经过1.1和1.2节的讲述,我们已经知道了怎样更改EIP的值。

程序运行函数之后将跳转到我们设定的位置開始运行,因此,我们须要准备一个自己的程序,接手后面的工作。这是一个什么样的程序?是一个C语言编写的代码?是一个可直接调用的exe?肯定不是,由于EIP所指的地址保存的内容为指令的操作码,CPU读取该操作码运行相应的操作。

所以我们要准备的程序也应该是一段“操作码”。

继续写1.1中的Hello World。这次我们要把一个C语言编写的MessageBox换成一个仅仅有“操作码”的程序。要获取操作码非常easy,Immunity Debugger中显示出了每句汇编语句相应的操作码:



图19

上图就是调用MessageBoxA函数相应的汇编指令及操作码。

再正式写Shellcode之前,我们先编写一个汇编形式的MessageBox。

我们当然不是用MASM,而是使用VC++的内联汇编__asm,这样就须要解决几个问题。

(1)内联汇编中无法定义字符串常量“example_1”和“HelloWorld”,我们怎样定义它,并获取其地址?

我们无法用汇编语句中的db在内联汇编中定义字符串常量,但有一个东西在我们的掌控之下——栈,因此,能够将字符串硬编码压入栈上。同一时候能够获取其地址。

(2)内联汇编中没有API函数MessageBoxA,怎样调用它?

没有了c语言之间调用的MessageBoxA,但通过example_1在Immunity Debugger中的调试,我们知道了MessageBoxA的地址(见图5),为0x77d507ea(未启用地址随机化,且不同机器不相同),这个地址在我的Windows XP SP3下是固定的。

因此,我能够直接在汇编中调用该地址即可。

似乎没什么问题了,写出来例如以下代码:

/****************************************************************/

// example_3:内联汇编

int main()

{

    __asm

    {

        push    ebp

        mov     ebp, esp

        push    0x0000646c  // "ld"

        push    0x726f576f  // "oWor"

        push    0x6c6c6548  // "Hell"

        push    0x00000031  // "1"

        push    0x5f656c70  // "ple_"

        push    0x6d617865  // "exam"

        push    0

        lea     ebx, [ebp-18h]

        push    ebx

        lea     ebx, [ebp-0ch]

        push    ebx

        push    0

        mov     ebx, 0x77d507ea

        call    ebx

        add     esp, 18h

        pop     ebp

    }

    return 0;

}

/********************************************************* */

是的,不用头文件,也没有C函数(main除外)。编译运行它。然后炸了。。





图20

0x77d507ea訪问错误?这不是MessageBoxA函数函数吗?难道是我的地址找错了?用Immunity Debugger看看。



图21

这是main函数,能够看到中间我们用内联汇编写的代码基本保持原样。我们在CALL EBX上设断点,能够看到两个字符串及MessageBoxA的參数都已经被成功放入栈中:



图22

接着单步运行F7,发现CALL EBX跳转后没有不论什么指令,接着调试器给出了例如以下错误:



图23

查看以下内存空间,大概就能够发现问题了:



图24

是的,并没有0x77d507ea这个地址范围,也没有MessageBoxA所在的user32.dll。也就是说,程序根本没有载入user32.dll。这就是直接使用地址和通过API调用的区别。编译器不会检查0x77d507ea这个函数是否存在。

我们用简单的方法来验证这个猜想。用LoadLibrary载入user32.dll:

/****************************************************************/

#include <Windows.h>

int main()

{

    LoadLibraryA("user32.dll");

...

/****************************************************************/

好了。运行成功:



图25

但这不是我们想要的,我们不想要头文件,也不想要API调用。所以我们要再改一下,把LoadLibraryA也写入汇编中。LoadLibraryA位于kernel32.dll中,这个动态库是肯定会载入的。

因此。找到LoadLibraryA的地址即可了,在我的机器上为0x7c801d7b。程序改为这样:

/*****************************************************************************/

// example_3:内联汇编

int main()

{

    __asm

    {

        push    ebp

        mov     ebp, esp

        push    0x0000646c  // "ld"

        push    0x726f576f  // "oWor"

        push    0x6c6c6548  // "Hell"

        push    0x00000031  // "1"

        push    0x5f656c70  // "ple_"

        push    0x6d617865  // "exam"

        push    0x00006c6c  // "ll"

        push    0x642e3233  // "32.d"

        push    0x72657375  // "user"

        lea     ebx, [ebp-24h]

        push    ebx

        mov     ebx, 0x7c801d7b

        call    ebx // LoadLibraryA

        push    0

        lea     ebx, [ebp-18h]

        push    ebx

        lea     ebx, [ebp-0ch]

        push    ebx

        push    0

        mov     ebx, 0x77d507ea // MessageBoxA

        call    ebx

        add     esp, 24h

        pop     ebp

    }

    return 0;

}

/*****************************************************************************/

编译后运行成功。

这样,我们把这段汇编代码的操作码抠出来运行,也应该能够达到相同的效果。

先把操作码抠出来吧:

