经过1.1和1.2节的讲述,我们已经知道了怎样更改EIP的值。

程序运行函数之后将跳转到我们设定的位置開始运行,因此,我们须要准备一个自己的程序,接手后面的工作。这是一个什么样的程序?是一个C语言编写的代码?是一个可直接调用的exe?肯定不是,由于EIP所指的地址保存的内容为指令的操作码,CPU读取该操作码运行相应的操作。

所以我们要准备的程序也应该是一段“操作码”。

继续写1.1中的Hello World。这次我们要把一个C语言编写的MessageBox换成一个仅仅有“操作码”的程序。要获取操作码非常easy,Immunity Debugger中显示出了每句汇编语句相应的操作码:



图19

上图就是调用MessageBoxA函数相应的汇编指令及操作码。

再正式写Shellcode之前,我们先编写一个汇编形式的MessageBox。

我们当然不是用MASM,而是使用VC++的内联汇编__asm,这样就须要解决几个问题。

(1)内联汇编中无法定义字符串常量“example_1”和“HelloWorld”,我们怎样定义它,并获取其地址?

我们无法用汇编语句中的db在内联汇编中定义字符串常量,但有一个东西在我们的掌控之下——栈,因此,能够将字符串硬编码压入栈上。同一时候能够获取其地址。

(2)内联汇编中没有API函数MessageBoxA,怎样调用它?

没有了c语言之间调用的MessageBoxA,但通过example_1在Immunity Debugger中的调试,我们知道了MessageBoxA的地址(见图5),为0x77d507ea(未启用地址随机化,且不同机器不相同),这个地址在我的Windows XP SP3下是固定的。

因此,我能够直接在汇编中调用该地址即可。

似乎没什么问题了,写出来例如以下代码:

/****************************************************************/

// example_3:内联汇编

int main()

{

    __asm

    {

        push    ebp

        mov     ebp, esp

        push    0x0000646c  // "ld"

        push    0x726f576f  // "oWor"

        push    0x6c6c6548  // "Hell"

        push    0x00000031  // "1"

        push    0x5f656c70  // "ple_"

        push    0x6d617865  // "exam"

        push    0

        lea     ebx, [ebp-18h]

        push    ebx

        lea     ebx, [ebp-0ch]

        push    ebx

        push    0

        mov     ebx, 0x77d507ea

        call    ebx

        add     esp, 18h

        pop     ebp

    }

    return 0;

}

/********************************************************* */

是的,不用头文件,也没有C函数(main除外)。编译运行它。然后炸了。。





图20

0x77d507ea訪问错误?这不是MessageBoxA函数函数吗?难道是我的地址找错了?用Immunity Debugger看看。



图21

这是main函数,能够看到中间我们用内联汇编写的代码基本保持原样。我们在CALL EBX上设断点,能够看到两个字符串及MessageBoxA的參数都已经被成功放入栈中:



图22

接着单步运行F7,发现CALL EBX跳转后没有不论什么指令,接着调试器给出了例如以下错误:



图23

查看以下内存空间,大概就能够发现问题了:



图24

是的,并没有0x77d507ea这个地址范围,也没有MessageBoxA所在的user32.dll。也就是说,程序根本没有载入user32.dll。这就是直接使用地址和通过API调用的区别。编译器不会检查0x77d507ea这个函数是否存在。

我们用简单的方法来验证这个猜想。用LoadLibrary载入user32.dll:

/****************************************************************/

#include <Windows.h>

int main()

{

    LoadLibraryA("user32.dll");

...

/****************************************************************/

好了。运行成功:



图25

但这不是我们想要的,我们不想要头文件,也不想要API调用。所以我们要再改一下,把LoadLibraryA也写入汇编中。LoadLibraryA位于kernel32.dll中,这个动态库是肯定会载入的。

因此。找到LoadLibraryA的地址即可了,在我的机器上为0x7c801d7b。程序改为这样:

/*****************************************************************************/

// example_3:内联汇编

int main()

{

    __asm

    {

        push    ebp

        mov     ebp, esp

        push    0x0000646c  // "ld"

        push    0x726f576f  // "oWor"

        push    0x6c6c6548  // "Hell"

        push    0x00000031  // "1"

        push    0x5f656c70  // "ple_"

        push    0x6d617865  // "exam"

        push    0x00006c6c  // "ll"

        push    0x642e3233  // "32.d"

        push    0x72657375  // "user"

        lea     ebx, [ebp-24h]

        push    ebx

        mov     ebx, 0x7c801d7b

        call    ebx // LoadLibraryA

        push    0

        lea     ebx, [ebp-18h]

        push    ebx

        lea     ebx, [ebp-0ch]

        push    ebx

        push    0

        mov     ebx, 0x77d507ea // MessageBoxA

        call    ebx

        add     esp, 24h

        pop     ebp

    }

    return 0;

}

/*****************************************************************************/

编译后运行成功。

这样,我们把这段汇编代码的操作码抠出来运行,也应该能够达到相同的效果。

先把操作码抠出来吧:

