[技术专题]软件漏洞分析入门_6_初级shellcode_定位缓冲区-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[技术专题]软件漏洞分析入门_6_初级shellcode_定位缓冲区

2007-12-18 21:23 41808

[技术专题]软件漏洞分析入门_6_初级shellcode_定位缓冲区

failwest

2007-12-18 21:23

41808

查看主题内容

收藏・42

点赞・7

打赏

最新回复 (106) ◀ 1 2 3 4 5 ▶
kingmanscu 雪币： 208 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	kingmanscu 2008-3-31 20:53 76 楼 0 不是方勇兄！
RotteKone 雪币： 157 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 124 粉丝 0 关注私信	RotteKone 2008-4-9 15:10 77 楼 0 报名来晚了一点，不好意思
lici 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	lici 2008-4-21 17:20 78 楼 0 老师，那个插件怎么下不了？是不是因为我是新来的哈！
yyhjjk 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	yyhjjk 2008-4-21 22:26 79 楼 0 又进步了一点儿，，哈哈，，高，实在是高！
doa007 雪币： 217 活跃值： (71) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 51 粉丝 0 关注私信	doa007 1 2008-4-29 11:19 80 楼 0 学习了不错的定位方法
aoyuhuaoju 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 118 粉丝 0 关注私信	aoyuhuaoju 2008-9-8 15:42 81 楼 0 软件漏洞分析入门_6_初级shellcode_定位缓冲区真的好喜欢
hackerlx 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 98 粉丝 0 关注私信	hackerlx 2008-10-21 19:11 82 楼 0 jmp esp 这个地址我用您的程序找到了,但是后来把这个地址写到了password.txt里面,一运行准备溢出的程序,就弹出这个地址不能读写的警告,user32.dll里面的地址不能读写,这是什么原因,请老师指教
wfnhddd 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 16 粉丝 0 关注私信	wfnhddd 2008-11-19 13:40 83 楼 0 成功啦，谢谢老师，
DFlower 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 18 粉丝 0 关注私信	DFlower 2009-1-8 16:44 84 楼 0 努力学习...
hwli 雪币： 1361 活跃值： (252) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 60 粉丝 1 关注私信	hwli 2009-1-15 22:02 85 楼 0 谢谢楼主,正要学习
shqyun 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	shqyun 2009-2-18 09:29 86 楼 0 很不错，不过为什么用你的那个插件OllyUni.dll，OllyDBG要崩溃啊~~~~我用的是v1.0版本
liyiwen 雪币： 286 活跃值： (14) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	liyiwen 1 2009-4-1 13:54 87 楼 0 为什么在第5讲的MessageBoxA后面添加ExitProcess，不能够安全退出呢？
etlove 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 26 粉丝 0 关注私信	etlove 2009-4-27 20:23 88 楼 0 正在学习shellcode的编写与实现，但现在仅仅会根据书上的事例调试，打算分析一下网上流行的测试漏洞的弹出计算器程序的代码，结果还没有思路，郁闷中！！！
JwLee 雪币： 111 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 43 粉丝 0 关注私信	JwLee 2009-7-30 22:31 89 楼 0 跟帖学习，所有实验成功完成，继续向高手不断学习！
kingwrcy 雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	kingwrcy 2009-7-31 19:56 90 楼 0 为什么我在call MessageBoxA 后加上 push 0x00401133 (打印Congratulation! You have passed the verification!\n 的地方) jmp esp 我就是想在call messageboxa后跳到正确的流程. 可是为什么反汇编出来的代码只到 68 33114000（push 0x00401133的地方）就没了.后面都是int3了啊. 我后面明明有接着jmp esp的代码啊?? 接着我按照failwest的例子,最后几行代码改成 push ebx mov eax,0x77e1f1fe (我机器上的ExitProcess函数地址) call eax 这样反汇编出来的代码又没有任何问题.程序弹出messagebox后正常调用了exitprocess了. 奇怪.谁帮我解释下.我要跳到程序提示正确的地方去为什么不行?
youstar 雪币： 267 活跃值： (24) 能力值： ( LV8，RANK：130 ) 在线值：发帖 16 回帖 284 粉丝 0 关注私信	youstar 2 2009-10-21 16:11 91 楼 0 非常感谢这么好的资料！经过学习，成功了！哈哈！继续！
