这周要看的《漏洞战争》中的内容已经看完了，所以利用空余时间学习一下Exploit 编写系列教程。今天只看了第一篇，是一篇很基础的如何利用栈溢出的教程，其实很多内容在之前看0day安全的时候都学习过，但是思考的角度有所差异，而且介绍了一些好用的工具，再加上该系列后续文章也会讲解很多我还不了解的内容，所以很有学习的价值。

从漏洞报告上获取信息：

Easy RM to MP3 Converter version 2.7.3.700 universal buffer overflow exploit that creates a malicious .m3u file.

已知程序存在栈溢出漏洞，除此之外没有其他信息和poc文件。

验证程序确实会崩溃

安装存在漏洞的软件：

下载渠道：exploit-db，oldapps.com，oldversion.com

生成测试用m3u文件

测试文件只是为了让程序崩溃，不需要什么结构，由大量的'A'组成

测试

10000长度的文件没能让程序崩溃，换成20000、30000……

10000长度：

30000长度程序闪退了。

调试崩溃程序

设置windbg为默认调试器，windbg.exe -I，重新打开软件，并加载引起闪退的文件，调试器会直接打开。此时观察到调试器输出：

此时EIP的值为0x41414141，也就是说poc文件中（可控的）的数值成功写入了EIP寄存器，能够控制程序执行流程。同时栈中的数据也都变成了0x41414141，说明是一个栈溢出漏洞。此时需要判断栈空间有多大，文件中的哪块数据变成了EIP中的数值。

目前已知，20000字节的文件不会使程序崩溃，30000字节的文件可以使程序崩溃。所以写入EIP的数据位于20000~30000字节之间。如果不考虑任何工具，使用比较傻瓜的方法确定EIP值在POC文件中的具体位置，可以使用二分法，毕竟O(logn)的效率并不差，但是这种方法显然很麻烦。不过metasploit已经考虑到了这种情况并提供了相关工具，在我分析CVE-2010-3333漏洞的时候，为了确定SEH handler的位置，已经参考了这个系列文章并使用了该工具。

我在win10电脑中安装了metasploit，直接搜索pattern_create.rb文件。

这个脚本可以生成任意长度，任意模式的字符串。直接生成一个长度为30000字节的文件poc.m3u：

重新打开程序，调试器输出：

这次EIP被覆盖成了0x376c4836。

接下来需要计算EIP的具体位置了，可以使用脚本pattern_offset.rb：

因为已经知道位置一定是在25000字节之后了，所以正确的偏移量应该是26090。

修改一下一开始生成测试文件的perl脚本，测试该偏移量是否正确：

使用上面的脚本生成测试文件，如果偏移量正确，EIP应该会变成0x42424242。

注：crash_eiptest.m3u应该和poc.m3u放在同一个目录下，因为这个栈溢出漏洞和文件所在的绝对路径有关，我一开始没注意，所以得到的EIP值就是错误的。

至此，可以确定EIP的值在POC文件中的偏移为26090。

目前已经确定了EIP的位置，可以通过修改EIP控制程序的执行流程了，但是还不知道要把EIP修改成什么值，还需要确定shellcode的位置。

在上面windbg输出的错误信息中，可以看到各个寄存器的值，查看各寄存器指向位置的数据都是什么，如果有某个寄存器指向的位置正好包含了poc文件中的数据，就可以把那个寄存器作为跳板，并用shellcode替换原本指向的数据。

注：其实栈溢出漏洞已经很熟悉了，大家都知道esp会指向EIP之后的数据，所以在这里这一步并不必要，但是这个方法仍指的借鉴，毕竟你并不是每次都能够确定选择哪个寄存器。

假设现在还啥都不知道，查看各寄存器指向的数据，只有esp寄存器指向的数据内容为poc文件的内容：

所以现在知道esp寄存器指向了poc文件中“CCCCCC....”字符串的位置，但是不确定具体偏移是多少，需要再次修改perl脚本：

将原本“C”的位置替换为不同的字符串模式，再次生成poc文件crash_esptest.m3u。触发异常后查看esp寄存器指向的数据内容：

可以看到esp指向了eip后面第五个字符的位置。之所以没有指向第一个字符，应该是因为最后的返回语句是retn 4。除此之外，在这部分新替换的字符串后面，又是一连串的“A”字符，这部分内容应该是poc文件的开头部分数据。