/*****************************************************************************/

55                   // PUSH EBP

8BEC                 // MOV EBP, ESP

68 6C640000          //PUSH 646C

68 6F576F72          //PUSH 726F576F

68 48656C6C          //PUSH 6C6C6548

6A 31                //PUSH 31

68 706C655F          //PUSH 5F656C70

68 6578616D          //PUSH 6D617865

68 6C6C0000          //PUSH 6C6C

68 33322E64          //PUSH 642E3233

68 75736572          //PUSH 72657375

8D5D DC              //LEA EBX,DWORD PTR SS:[EBP-24]

53                   //PUSH EBX

BB 7B1D807C          //MOV EBX,kernel32.LoadLibraryA

FFD3                 //CALL EBX

6A 00                //PUSH 0

8D5D E8              //LEA EBX,DWORD PTR SS:[EBP-18]

53                   //PUSH EBX

8D5D F4              //LEA EBX,DWORD PTR SS:[EBP-C]

53                   //PUSH EBX

6A 00                //PUSH 0

BB EA07D577          //MOV EBX,77D507EA

FFD3                 //CALL EBX

/*****************************************************************************/

去掉了尾部几句恢复EBP。ESP的语句。我们不再须要它。后面你将知道(可是首部的不能去掉,由于要用它寻址字符串),整理一下操作码:

/*****************************************************************************/

char opcode[] = "\x55\x8B\xEC\x68\x6C\x64\x00\x00\x68\x6F\x57\x6F\x72\x68\x48\x65\x6C\x6C\x6A\x31\x68\x70\x6C\x65\x5F"

"\x68\x65\x78\x61\x6D\x68\x6C\x6C\x00\x00\x68\x33\x32\x2E\x64\x68\x75\x73\x65\x72\x8D\x5D\xDC\x53\xBB\x7B"

"\x1D\x80\x7C\xFF\xD3\x6A\x00\x8D\x5D\xE8\x53\x8D\x5D\xF4\x53\x6A\x00\xBB\xEA\x07\xD5\x77\xFF\xD3";  /*****************************************************************************/

以下是測试程序:

/*****************************************************************************/

char opcode[] = "\x55\x8B\xEC\x68\x6C\x64\x00\x00\x68\x6F\x57\x6F\x72\x68\x48\x65\x6C\x6C\x6A\x31\x68\x70\x6C\x65\x5F"

"\x68\x65\x78\x61\x6D\x68\x6C\x6C\x00\x00\x68\x33\x32\x2E\x64\x68\x75\x73\x65\x72\x8D\x5D\xDC\x53\xBB\x7B"

"\x1D\x80\x7C\xFF\xD3\x6A\x00\x8D\x5D\xE8\x53\x8D\x5D\xF4\x53\x6A\x00\xBB\xEA\x07\xD5\x77\xFF\xD3";   

int main()

{

    int* ret;

    ret = (int*)&ret + 2;

    (*ret) = (int)opcode;

}

/*****************************************************************************/

測试程序中直接用opcode的地址覆盖了main函数的返回地址。程序运行效果例如以下:





图26

MessageBoxA成功运行,可是随后程序崩溃,这是正确的。由于我们覆盖了main的返回地址。opcode接管程序后无法再返回main中,程序跑飞了,无法正常结束。我们须要在opcode中结束它。须要再加一个ExitProcess调用,相同。我找到了它在我机器上的地址:0x7c81cafa。

将example_3中的最后两句:add esp, 24h, pop ebp 换为例如以下:

/*****************************************************************************/

xor     eax, eax

push    eax

mov     ebx, 0x7c81cafa // ExitProcess

call    ebx

/*****************************************************************************/

最后得到以下这个正常工作并退出的Shellcode:

/*****************************************************************************/

// example_4:MessageBox的Shellcode版本号

char opcode[] = "\x55\x8B\xEC\x68\x6C\x64\x00\x00\x68\x6F\x57\x6F\x72\x68\x48\x65\x6C\x6C\x6A\x31\x68\x70\x6C\x65\x5F"

"\x68\x65\x78\x61\x6D\x68\x6C\x6C\x00\x00\x68\x33\x32\x2E\x64\x68\x75\x73\x65\x72\x8D\x5D\xDC\x53\xBB\x7B"

"\x1D\x80\x7C\xFF\xD3\x6A\x00\x8D\x5D\xE8\x53\x8D\x5D\xF4\x53\x6A\x00\xBB\xEA\x07\xD5\x77\xFF\xD3\x33\xC0"

"\x50\xBB\xFA\xCA\x81\x7C\xFF\xD3";   

int main()

{

    int* ret;

    ret = (int*)&ret + 2;

    (*ret) = (int)opcode;

}

/*****************************************************************************/

栈溢出笔记1.3 准备Shellcode的更多相关文章

  1. 栈溢出笔记1.9 认识SEH

    从本节開始,我们就要研究一些略微高级点的话题了,如同在1.2节中看到的,Windows中为抵抗栈溢出做了非常多保护性的检查工作,编译的程序默认开启了这些保护. 假设我们不能绕过这些保护.那么我们的Sh ...

