[原创]Writing JIT-Spray Shellcode for fun and profit - CHS[更新完整版]-外文翻译-看雪-安全社区|安全招聘|kanxue.com

[原创]Writing JIT-Spray Shellcode for fun and profit - CHS[更新完整版]

2010-3-14 11:22 19821

[原创]Writing JIT-Spray Shellcode for fun and profit - CHS[更新完整版]

ipfans

2010-3-14 11:22

19821

正式版奉上，各位敬请斧正

带图和不带图区别不大的，图片加上之后太大了，传不上来，而且质量很差，想看的可以在
https://dl-web.dropbox.com/u/5200361/Writing-JIT-Spray-Shellcode-chs-pic.pdf
下载

感謝和尚給的邀請碼，多謝多謝

客户端浏览器的攻击一直都是所有人真正的威胁。在这里，漏洞已经不仅在浏览器中，而且也存在于插件中。银行的客户端，商业软件，防病毒软件，所有使用 ActiveX（for IE）的客户端已经被发现或者还存在很多漏洞。供应商已经做出一些措施来保护我们。软件供应商修复漏洞，操作系统厂商使用的新机制以防止攻击。但是，安全研究人员正试图找到办法绕过这些机制。在新版本浏览器（Internet Explorer 8和Firefox 3.5）中了使用永久DEP技术进行保护。新版本的操作系统中则使用了ASLR技术机制。这一切使老的攻击方法成为了不可能。但在BlackHat DC 2010上，一个有趣的方法绕过浏览器DEP和ASLR技术的Just-In-Time编译技术被公布了。这种方法被称为JIT-Spray技术。但是目前还没有一个人公布有效地Poc。在本文中，我们将介绍如何编写一个新的JIT Spray攻击shellcode，并且制作一个通用Stage-0 shellcode，例如可以将控制权交给metasploit中的任何shellcode。

如果你有興趣，可以到我的博客：http://ipfans.blog127.fc2.com 轉轉

ipfanscn<at>gmail[dot]com

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

Writing-JIT-Spray-Shellcode-test.pdf （594.29kb，284次下载）
Writing-JIT-Spray-Shellcode-CHS.pdf （746.53kb，319次下载）