ch_tj2k 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	ch_tj2k 2009-10-26 18:17 92 楼 0 0040103B \|. 50 push eax ; /src 0040103C \|. 8D4D D0 lea ecx, dword ptr [ebp-30] ; \| 0040103F \|. 51 push ecx ; \|dest 00401040 \|. E8 EB010000 call strcpy ; \strcpy 00401045 \|. 83C4 08 add esp, 8 00401048 \|. 68 1C604200 push 0042601C ; /s2 = "1234567" 0040104D \|. 8B55 08 mov edx, dword ptr [ebp+8] ; \| 00401050 \|. 52 push edx ; \|s1 00401051 \|. E8 4A010000 call strcmp ; \strcmp 00401056 \|. 83C4 08 add esp, 8 00401059 \|. 8945 FC mov dword ptr [ebp-4], eax 0040105C \|. 8B45 FC mov eax, dword ptr [ebp-4] 从栈0012FAF0处开始到0012FB20处用垃圾数据填充，0012FB24处用jmp esp地址填充，接下来的0012FB28处开始用shellcode填充，但是当程序执行到mov edx, dword ptr [ebp+8] 这句时，ebp+8为0012FB28，edx指向shellcode开始处，这里并不是一个字符串，所以当程序执行到call strcmp时就会出错。请教有什么办法能够解决这个问题？
ch_tj2k 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	ch_tj2k 2009-10-26 18:22 93 楼 0 如果在0012FB28处用一个字符串地址填充，0012FB2C处开始用shellcode填充，那函数返回时jmp esp会来到0012FB28处开始执行，这里是一个字符串地址，执行到这里就会结束。
bitt 雪币： 435 活跃值： (1147) 能力值： ( LV13，RANK：388 ) 在线值：发帖 28 回帖 639 粉丝 18 关注私信	bitt 5 2010-3-18 13:05 94 楼 0 看来failwest没在更新了这个我帮她回答 push 0x00401133 这句指令里有个00，strcpy遇到00认为是字符串结束符，没有再压栈了所以当然不能执行
bitt 雪币： 435 活跃值： (1147) 能力值： ( LV13，RANK：388 ) 在线值：发帖 28 回帖 639 粉丝 18 关注私信	bitt 5 2010-3-18 13:11 95 楼 0 [QUOTE=ch_tj2k;704246]0040103B \|. 50 push eax ; /src 0040103C \|. 8D4D D0 lea ecx, dword ptr [ebp-30] ...[/QUOTE] strcpy才是溢出元凶，执行call strcpy之后就已经回不来了 strcmp根本不可能执行 f7单步跟着strcpy看，你看retn能回来不
hearmecryle 雪币： 133 活跃值： (113) 能力值： ( LV5，RANK：60 ) 在线值：发帖 37 回帖 340 粉丝 0 关注私信	hearmecryle 1 2010-4-19 19:38 96 楼 0 吱吱吱，谢谢西方失败的扫盲。在这个论坛真能学到不少东西。
shengyaoyi 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	shengyaoyi 2011-12-23 23:23 97 楼 0 #include <windows.h> #include <stdio.h> #define DLL_NAME "user32.dll" main() { BYTE* ptr; int position,address; HINSTANCE handle; BOOL done_flag = FALSE; handle=LoadLibrary(DLL_NAME); if(!handle) { printf(" load dll erro !"); exit(0); } ptr = (BYTE*)handle; for(position = 0; !done_flag; position++) { try { if(ptr[position] == 0xFF && ptr[position+1] == 0xE4) { //0xFFE4 is the opcode of jmp esp int address = (int)ptr + position; printf("OPCODE found at 0x%x\n",address); } } catch(...) { int address = (int)ptr + position; printf("END OF 0x%x\n", address); done_flag = true; } } } 这断代码在debug下可以正常运行，不过在release版本下会报错，把try...catch(...).. 改成_try...__except(EXCEPTION_EXECUTE_HANDLER )...就没问题了
风殇之独雪币： 469 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 0 关注私信	风殇之独 2013-3-18 11:45 98 楼 0 我想问下，为什么我搜索的结果这么少，而且搜索不到类似于下面这段 Location found: call esp in user32 上传的附件： 1.png （7.22kb，1次下载）
hyjxiaobia 雪币： 802 活跃值： (4423) 能力值： ( LV12，RANK：260 ) 在线值：发帖 29 回帖 68 粉丝 81 关注私信	hyjxiaobia 2 2013-4-3 11:19 99 楼 0 我也来吱一下
llongwei 雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	llongwei 2013-4-12 16:49 100 楼 0 学习了！！成功，吱一声
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