  2. shellcode在栈溢出中的利用与优化

    0x00 前言 在<Windows Shellcode学习笔记——shellcode的提取与测试>中介绍了如何对shellcode作初步优化,动态获取Windows API地址并调用,并通 ...

  3. 用于阻止缓冲区溢出攻击的 Linux 内核参数与 gcc 编译选项

    先来看看基于 Red Hat 与 Fedora 衍生版(例如 CentOS)系统用于阻止栈溢出攻击的内核参数,主要包含两项: kernel.exec-shield 可执行栈保护,字面含义比较“绕”, ...

  4. ciscn_2019_s_9

    很简单的一道题 例行检查 没有开启nx保护,就想到了shellcode来做 很明显的栈溢出 唯一的要求就是shellcode长度不能超过0x24 通过jump跳转到shellcode的位置 完整exp ...

  5. KTHREAD 线程调度 SDT TEB SEH shellcode中DLL模块机制动态获取 《寒江独钓》内核学习笔记(5)

    目录 . 相关阅读材料 . <加密与解密3> . [经典文章翻译]A_Crash_Course_on_the_Depths_of_Win32_Structured_Exception_Ha ...

  6. linux漏洞分析入门笔记-栈溢出

    ida7.0 ubuntu16.04 lts 0x00:环境配置 使用IDA远程调试Linux程序步骤如下: 1. 在进行远程调试之前需要对Linux平台进行一些准备工作.在IDA的安装目录中的dbg ...

  7. 【笔记】shellcode相关整理

    0x01:shellcode定义 Shellcode实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码,一般可以获取权限.另外,Shellcode一般是作为数据发送给受攻击服务器 ...

  8. 栈溢出原理与 shellcode 开发

     ESP:该指针永远指向系统栈最上面一个栈帧的栈顶  EBP:该指针永远指向系统栈最上面一个栈帧的底部 01  修改函数返回地址 #include<stdio.h> #include< ...

  9. shellcode 初次使用笔记

    winXP SP3 环境 (xp环境默认没开启栈不可执行机制,比较方便破解,如果已开启了,请自行百度如何关闭) dig.exe 目标文件 x86dbg调试工具 python 环境 打开准备好的目标软件 ...

随机推荐

  1. 电子助视仪 对比增强算法 二十种色彩模式(Electronic Video Magnifier, 20 color mode)

    电子助视仪 是一种将原始彩色图像转换为某种对比度高的图像,例如将原始图像变换为黑底白字,红底白字,白底红字,蓝底黄字,黄字蓝底等等.电子助视仪的主要应用场景为为老人或者特殊弱视人群的阅读.国内国外均有 ...

  2. IO流-复制多极文件夹(递归实现)

    package com.io.test; import java.io.BufferedInputStream; import java.io.BufferedOutputStream; import ...

  3. 【原】MySQL实用SQL积累

    [文档简述] 本文档用来记录一些常用的SQL语句,以达到快速查询的目的. [常用SQL] 1.mysql数据库中获取某个表的所有字段名 select COLUMN_NAME from informat ...

  4. 使用Chrome快速实现数据的抓取(四)——优点

    些一个抓取WEB页面的数据程序比较简单,大多数语言都有相应的HTTP库,一个简单的请求响应即可,程序发送Http请求给Web服务器,服务器返回HTML文件.交互方式如下: 在使用DevProtocol ...

  5. 使用注册表优化终端、编辑器的中英字体混合显示,如「Consolas + 雅黑」「Monaco + 雅黑」

    在终端.cmd.编辑器中偶尔会有中文字符出现,Windows下默认的点阵字体「宋体」和等宽英文字符放在一起非常违和.一个解决方法是下载混合字体,比如「Consolas + YAHEI hybrid」, ...

  6. ParseFloat有超长的小数位数的解决

    描述一下sum=parseFloat(num1)+parseFloat(num2),这个个sum=113.32000000000002,最后用了个Math.round(sum* 100)/100,解决 ...

  7. mysql 源代码讲解

    http://www.zhdba.com/mysqlops/category/mysql-source-code/

  8. AMD64 Instruction-Level Debugging With dbx

    http://www.oracle.com/technetwork/server-storage/solarisstudio/documentation/amd64-dbx-364568.html A ...

  9. spring 上下文和spring mvc上下文和web应用上下文servletContext之间的关系

    要想很好理解这三个上下文的关系,需要先熟悉spring是怎样在web容器中启动起来的.spring的启动过程其实就是其IoC容器的启动过程,对于web程序,IoC容器启动过程即是建立上下文的过程. s ...

  10. tomcat7.0.8的高级应用-apr1.4.2安装

    一 windows下安装 直接拷贝tcnative-1.dll到TOMCAT_HOME/bin目录下,启动即可 下载地址 http://archive.apache.org/dist/tomcat/t ...