根据上面的发现，我们可以把shellcode放在两个位置：

既然确定了shellcode的放置位置，让esp直接指向shellcode的内容，看起来好像直接用esp的值填充eip就可以了。但是这里存在两个问题：

所以需要找到一个更稳定的EIP值。

一开始之所以想要把EIP的值覆盖为ESP的值，是因为这样程序会跳转到ESP指向的位置继续执行。所以可以采用一种间接的方式，先执行jmp esp指令，然后程序自然会跳转到shellcode的位置。

因为Easy RM to MP3 Converter这个软件在执行的时候会加载很多DLL文件，里面会存在大量的jmp esp指令，关键在于找到这些指令的地址。

可以使用windbg确定指令地址：

确定指令对应机器码：

输入u命令，该命令会显示当前位置的汇编指令，由于上一步对指令进行了修改，显示的就是想要查找的指令内容及其机器码

最终得到jmp esp的机器码为ffe4。

搜索ffe4的地址

在windbg附加到进程上之后，会首先输出一系列的DLL加载信息，在这些信息中，找到属于Easy RM to MP3 Convert的DLL文件：

使用这些DLL文件中的指令会得到比较可靠的指令地址，如果选择操作系统本身的DLL文件，可能换一个操作系统地址就不对了。

注：不过也不是绝对可靠，我在实验中得到的DLL文件加载地址和文章中提供的有一部分也不相同，不过概率总归大一些。

在上面的几个DLL内存范围内搜索ff e4的地址，注意最后选择的地址中不要包含\x00字符

最后找到了上面这些地址，有些DLL文件中搜索不到。

验证。选择一个不包含\x00的地址，我选择0227135b，查看该处的汇编代码：

看来没问题，可以使用这个地址

到目前为止我们已经知道了EIP的填充位置和填充内容，以及shellcode的填充位置，现在需要确定要执行的shellcode代码。

文章中说metasploit提供了payload生成器，但是并没有说怎么用，直接给出了最后的结果，所以我搜索了一下这方面的内容。

安装完成metasploit之后，在命令行里输入msfconsole就可以启动metasploit了。如果不确定要使用哪个payload，可以在命令行里输入 use payload，然后按几下TAB键，metasploit就会显示出所有可用的payload。

use payload/windows/exec 选择这个payload，然后输入help，查看帮助信息，可以看到payload支持的命令：

这里要选择generate命令，输入generate -h查看帮助信息：

有几个选项比较重要：

使用show options查看这个payload可以设置的选项：

使用set命令来设置这些选项：

使用show encoders可以查看支持的编码器，这里不再贴出，一般来metasploit会自己选择最合适的编码器，但是如果你对payload的输出有特殊要求，也可以自己指定想要的编码器。

文章中提到了使用encoder/x86/alpha_upper编码器，Alpha2 Alphanumeric Uppercase Encoder，顾名思义，它会使用数字和大写字母生成payload。因为Easy RM to MP3 Conversion Utility对文件的合法字符有要求，但是我们又无法确定哪些是非法字符，所以保险的做法就是保证payload中只包含文件名允许字符。

最后使用generate -b "\x00" -e x86/alpha_upper -f perl生成payload

整合上面的信息，得到如下perl脚本：

生成poc文件之后，可以成功弹出计算器。

除了上面的几个知识点之外，比较有意思的其实是这篇文章的思考角度。在学习0day安全的时候，只有前面的栈溢出（也是本篇文章介绍的内容，所以重复较大）介绍的很详细，后面的内容更倾向于原理而不是漏洞利用，而后来我开始看《漏洞战争》，更多的是对漏洞本身的调试分析，漏洞利用的角度学习的也很少。

在这篇文章中，没有poc，没有payload，一切都需要你自己生成，整个漏洞利用的流程介绍的非常详细。

由于只是第一篇文章，很多问题上仍旧只是浅尝辄止，比如shellcode的放置位置、shellcode的前面为什么要填充nop指令、除了jmp esp之外是否还有其他到达shellcode的方法，这些问题都还没有深入讲解。

希望等我看完整个系列教程之后，能够自己编写出之前分析的漏洞的利用程序。( •_•)

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)