windows_利用跳板指令完成栈溢出

已于 2024-11-16 20:42:57 修改
阅读量461 收藏 10
点赞数 5
文章标签: windows 系统安全
于 2024-11-02 03:01:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_37073764/article/details/143444132
版权

延续上一篇的内容

上一篇我们提到,我们要把shellcode的绝对地址读入进去,才能进行指令跳转。但是这个绝对地址,即使不开启随机基址,重启之后就会变化。我们当然不希望重启电脑之后就用不了了,那该怎么办呢?

在这里插入图片描述
我们来观察一下数据的储存位置。从ebp-C的位置开始,十二个字节是栈内的局部变量。接下来的4字节是push进去的ebp,然后是checkPassword函数结束后的返回地址。我们写入的shellcode存在哪里?存在紧跟着checkPassword函数结束后的返回地址后面。结合汇编指令:
在这里插入图片描述
最后几个指令是这样的,已经把ebp弹出,并且执行ret指令后,存进去的返回地址也会被弹出,并且EIP会指向这个返回地址。所以,返回地址被弹出来后,esp的值是不是就是我们shellcode的地址。因此,如果我们的返回地址,地址的指令是jmp esp,那不就能直接执行我们的shellcode了吗?

根据操作系统知识,内存被划分为用户空间和内核空间。我们多次调试发现,很多内核函数,每一次所放的地址都是一样的。事实上,在一般情况下,对于同一个操作系统,内核函数所加载的地址都是一样的。因此,我们就寻找存放在0x7F开头的地址的jmp esp指令,写入要返回的地址,就能完善我们的栈溢出了。

因此,我写入的数据是这样的:
在这里插入图片描述

shellcode为以下汇编代码:

#include<Windows.h>
#include<iostream>
void _declspec(naked) shellcode()
{
	__asm
	{
		push 0;
		push 0;
		push 0;
		push 0;
		mov eax, 0x767AAC60;
		call eax;
		xor eax, eax;
		mov ebx, 0x75C12F60;//这次调用Exit函数直接退出程序
		jmp ebx;
	}
}
int main()
{
	LoadLibraryA("user32.dll");
	//exit(0);
	shellcode();
	return 0;
 }