收藏・7

点赞・6

打赏

最新回复 (23)
riusksk 雪币： 431 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 232 关注私信	riusksk 41 2010-3-14 12:31 2 楼 0 support！有速度，才几天才刚出来，呵呵
紫色缘雪币： 253 活跃值： (25) 能力值： ( LV9，RANK：290 ) 在线值：发帖 12 回帖 384 粉丝 0 关注私信	紫色缘 7 2010-3-14 13:11 3 楼 0 前来支持，膜拜ing
ipfans 雪币： 24 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 57 粉丝 0 关注私信	ipfans 2010-3-14 13:47 4 楼 0 正好這段時間在研究JIT Spray，順手完全是
dge 雪币： 622 活跃值： (65) 能力值： ( LV13，RANK：290 ) 在线值：发帖 11 回帖 251 粉丝 3 关注私信	dge 6 2010-3-14 15:15 5 楼 0 翻译的很赞，排版也很赞，很期待完整版。
youstar 雪币： 267 活跃值： (24) 能力值： ( LV8，RANK：130 ) 在线值：发帖 16 回帖 284 粉丝 0 关注私信	youstar 2 2010-3-14 18:33 6 楼 0 楼主太不厚道了，开始在你的网站日记都发表好了的，后来又给删了！
ipfans 雪币： 24 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 57 粉丝 0 关注私信	ipfans 2010-3-14 18:49 7 楼 0 因為當時是一邊翻譯一邊發的，所以內容不正確有一部份，有高手的解釋，就修改了部份
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 2010-3-14 19:16 8 楼 0 前来祝贺，翻译的过程也是学习的过程，就是比较耗时辛苦了，什么时候完整版出来
笨l笨雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 99 粉丝 0 关注私信	笨l笨 2010-3-14 21:57 9 楼 0 原作者，更新下了文章，把一些图也加入了，希望整理下！！完美了！！
lichaoquan 雪币： 64 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 88 粉丝 0 关注私信	lichaoquan 2010-3-15 14:14 10 楼 0 翻译辛苦了期待完整版
仙果雪币： 1489 活跃值： (955) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 61 关注私信	仙果 19 2010-3-15 15:21 11 楼 0 支持哈，好东西，赶紧下载收藏
仙果雪币： 1489 活跃值： (955) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 61 关注私信	仙果 19 2010-3-15 15:53 12 楼 0 下载回来，打不开。郁闷了
ziyi 雪币： 203 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 102 粉丝 1 关注私信	ziyi 2010-3-15 21:09 13 楼 0 关注，楼主真是及时
skybright 雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	skybright 2010-3-16 10:05 14 楼 0 支持啊，看到你网站上发出来，又删了
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 133 回帖 852 粉丝 5 关注私信	moonife 8 2010-3-16 18:54 15 楼 0 漂亮期待完整版学习
eyeego 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 8 粉丝 0 关注私信	eyeego 2010-3-23 16:12 16 楼 0 那么JIT如何用于多级指针利用呢?
天行客雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 59 粉丝 0 关注私信	天行客 2010-3-30 15:13 17 楼 0 完整版本好了没，我很着急。哈哈
ipfans 雪币： 24 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 57 粉丝 0 关注私信	ipfans 2010-4-2 16:13 18 楼 0 已经上传全了，不好意思，这段时间忙着找工作什么的
木叶清风雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	木叶清风 2010-4-9 15:16 19 楼 0 呵呵，强呀
漂亮宝贝雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	漂亮宝贝 2010-5-7 08:05 20 楼 0 气氛起来才有的讨论
rocisky 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	rocisky 2010-5-8 20:07 21 楼 0 膜拜~~~谢谢分享
Odayer 雪币： 203 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	Odayer 2010-5-16 14:48 22 楼 0 完整版，支持lz！
可见光雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 76 粉丝 0 关注私信	可见光 2010-9-25 17:38 23 楼 0 小弟很喜欢这篇文章，想比葫芦画瓢，实验一把~ 但是一直下不到JIT.RAR里的漏洞软件easymail objects 6.0~ 兄弟们是如何拿到啊~ 能否给小弟一个链接~
pzk 雪币： 58 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 68 粉丝 0 关注私信	pzk 2011-9-1 18:03 24 楼 0 爲了在shellcode中使用JNE、JE或者其他一些同类跳转，我们必须保证Z标志位的安全。但是为了屏蔽合法的异或字符，我们使用了0x3C，也就是CMP, AL指令。这会改变Z标志位，破坏流程。为了屏蔽CMP、CMPS和其他操作符，我们使用了3个字节。最后一句翻译是错的。原文是：For making CMP, CMPS and others we use 3 bytes. 我想译者将making 误作了 masking。这里的cmp、cmps或者其他操作符等指的是shellcode中（就是我们常写的普通的shellcode，里面不用3c 35这样的指令来跳过xor）的指令，如果在shellcode中的cmp指令后再用cmp al,35来屏蔽代表异或的35，那么原来shellcode中的cmp指令就失去作用了，因此改用push 35来屏蔽35.
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

ipfans

发帖

回帖

RANK

关注

私信

他的文章

[下载]OllyDbg 2.x SDK

[下载]OllyDbg 2.01 beta 2 (API文档更新)

[求助]如何編程實現快速查找HTML中的Javascript代碼？

[原创]Writing JIT-Spray Shellcode for fun and profit - CHS[更新完整版]