failwest

发帖

回帖

330

RANK

关注

私信

他的文章

[注意]0day第二版补充资料及勘误整理

[下载]《0day安全第二版》随书电子资料发布

关于我们

联系我们

企业服务

看雪公众号

最新回复 (106) ◀ 1 2 3 4 5 ▶
kingmanscu 雪币： 208 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	kingmanscu 2008-3-31 20:53 76 楼 0 不是方勇兄！
RotteKone 雪币： 157 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 124 粉丝 0 关注私信	RotteKone 2008-4-9 15:10 77 楼 0 报名来晚了一点，不好意思
lici 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	lici 2008-4-21 17:20 78 楼 0 老师，那个插件怎么下不了？是不是因为我是新来的哈！
yyhjjk 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	yyhjjk 2008-4-21 22:26 79 楼 0 又进步了一点儿，，哈哈，，高，实在是高！
doa007 雪币： 217 活跃值： (71) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 51 粉丝 0 关注私信	doa007 1 2008-4-29 11:19 80 楼 0 学习了不错的定位方法
aoyuhuaoju 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 118 粉丝 0 关注私信	aoyuhuaoju 2008-9-8 15:42 81 楼 0 软件漏洞分析入门_6_初级shellcode_定位缓冲区真的好喜欢
hackerlx 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 98 粉丝 0 关注私信	hackerlx 2008-10-21 19:11 82 楼 0 jmp esp 这个地址我用您的程序找到了,但是后来把这个地址写到了password.txt里面,一运行准备溢出的程序,就弹出这个地址不能读写的警告,user32.dll里面的地址不能读写,这是什么原因,请老师指教
wfnhddd 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 16 粉丝 0 关注私信	wfnhddd 2008-11-19 13:40 83 楼 0 成功啦，谢谢老师，
DFlower 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 18 粉丝 0 关注私信	DFlower 2009-1-8 16:44 84 楼 0 努力学习...
hwli 雪币： 1361 活跃值： (252) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 60 粉丝 1 关注私信	hwli 2009-1-15 22:02 85 楼 0 谢谢楼主,正要学习
shqyun 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	shqyun 2009-2-18 09:29 86 楼 0 很不错，不过为什么用你的那个插件OllyUni.dll，OllyDBG要崩溃啊~~~~我用的是v1.0版本
liyiwen 雪币： 286 活跃值： (14) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	liyiwen 1 2009-4-1 13:54 87 楼 0 为什么在第5讲的MessageBoxA后面添加ExitProcess，不能够安全退出呢？
etlove 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 26 粉丝 0 关注私信	etlove 2009-4-27 20:23 88 楼 0 正在学习shellcode的编写与实现，但现在仅仅会根据书上的事例调试，打算分析一下网上流行的测试漏洞的弹出计算器程序的代码，结果还没有思路，郁闷中！！！
JwLee 雪币： 111 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 43 粉丝 0 关注私信	JwLee 2009-7-30 22:31 89 楼 0 跟帖学习，所有实验成功完成，继续向高手不断学习！
kingwrcy 雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	kingwrcy 2009-7-31 19:56 90 楼 0 为什么我在call MessageBoxA 后加上 push 0x00401133 (打印Congratulation! You have passed the verification!\n 的地方) jmp esp 我就是想在call messageboxa后跳到正确的流程. 可是为什么反汇编出来的代码只到 68 33114000（push 0x00401133的地方）就没了.后面都是int3了啊. 我后面明明有接着jmp esp的代码啊?? 接着我按照failwest的例子,最后几行代码改成 push ebx mov eax,0x77e1f1fe (我机器上的ExitProcess函数地址) call eax 这样反汇编出来的代码又没有任何问题.程序弹出messagebox后正常调用了exitprocess了. 奇怪.谁帮我解释下.我要跳到程序提示正确的地方去为什么不行?
youstar 雪币： 267 活跃值： (24) 能力值： ( LV8，RANK：130 ) 在线值：发帖 16 回帖 284 粉丝 0 关注私信	youstar 2 2009-10-21 16:11 91 楼 0 非常感谢这么好的资料！经过学习，成功了！哈哈！继续！
