调用时,会保存返回地址,以便在函数...
如何写出让java虚拟机发生内存溢出异常OutOfMemoryError的代码
weixin_30815469的博客
11-25 122
程序小白在写代码的过程中,经常会不经意间写出发生内存溢出异常的代码。很多时候这类异常如何产生的都傻傻弄不清楚,如果能故意写出让jvm发生内存溢出代码,有时候看来也并非一件容易的事。最近通过学习《深入理解java虚拟机-JVM高级特性与最佳实践》这本书,终于初步了解了一下java虚拟机的内存模型。本文通过写出使jvm发生内存溢出异常的代码来对自己的学习结果进行总结,同时也提醒自己以后写代码时...
溢出的经典代码
十年磨一剑,霜刃未曾试!
08-04 1892
<br />一个溢出的经典代码<br /> <br />#include <stdio.h><br />#include <string.h><br />void overflow(char* buf)<br />{<br /> char des[5]="";<br /> strcpy(des,buf);<br /> return;<br />}<br />void main()<br />{<br /> char longbuf[100]="aaaaaabbbbbccccc";<br /> overfl
溢出例子理解
qq_36760780的博客
07-22 6250
背景:最近在看一些教学视频,然后主讲人敲了一段溢出代码。我当场蒙蔽了-。- ! 而且他也没有细讲原理,最为一名爱探险星人,我决定Get it。 溢出示例代码: #include&lt;Windows.h&gt; #include&lt;stdio.h&gt; #include&lt;stdlib.h&gt; void Msg() { MessageBoxA(NULL, "嘿嘿!...
ArcGIS中文件共享锁定数据溢出
qq_15167261的博客
11-17 1万+
Access数据库,同时操作大量记录(9500条以上)时报错。 错误提示: Microsoft JET Database Engine 错误 '80040e21' 文件共享锁定数溢出。(Error 3052) 解决办法: 修改注册表。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Jet\4.0\Engines\Jet 4.0] "MaxLocksPe
溢出 代码植入
Misaka10046的博客
09-15 331
实验代码 #include<stdio.h> #include<windows.h> #define PASSWORD "1234567" int verify_password(char *password) { int authenticated; char buffer[44]; authenticated = strcmp(password,PASSWORD); strcpy(buffer,password);//overflowed return authenti
最新sql溢出代码(概念版).rar_溢出
09-14
在SQL溢出中,攻击者可能通过溢出修改函数调用,使得程序执行攻击者指定代码。 "www.pudn.com.txt"可能是一个指向资源的链接或者说明文件,PUDN(编程开发网络)是一个知名的资源共享平台,里面可能包含了更...
缓冲区溢出——溢出
08-04
**正文** 缓冲区溢出是计算机安全领域中的一个重要概念,...总之,理解溢出原理和防范措施对于编写安全的程序至关重要。开发者应时刻警惕潜在的溢出风险,采用适当的安全编程技术和工具,以抵御缓冲区溢出攻击。
二进制漏洞挖掘-溢出-开启RELRO1
08-04
溢出漏洞的原理在于,当函数调用结束,控制权返回到返回地址时,如果返回地址已被溢出的数据覆盖,程序就会跳转到攻击者指定的内存位置继续执行。这种攻击通常涉及覆盖全局 offset 表(GOT)。GOT 是动态链接器...
“文件共享锁定数溢出” 原因及解决方法
yingzi0011的专栏
10-16 7114
Access数据库,同时操作大量记录(9500条以上)时报错。错误提示:Microsoft JET Database Engine 错误 80040e21 文件共享锁定数溢出。(Error 3052) 解决办法:修改注册表。[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Jet/4.0/Engines/Jet 4.0]"MaxLocksPerFile"=dwo
Acess错误:"文件共享锁定数溢出"
记录学习中的点点滴滴,分享学习中的分分秒秒
09-02 2万+
对于ACCESS数据库,如果通过大量的SQL来操作数据库或者直接操作大量的数据时,经常会出现这种错误:      "文件共享锁定数溢出"     原因如下:     Access数据库,同时操作大量记录(9500条以上)时报错(这是指9500条SQL语句而不是数据的记录数)。     Microsoft JET Database Engine 错误'80040e21'    解决办
论坛中的问题:48(Microsoft.ACE.OLEDB.15.0 文件共享锁定数溢出 报错的解决方法)
weixin_30340775的博客
10-30 452
通过opendatasource函数删除access中的数据,报错: Microsoft.ACE.OLEDB.15.0 文件共享锁定数溢出 报错的解决方法。请增加 MaxLocksPerFile 注册表项值。 那么,有什么办法能解决这个问题呢? 实际上,从报错信息上,我们也可以大概的知道,可以通过增加MaxLocksPerFile 注册表项值 来解决这个问题。 ...
共享服务器文件溢出,文件共享锁定数溢出
weixin_32867521的博客
08-10 2575
原因Access同时添加删除9500条数据以上,就会出现文件共享锁定数溢出(Error 3052)的问题解决办法修改注册表中的MaxLocksPerFile值修改步骤打开注册表:在运行输入regedit,点击确定。依次找到注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Jet\4.0\Engines\Jet 4.0]双击MaxLocksPerFile修改注册表M...
Excel(Access)文件共享锁定数溢出(Error 3052)的解决方法
qq_38472535的博客
08-18 1735
Excel(Access)文件共享锁定数溢出(Error 3052)的解决方法
64位Win7下Access提示”文件共享锁定数溢出
njdxtj的博客
11-23 1万+
操作系统:64位Win7 Access版本:2007 今天在电脑上,打算使用SQL语句对数据库进行修改的,运行时提示:"文件共享锁定数溢出" ,查阅Access的帮助得知: 那按照这个解释那就修改注册表的MaxLocksPerFile值了。 对于Access 2007在64位的系统上: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432No
代码实现堆溢出溢出、永久代溢出、直接内存溢出
热门推荐
根号三
03-18 2万+
1. 溢出(StackOverflowError) 2. 堆溢出(OutOfMemoryError:Java heap space) 3. 永久代溢出(OutOfMemoryError: PermGen space) 4. 直接内存溢出
C语言溢出简述(以Linux为例)
qq_30576521的博客
04-15 707
本文以Ubuntu 22.04LTS和gcc11为环境,详细介绍了溢出的具体原理和导致溢出的手段以及溢出所导致的严重后果。此外提及了常见的溢出缓解(解决)方案。
Windows内存漏洞——溢出漏洞及其利用分析
最新发布
theglasssky的博客
05-25 766
windows系统中内存漏洞中关于溢出的部分
Android安全攻防指南_用户态软件的漏洞利用_编程案例解析实例详解课程教程.pdf
05-05
总结来说,这一章节涵盖了从基础概念如溢出原理,到实际操作中的exploit开发,再到高级堆利用技术的案例分析,为Android开发者提供了一套系统的学习框架,帮助他们提升对系统安全的认识和防护能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值