关于溢出的方法-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 2 楼能够直接运行shellcode的前提（即肯定返回地址到shellcode中的前提）是，你可以确定shellcode的位置。然而在实际的溢出中，你很难保证shellcode在堆栈中的绝对位置。所以我们采取这样的方式：先从系统dll中找到一句jmp esp，然后覆盖函数返回地址为这一句命令的地址，这样函数返回执行这一句命令，而此次esp处恰好是我们的shellcode的开始，这样就进入shellcode中执行。可见，我们没有办法肯定shellcode的绝对地址，因此准确地修改返回地址为shellcode绝对地址，以实现“直接运行shellcode”，是不保险的。但是，我们可以通过使用一个系统通用的"jmp esp"指令的绝对地址来覆盖函数返回值，而又能保证这时esp处正是shellcode的开头，因此就可以通过这一个跳板来跳入shellcode。因此“有办法让被溢出系统运行某段代码”与“让被溢出系统直接运行shellcode”是不等价的。 jmp esp跳板的作法，成功与否（会不会有意外）就看这个jmp esp的指令位置选得好不好了。对于kernel32.dll等这些dll，选得好的话，同一个版本系统中的地址一般是不变的。 2008-5-1 19:37 0
wsyzyddd 雪币： 215 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 124 粉丝 0 关注私信	wsyzyddd 1 3 楼我知道不等价我的问题不是"不知道怎么溢出"，而是这种溢出的思想，前提是必须得到一个通用的 "jmp esp "的地址，是否这样？是则我们也许需要有更好的思路来溢出了... 看原文的的shellcode就是调用一个固定"jmp esp"地址,这只是提高了硬地址的成功率,谈不上一个新思路吧? 或者"jmp esp "这思想有另外的路径? 2008-5-2 14:48 0
wsyzyddd 雪币： 215 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 124 粉丝 0 关注私信	wsyzyddd 1 4 楼顶下.. 我的说法没错，现有的常见溢出思路还是得找到一个固定的地址来作为溢出时的跳板(这个跳板的作用无论) 操作系统和PC的现有机制一定有设计漏洞的，用它的疏忽来作为溢出思路.. 2008-5-5 20:14 0
avensun 雪币： 202 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	avensun 5 楼看完后，真是受益匪浅啊看来还得多多努力才行 2008-5-5 22:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 2 楼能够直接运行shellcode的前提（即肯定返回地址到shellcode中的前提）是，你可以确定shellcode的位置。然而在实际的溢出中，你很难保证shellcode在堆栈中的绝对位置。所以我们采取这样的方式：先从系统dll中找到一句jmp esp，然后覆盖函数返回地址为这一句命令的地址，这样函数返回执行这一句命令，而此次esp处恰好是我们的shellcode的开始，这样就进入shellcode中执行。可见，我们没有办法肯定shellcode的绝对地址，因此准确地修改返回地址为shellcode绝对地址，以实现“直接运行shellcode”，是不保险的。但是，我们可以通过使用一个系统通用的"jmp esp"指令的绝对地址来覆盖函数返回值，而又能保证这时esp处正是shellcode的开头，因此就可以通过这一个跳板来跳入shellcode。因此“有办法让被溢出系统运行某段代码”与“让被溢出系统直接运行shellcode”是不等价的。 jmp esp跳板的作法，成功与否（会不会有意外）就看这个jmp esp的指令位置选得好不好了。对于kernel32.dll等这些dll，选得好的话，同一个版本系统中的地址一般是不变的。 2008-5-1 19:37 0
wsyzyddd 雪币： 215 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 124 粉丝 0 关注私信	wsyzyddd 1 3 楼我知道不等价我的问题不是"不知道怎么溢出"，而是这种溢出的思想，前提是必须得到一个通用的 "jmp esp "的地址，是否这样？是则我们也许需要有更好的思路来溢出了... 看原文的的shellcode就是调用一个固定"jmp esp"地址,这只是提高了硬地址的成功率,谈不上一个新思路吧? 或者"jmp esp "这思想有另外的路径? 2008-5-2 14:48 0
wsyzyddd 雪币： 215 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 124 粉丝 0 关注私信	wsyzyddd 1 4 楼顶下.. 我的说法没错，现有的常见溢出思路还是得找到一个固定的地址来作为溢出时的跳板(这个跳板的作用无论) 操作系统和PC的现有机制一定有设计漏洞的，用它的疏忽来作为溢出思路.. 2008-5-5 20:14 0
avensun 雪币： 202 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	avensun 5 楼看完后，真是受益匪浅啊看来还得多多努力才行 2008-5-5 22:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

关于溢出的 方法

关于溢出的方法