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
riusksk 雪币： 431 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 232 关注私信	riusksk 41 2010-3-14 12:31 2 楼 0 support！有速度，才几天才刚出来，呵呵
紫色缘雪币： 253 活跃值： (25) 能力值： ( LV9，RANK：290 ) 在线值：发帖 12 回帖 384 粉丝 0 关注私信	紫色缘 7 2010-3-14 13:11 3 楼 0 前来支持，膜拜ing
ipfans 雪币： 24 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 57 粉丝 0 关注私信	ipfans 2010-3-14 13:47 4 楼 0 正好這段時間在研究JIT Spray，順手完全是
dge 雪币： 622 活跃值： (65) 能力值： ( LV13，RANK：290 ) 在线值：发帖 11 回帖 251 粉丝 3 关注私信	dge 6 2010-3-14 15:15 5 楼 0 翻译的很赞，排版也很赞，很期待完整版。
youstar 雪币： 267 活跃值： (24) 能力值： ( LV8，RANK：130 ) 在线值：发帖 16 回帖 284 粉丝 0 关注私信	youstar 2 2010-3-14 18:33 6 楼 0 楼主太不厚道了，开始在你的网站日记都发表好了的，后来又给删了！
ipfans 雪币： 24 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 57 粉丝 0 关注私信	ipfans 2010-3-14 18:49 7 楼 0 因為當時是一邊翻譯一邊發的，所以內容不正確有一部份，有高手的解釋，就修改了部份
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 2010-3-14 19:16 8 楼 0 前来祝贺，翻译的过程也是学习的过程，就是比较耗时辛苦了，什么时候完整版出来
笨l笨雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 99 粉丝 0 关注私信	笨l笨 2010-3-14 21:57 9 楼 0 原作者，更新下了文章，把一些图也加入了，希望整理下！！完美了！！
lichaoquan 雪币： 64 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 88 粉丝 0 关注私信	lichaoquan 2010-3-15 14:14 10 楼 0 翻译辛苦了期待完整版
仙果雪币： 1489 活跃值： (955) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 61 关注私信	仙果 19 2010-3-15 15:21 11 楼 0 支持哈，好东西，赶紧下载收藏
仙果雪币： 1489 活跃值： (955) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 61 关注私信	仙果 19 2010-3-15 15:53 12 楼 0 下载回来，打不开。郁闷了
ziyi 雪币： 203 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 102 粉丝 1 关注私信	ziyi 2010-3-15 21:09 13 楼 0 关注，楼主真是及时
skybright 雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	skybright 2010-3-16 10:05 14 楼 0 支持啊，看到你网站上发出来，又删了
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 133 回帖 852 粉丝 5 关注私信	moonife 8 2010-3-16 18:54 15 楼 0 漂亮期待完整版学习
eyeego 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 8 粉丝 0 关注私信	eyeego 2010-3-23 16:12 16 楼 0 那么JIT如何用于多级指针利用呢?
天行客雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 59 粉丝 0 关注私信	天行客 2010-3-30 15:13 17 楼 0 完整版本好了没，我很着急。哈哈
ipfans 雪币： 24 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 57 粉丝 0 关注私信	ipfans 2010-4-2 16:13 18 楼 0 已经上传全了，不好意思，这段时间忙着找工作什么的
木叶清风雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	木叶清风 2010-4-9 15:16 19 楼 0 呵呵，强呀
漂亮宝贝雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	漂亮宝贝 2010-5-7 08:05 20 楼 0 气氛起来才有的讨论
rocisky 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	rocisky 2010-5-8 20:07 21 楼 0 膜拜~~~谢谢分享
Odayer 雪币： 203 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	Odayer 2010-5-16 14:48 22 楼 0 完整版，支持lz！
可见光雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 76 粉丝 0 关注私信	可见光 2010-9-25 17:38 23 楼 0 小弟很喜欢这篇文章，想比葫芦画瓢，实验一把~ 但是一直下不到JIT.RAR里的漏洞软件easymail objects 6.0~ 兄弟们是如何拿到啊~ 能否给小弟一个链接~
pzk 雪币： 58 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 68 粉丝 0 关注私信	pzk 2011-9-1 18:03 24 楼 0 爲了在shellcode中使用JNE、JE或者其他一些同类跳转，我们必须保证Z标志位的安全。但是为了屏蔽合法的异或字符，我们使用了0x3C，也就是CMP, AL指令。这会改变Z标志位，破坏流程。为了屏蔽CMP、CMPS和其他操作符，我们使用了3个字节。最后一句翻译是错的。原文是：For making CMP, CMPS and others we use 3 bytes. 我想译者将making 误作了 masking。这里的cmp、cmps或者其他操作符等指的是shellcode中（就是我们常写的普通的shellcode，里面不用3c 35这样的指令来跳过xor）的指令，如果在shellcode中的cmp指令后再用cmp al,35来屏蔽代表异或的35，那么原来shellcode中的cmp指令就失去作用了，因此改用push 35来屏蔽35.
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复