ch_tj2k 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	ch_tj2k 2009-10-26 18:17 92 楼 0 0040103B \|. 50 push eax ; /src 0040103C \|. 8D4D D0 lea ecx, dword ptr [ebp-30] ; \| 0040103F \|. 51 push ecx ; \|dest 00401040 \|. E8 EB010000 call strcpy ; \strcpy 00401045 \|. 83C4 08 add esp, 8 00401048 \|. 68 1C604200 push 0042601C ; /s2 = "1234567" 0040104D \|. 8B55 08 mov edx, dword ptr [ebp+8] ; \| 00401050 \|. 52 push edx ; \|s1 00401051 \|. E8 4A010000 call strcmp ; \strcmp 00401056 \|. 83C4 08 add esp, 8 00401059 \|. 8945 FC mov dword ptr [ebp-4], eax 0040105C \|. 8B45 FC mov eax, dword ptr [ebp-4] 从栈0012FAF0处开始到0012FB20处用垃圾数据填充，0012FB24处用jmp esp地址填充，接下来的0012FB28处开始用shellcode填充，但是当程序执行到mov edx, dword ptr [ebp+8] 这句时，ebp+8为0012FB28，edx指向shellcode开始处，这里并不是一个字符串，所以当程序执行到call strcmp时就会出错。请教有什么办法能够解决这个问题？
ch_tj2k 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	ch_tj2k 2009-10-26 18:22 93 楼 0 如果在0012FB28处用一个字符串地址填充，0012FB2C处开始用shellcode填充，那函数返回时jmp esp会来到0012FB28处开始执行，这里是一个字符串地址，执行到这里就会结束。
bitt 雪币： 435 活跃值： (1147) 能力值： ( LV13，RANK：388 ) 在线值：发帖 28 回帖 639 粉丝 18 关注私信	bitt 5 2010-3-18 13:05 94 楼 0 看来failwest没在更新了这个我帮她回答 push 0x00401133 这句指令里有个00，strcpy遇到00认为是字符串结束符，没有再压栈了所以当然不能执行
bitt 雪币： 435 活跃值： (1147) 能力值： ( LV13，RANK：388 ) 在线值：发帖 28 回帖 639 粉丝 18 关注私信	bitt 5 2010-3-18 13:11 95 楼 0 [QUOTE=ch_tj2k;704246]0040103B \|. 50 push eax ; /src 0040103C \|. 8D4D D0 lea ecx, dword ptr [ebp-30] ...[/QUOTE] strcpy才是溢出元凶，执行call strcpy之后就已经回不来了 strcmp根本不可能执行 f7单步跟着strcpy看，你看retn能回来不
hearmecryle 雪币： 133 活跃值： (113) 能力值： ( LV5，RANK：60 ) 在线值：发帖 37 回帖 340 粉丝 0 关注私信	hearmecryle 1 2010-4-19 19:38 96 楼 0 吱吱吱，谢谢西方失败的扫盲。在这个论坛真能学到不少东西。
shengyaoyi 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	shengyaoyi 2011-12-23 23:23 97 楼 0 #include <windows.h> #include <stdio.h> #define DLL_NAME "user32.dll" main() { BYTE* ptr; int position,address; HINSTANCE handle; BOOL done_flag = FALSE; handle=LoadLibrary(DLL_NAME); if(!handle) { printf(" load dll erro !"); exit(0); } ptr = (BYTE*)handle; for(position = 0; !done_flag; position++) { try { if(ptr[position] == 0xFF && ptr[position+1] == 0xE4) { //0xFFE4 is the opcode of jmp esp int address = (int)ptr + position; printf("OPCODE found at 0x%x\n",address); } } catch(...) { int address = (int)ptr + position; printf("END OF 0x%x\n", address); done_flag = true; } } } 这断代码在debug下可以正常运行，不过在release版本下会报错，把try...catch(...).. 改成_try...__except(EXCEPTION_EXECUTE_HANDLER )...就没问题了
风殇之独雪币： 469 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 0 关注私信	风殇之独 2013-3-18 11:45 98 楼 0 我想问下，为什么我搜索的结果这么少，而且搜索不到类似于下面这段 Location found: call esp in user32 上传的附件： 1.png （7.22kb，1次下载）
hyjxiaobia 雪币： 802 活跃值： (4423) 能力值： ( LV12，RANK：260 ) 在线值：发帖 29 回帖 68 粉丝 81 关注私信	hyjxiaobia 2 2013-4-3 11:19 99 楼 0 我也来吱一下
llongwei 雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	llongwei 2013-4-12 16:49 100 楼 0 学习了！！成功，吱一声
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复