/*****************************************************************************/

55                   // PUSH EBP

8BEC                 // MOV EBP, ESP

68 6C640000          //PUSH 646C

68 6F576F72          //PUSH 726F576F

68 48656C6C          //PUSH 6C6C6548

6A 31                //PUSH 31

68 706C655F          //PUSH 5F656C70

68 6578616D          //PUSH 6D617865

68 6C6C0000          //PUSH 6C6C

68 33322E64          //PUSH 642E3233

68 75736572          //PUSH 72657375

8D5D DC              //LEA EBX,DWORD PTR SS:[EBP-24]

53                   //PUSH EBX

BB 7B1D807C          //MOV EBX,kernel32.LoadLibraryA

FFD3                 //CALL EBX

6A 00                //PUSH 0

8D5D E8              //LEA EBX,DWORD PTR SS:[EBP-18]

53                   //PUSH EBX

8D5D F4              //LEA EBX,DWORD PTR SS:[EBP-C]

53                   //PUSH EBX

6A 00                //PUSH 0

BB EA07D577          //MOV EBX,77D507EA

FFD3                 //CALL EBX

/*****************************************************************************/

去掉了尾部几句恢复EBP。ESP的语句。我们不再须要它。后面你将知道(可是首部的不能去掉,由于要用它寻址字符串),整理一下操作码:

/*****************************************************************************/

char opcode[] = "\x55\x8B\xEC\x68\x6C\x64\x00\x00\x68\x6F\x57\x6F\x72\x68\x48\x65\x6C\x6C\x6A\x31\x68\x70\x6C\x65\x5F"

"\x68\x65\x78\x61\x6D\x68\x6C\x6C\x00\x00\x68\x33\x32\x2E\x64\x68\x75\x73\x65\x72\x8D\x5D\xDC\x53\xBB\x7B"

"\x1D\x80\x7C\xFF\xD3\x6A\x00\x8D\x5D\xE8\x53\x8D\x5D\xF4\x53\x6A\x00\xBB\xEA\x07\xD5\x77\xFF\xD3";  /*****************************************************************************/

以下是測试程序:

/*****************************************************************************/

char opcode[] = "\x55\x8B\xEC\x68\x6C\x64\x00\x00\x68\x6F\x57\x6F\x72\x68\x48\x65\x6C\x6C\x6A\x31\x68\x70\x6C\x65\x5F"

"\x68\x65\x78\x61\x6D\x68\x6C\x6C\x00\x00\x68\x33\x32\x2E\x64\x68\x75\x73\x65\x72\x8D\x5D\xDC\x53\xBB\x7B"

"\x1D\x80\x7C\xFF\xD3\x6A\x00\x8D\x5D\xE8\x53\x8D\x5D\xF4\x53\x6A\x00\xBB\xEA\x07\xD5\x77\xFF\xD3";   

int main()

{

    int* ret;

    ret = (int*)&ret + 2;

    (*ret) = (int)opcode;

}

/*****************************************************************************/

測试程序中直接用opcode的地址覆盖了main函数的返回地址。程序运行效果例如以下:





图26

MessageBoxA成功运行,可是随后程序崩溃,这是正确的。由于我们覆盖了main的返回地址。opcode接管程序后无法再返回main中,程序跑飞了,无法正常结束。我们须要在opcode中结束它。须要再加一个ExitProcess调用,相同。我找到了它在我机器上的地址:0x7c81cafa。

将example_3中的最后两句:add esp, 24h, pop ebp 换为例如以下:

/*****************************************************************************/

xor     eax, eax

push    eax

mov     ebx, 0x7c81cafa // ExitProcess

call    ebx

/*****************************************************************************/

最后得到以下这个正常工作并退出的Shellcode:

/*****************************************************************************/

// example_4:MessageBox的Shellcode版本号

char opcode[] = "\x55\x8B\xEC\x68\x6C\x64\x00\x00\x68\x6F\x57\x6F\x72\x68\x48\x65\x6C\x6C\x6A\x31\x68\x70\x6C\x65\x5F"

"\x68\x65\x78\x61\x6D\x68\x6C\x6C\x00\x00\x68\x33\x32\x2E\x64\x68\x75\x73\x65\x72\x8D\x5D\xDC\x53\xBB\x7B"

"\x1D\x80\x7C\xFF\xD3\x6A\x00\x8D\x5D\xE8\x53\x8D\x5D\xF4\x53\x6A\x00\xBB\xEA\x07\xD5\x77\xFF\xD3\x33\xC0"

"\x50\xBB\xFA\xCA\x81\x7C\xFF\xD3";   

int main()

{

    int* ret;

    ret = (int*)&ret + 2;

    (*ret) = (int)opcode;

}

/*****************************************************************************/

栈溢出笔记1.3 准备Shellcode的更多相关文章

  1. 栈溢出笔记1.9 认识SEH

    从本节開始,我们就要研究一些略微高级点的话题了,如同在1.2节中看到的,Windows中为抵抗栈溢出做了非常多保护性的检查工作,编译的程序默认开启了这些保护. 假设我们不能绕过这些保护.那么我们的Sh ...

