溢出漏洞原理及利用
本文是作者学习过程的笔记整理而来的,如有错误,还请见谅!
接上一篇
利用溢出执行系统的MessageBox
既然是函数的返回地址被淹没了,导致执行返回地址处的代码的时候出错,我们也看到返回地址处是我们在password.txt中输入的数据当成了地址,那么我们是不是可以控制这个数据,让它返回的时候返回我们自己想要执行地方.
简单测试(弹出系统MessageBox):
因为之前已经想到了要使用MessageBox,所以其实代码中早就加入了
if (NULL == (fp = fopen("password.txt", "rb")))
{
MessageBoxA(NULL, "Open File Fail", "error", NULL);
exit(0);
}
这样是为了测试跟演示方便(不需要在加载其dll了).
好,我们先找到程序中MessageBoxA函数的地址
使用x64dbg打开源程序,ctrl+G输入表达式MessageBoxA确定,
如下,找到地址0x7666F8B0
使用010Editor以十六进制的方式打开password.txt文件,找到函数返回地址处
更改成MessageBoxA的地址(0x7666F8B0):
那么MessageBoxA还有4个参数呢,把它们放在哪里呢?
根据函数栈中的结构,我们知道参数是在返回地址的高地址处,这个源程序也把文件中的数据顺序复制到栈中了.所以我们直接在函数返回值后边”压栈”4个参数0.
保存password.txt文件,再次运行源程序测试.
弹出了对话框,测试成功.
利用溢出执行自己的代码
构造最简单的HelloWorld版本Shellcode
经过测试,我们知道利用这个函数的返回