至此,栈溢出完成。

a10.
关注
C/C++ 基础栈溢出及保护机制
编程与实战的博客
12-01 3170
来源:pandolia 整理:CPP开发者https://www.jianshu.com/p/47d484b9227e【导读】:缓冲区溢出非常危险,因为栈空间内保存了函数的返回地址。...
缓冲区溢出漏洞的原理及其利用实战
虚幻私塾
03-02 1258
Python微信订餐小程序课程视频 https://edu.youkuaiyun.com/course/detail/36074 Python实战量化交易理财系统 https://edu.youkuaiyun.com/course/detail/35475 缓冲区溢出漏洞的原理及其利用实战 温馨提示: 本文章的图片十分重要,一定要认真的阅读。 可以把该图片下载下来,这样的话图片会非常清晰(右键->另存为)。 1. 实验环境 操作场景 windows xp sp2 实验工具: IDA Pro OllyDbg
Linux跳板实验,Linux跳板实用命令记录
weixin_36068199的博客
05-15 249
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?上篇文章Linux下入侵匿迹隐藏的方法,是一些大牛的思路和操作命令,下面有些是已经重复的,主要是做个记录,把常用的命令都整理下登录后执行下面命令,不记录历史命令(.bash_history)1unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export ...
【免杀前置课——shellcode】二十一、shellcode初步优化——通过跳板指令定位shellcode,解决程序随机基址无法跳转shellcode问题(详解)
m0_62783065的博客
12-27 355
【免杀前置课——shellcode】二十一、shellcode初步优化——通过跳板指令定位shellcode,解决程序随机基址无法跳转shellcode问题(详解)
nmap使用方法-跳板机命令
qq_41904061的博客
08-22 761
nmap:https://blog.youkuaiyun.com/tk86935367/article/details/8352015 #/bin/bash #变量声明 nmap=`which nmap` ssh_keygen=`which ssh-keygen` ssh_copy_id=`which ssh-copy-id` ifconfig=`which ifconfig` ssh=`whi...
跳板机登录服务器脚本及命令制作
weixin_33816300的博客
08-02 1110
2019独角兽企业重金招聘Python工程师标准>>> ...
Windows内存漏洞——栈溢出漏洞及其利用分析
theglasssky的博客
05-25 1013
windows系统中内存漏洞中关于栈溢出的部分
二进制菜鸟之栈溢出漏洞利用思路
Blood_Pupil的博客
08-06 1068
作为一只二进制菜鸟,不,应该是作为一只各安全领域的菜鸟,感觉二进制学的还是蛮开心的,每天也都能学到点新的东西,调试代码的过程也是非常令人开心。今天总结下目前学到的栈溢出漏洞的利用思路 栈溢出漏洞简介 我们知道C语言中有些字符串操作函数不会对字符串的长度进行检查,比如strcpy。 #include<stdio.h> #include<string.h> char nam...
PWN栈溢出基础——ROP1.0
Gifoyle的博客
07-13 994
PWN栈溢出基础——ROP1.0 这篇文章介绍ret2text,ret2shellcode,ret2syscall(基础篇) 在中间会尽量准确地阐述漏洞利用和exp的原理,并且尽量细致地将每一步操作写出来。 参考ctf-wiki以及其他资源,参考链接见最后,文中展示的题目下载链接见评论区 1.ret2text ret2text即控制程序执行程序本身已有的代码(.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码(也就是gadgets
掌握Windows平台堆栈溢出攻击技术
Windows平台作为操作系统的主流选择之一,其堆栈溢出漏洞及利用技术的研究具有重要的实际意义。本篇文章将详细介绍Windows平台下堆栈溢出攻击的技术细节、防护措施以及利用技巧。 ### 堆栈溢出基础概念 堆栈溢出...
Windows漏洞利用开发——简单栈溢出
weixin_49816179的博客
12-23 598
1.分析栈溢出原理 2.寻找溢出点,了解pattern_create和pattern_offset计算溢出点的原理 3.寻找JMP ESP跳板,分析利用JMP ESP跳板劫持程序流的原理 4.编写漏洞利用脚本,自动化攻击
【0day安全实验五】3.2使用跳板定位exploit
diamond_biu的博客
09-04 1121
实验目的 使用jmp esp指令作为“跳板”,动态定位shellcode。 原理 ESP寄存器中的地址总是指向系统栈且不会被溢出的数据破坏 函数返回时,ESP所指的位置恰好时我们所淹没的返回地址的下一个位置 实验内容 获得跳板的地址 编程搜索内存获得user32.dll内跳转指令jmp e ...
跳板(trampoline)实现原理
一起坚持
09-03 5383
1.基础知识 1.1.虚拟内存 虚拟内存到物理内存之间的映射 从上面的图中可以得出一些结论: 无论是物理内存还是虚拟内存的管理都是以页为单位来进行管理的,并且一般情况下二者的尺寸保持一致。 操作系统为每个进程建立一张进程页表mmu,页表记录着虚拟内存页到物理内存页的映射关系以及相关的权限。并且页表是保存在物理内存页中的。因此所谓的虚拟内存分配其本质就是在页表中建立一个从虚拟内存页到物理内存页的映射关系而已。而所谓的remap就是将不同的虚拟页号映射到同一个物理页号而已。就...
Windows 远程栈溢出挖掘
weixin_30667649的博客
03-27 422
title: Windows 远程栈溢出挖掘 date: 2019-04-20 11:22:50 tags: 渗透测试 categories: 渗透测试 copyright: true --- 缓冲区溢出攻击很容易被攻击者利用,因为C/C++语言并没有自动检测缓冲区溢出操作,同时程序编写人员在编写代码时也很难始终检查缓冲区是否可能溢出.利用溢出,攻击者可以将期望数据写入漏洞程序内存中的任意位...
浅谈栈溢出漏洞利用技术——学习笔记
楠木种子的三亩地
01-27 1502
文章目录基础知识寄存器:重要寄存器栈:一种先进先出的数据结构函数调用栈溢出的保护机制栈上的数据被当做指令来执行让攻击者难以找到shellcode地址检测Stack Overflow(栈溢出栈溢出利用方法现代栈溢出利用技术基础:ROPCTF中ROP技术的常见套路利用signal机制的ROP技术(SROP)没有binary怎么办(BROP)BROP的目标BROP的条件劫持栈指针(Stack Piv...
Windows漏洞原理之简单栈溢出示例
Xor0ne
04-19 2073
今天这篇文章主要是对老师视频的一个简单的总结。按照惯例,我们先从代码来进行分析。 (PS; ” 2-(3)我遇到的问题 “ 这部分纯属对于自己运行时的小记录,希望可以给遇到同样问题的小可爱们一点小的参考,如果没有遇到问题的话可以略过哦!) 文章目录1、源代码2、前景分析(1)、原理分析(2)、知识拓展:CreateFileA()、ReadFile()、GetFileSize()(3)、我遇到的问题...
Windows栈溢出学习笔记
不想当脚本小子的脚本小子
02-22 1171
Windows栈溢出: 1.高级语言编译链接后变成PE文件,PE装载运行后变成进程。 2.系统栈: 操作系统为进程中的每个函数调用都划分了一个栈帧空间,(系统自动分配)系统栈是这些函数调用栈帧的集合; 系统栈由系统自动维护: 1)随着函数调用层数的增加,函数栈帧是一块块地向内存低地址方向延伸的,当前正在运行的函数的栈帧总是在栈顶; 2)随着进程中函数调用层数的减少,即各函数调用的返回,栈...
Java基础之数组(附带Comparator)
最新发布
2303_80236475的博客
06-03 573
数组中的每个元素都会被初始化为默认值,int 类型的就为 0,Object 类型的就为 null。不同数据类型的默认值不同。还有一个需要注意的是,Arrays.asList 方法返回的 ArrayList 并不是。只有创建对象时才会使用new关键字,所以数组是个对象。如果需要添加元素或者删除元素的话,需要把它转成。将数组转为List,使用Arrays类。自定义排序(使用Comparator)Arrays.sort()方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值