  2. shellcode在栈溢出中的利用与优化

    0x00 前言 在<Windows Shellcode学习笔记——shellcode的提取与测试>中介绍了如何对shellcode作初步优化,动态获取Windows API地址并调用,并通 ...

  3. 用于阻止缓冲区溢出攻击的 Linux 内核参数与 gcc 编译选项

    先来看看基于 Red Hat 与 Fedora 衍生版(例如 CentOS)系统用于阻止栈溢出攻击的内核参数,主要包含两项: kernel.exec-shield 可执行栈保护,字面含义比较“绕”, ...

  4. ciscn_2019_s_9

    很简单的一道题 例行检查 没有开启nx保护,就想到了shellcode来做 很明显的栈溢出 唯一的要求就是shellcode长度不能超过0x24 通过jump跳转到shellcode的位置 完整exp ...

  5. KTHREAD 线程调度 SDT TEB SEH shellcode中DLL模块机制动态获取 《寒江独钓》内核学习笔记(5)

    目录 . 相关阅读材料 . <加密与解密3> . [经典文章翻译]A_Crash_Course_on_the_Depths_of_Win32_Structured_Exception_Ha ...

  6. linux漏洞分析入门笔记-栈溢出

    ida7.0 ubuntu16.04 lts 0x00:环境配置 使用IDA远程调试Linux程序步骤如下: 1. 在进行远程调试之前需要对Linux平台进行一些准备工作.在IDA的安装目录中的dbg ...

  7. 【笔记】shellcode相关整理

    0x01:shellcode定义 Shellcode实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码,一般可以获取权限.另外,Shellcode一般是作为数据发送给受攻击服务器 ...

  8. 栈溢出原理与 shellcode 开发

     ESP:该指针永远指向系统栈最上面一个栈帧的栈顶  EBP:该指针永远指向系统栈最上面一个栈帧的底部 01  修改函数返回地址 #include<stdio.h> #include< ...

  9. shellcode 初次使用笔记

    winXP SP3 环境 (xp环境默认没开启栈不可执行机制,比较方便破解,如果已开启了,请自行百度如何关闭) dig.exe 目标文件 x86dbg调试工具 python 环境 打开准备好的目标软件 ...

随机推荐

  1. SlickOne敏捷开发框架介绍(一) -- 基于Dapper, Mvc和WebAPI 的快速开发框架

    前言:在两年前(最初发布时间:2013年1月9日(csdn),当前文章时间2015年11月10日),项目组推出了基于Dapper,Mvc和WebApi的快速开发框架,随着后续Slickflow产品的实 ...

  2. Git_删除文件

    在Git中,删除也是一个修改操作,我们实战一下,先添加一个新文件test.txt到Git并且提交: $ git add test.txt $ git commit -m "add test. ...

  3. BZOJ 2049: [Sdoi2008]Cave 洞穴勘测 (动态树入门)

    2049: [Sdoi2008]Cave 洞穴勘测 Time Limit: 10 Sec  Memory Limit: 259 MBSubmit: 1528  Solved: 644[Submit][ ...

  4. C#的new操作符到底做了什么

    使用new操作符来创建对象,其背后到底发生了什么? 有一个父类Animal,Dog派生于Animal. class Program { static void Main(string[] args) ...

  5. C#编程(一)

    第一个简单的C#程序 using System; using System.Collections.Generic; using System.Linq; using System.Text; usi ...

  6. Spring-4.0 + Quartz-2.2.1 集群实例(Tomcat+Memcached+Quartz集群session共享)还是没有解决Serializable序列化

  7. Kafka broker配置介绍 (四)

    这部分内容对了解系统和提高软件性能都有很大的帮助,kafka官网上也给出了比较详细的配置详单,但是我们还是直接从代码来看broker到底有哪些配置需要我们去了解的,配置都有英文注释,所以每一部分是干什 ...

  8. [Android Pro] AtomicInteger的用法

    J2SE 5.0提供了一组atomic class来帮助我们简化同步处理.基本工作原理是使用了同步synchronized的方法实现了对一个long, integer, 对象的增.减.赋值(更新)操作 ...

  9. FastJson和Gson和Json数据解析分析和用法

    首先分析下目前号称最快的FastJson,这个是所有人都验证过的,解析速度确实比较快,不过也需要根据数据量来看,数据量小的时候,Gson性能要稍微优于FastJson,但在数据量大解析的情况下,Fas ...

  10. 迭代最近点算法 Iterative Closest Points

    研究生课程系列文章参见索引<在信科的那些课> 基本原理 假定已给两个数据集P.Q, ,给出两个点集的空间变换f使他们能进行空间匹配.这里的问题是,f为一未知函数,而且两点集中的点数不一定相 ...