buffer_overflow 第3章 筆記2 為啥我們第一個shellcode不能在真實世界生存

我們第一個shellcode 成功執行但會產生一些問題:


問題有4個
1. 預設是用window 的cmd執行,才能看到我們的Hello, World。

2.shellcode 中包含了\x00字元 (NULL字元)

3我們使用了絕對位址 77C4186A (mscvrt.printf)   和 77C39E7E(msvcrt.exit)

4.預先假設 printf , exit 一定可以被呼叫到,也就是假設說 msvcrt.dll 一定會被載入到記憶體中





第一個問題: 可以使用Messagebox解決的shellcode 之後會實作

第二個問題:可以使用編碼器來解決




第三個問題:  只要是早期的作業系統,DLL的位址通常不會改變,但vista之後的版本系統會啟動ASLR 亂數的使DLL 的基址給改變。


第四個問題:  只要是Dev C++編譯出的程序,msvcrt.dll通常會被載入,但如果今天換成 其他編譯器就不保證一定會載入。



我們先看一下

//hello.exe

#include <cstdio>
#include <cstdlib>

int main()
{
        printf("Hello, world!\n");
        exit(0);

}


 DEV C++ 所編譯出來的hello.exe 載入的dll
根據 Immunity Debugger顯示: 按下ALT+E



載入的DLL 有三個
1.msvcrt.dll
2.kernel32.dll
3.ntdll.dll





visual c++ 2010 express 所編譯出來的hello.exe 載入的dll



載入的DLL 有三個
1.MSVCR100D.dll
2.kernel32.dll
3.ntdll.dll






所以看的出來   同樣程式dev c++ 載入了msvcrt.dll 但 VC++載入了的卻是MSVCR100D.dll,也就是說,我們的shellcode只會在Dev c++下編譯出的程式執行成功。

Dev c++ 使用的printf 和 exit 函數在 msvcrt.dll 裏面
VC++     使用的printf 和 exit 函數在 MSVCR100D.dll 裏面



小知識:
如果想把A程式,利用bufferoverflow 漏洞,再把shellcode 給塞進去執行就可以達到攻擊效果,但如我今天我的shellcode 的某個功能需要使用到XXX.dll 但A程式本身並沒有載入XXX.dll,shellcode就無法奏效。

為了避免這種狀況,所以我們的shellcode 不能期望A程式有預先載入XXX.dll,所以我們的shellcode必須自行加載XXX.dll。


下一篇:將會教大家寫一個會動態抓取dll的shellcode



「不可能」的圖片搜尋結果














留言

張貼留言

這個網誌中的熱門文章

buffer_overflow 第1章 筆記 介紹

圖片
本系列文章出自於Windows軟體安全實務 緩衝區溢位攻擊(張大衛)著 這本書的學習筆記 首先感謝這位作者:提供了這本質量非常高的書 看真的10遍都閒不夠多 XD 我並不會一一講解所有書中的例子,但為了講讓大家看懂,還是會從基本知識開始講由於本人也不是這方面的高手,所以如果有錯的話希望可以告知小弟我                                                                                   緩衝區溢位是啥?    看圖    角色 1. 我們是hacker 也就是服務生倒水的人 角色 2. 有漏洞的軟體  也就是杯子 角色 3. 攻擊方式  (shellcode) 馬上給大家講個故事: 在一間港式餐廳中(為啥是港式 因為我愛吃燒賣XD)有個服務生很不爽故意把客人的水杯加到滿出來   而且還故意用熱水以至於燙到客人的腳上 ,他感覺不夠過癮,下一次便把熱水換成熱茶讓客人的衣服染色 這就很舒服。                               為什摸說這是一個漏洞呢,首先漏洞在於杯子 ,杯子並沒有幫你檢查繼續倒水會不會滿出來的這個功能 導致於服務員故意跟你來這手,那攻擊呢,也就是我們溢出的水,又稱shellcode 。 shellcode就是攻擊方式 我們希望用什摸方式達到什摸樣的攻擊,以上面的例子來說我們可以單純加清水讓客人...
閱讀完整內容

buffer_overflow 第3章 筆記6 拼出我們第二個shellcode。

圖片
本節將是最後一步了!!!! 在第3章 筆記3 抓取kernel32.dll基址中寫了個自動抓取kernel32.dll的組合語言: 把他改寫成這樣: // KERNEL32_BASE 為標籤,我們的程式要從這個標籤開始執行。 -------------------------------------------------------------------------------------------------------------------------- KERNEL32_BASE:            xor eax,eax                                  //eax=0  大概是不想用EAX暫存器來指向TEB 所以把EAX變0      mov ebx,[fs:eax+0x30]               //ebx = &(_PEB)      mov ebx,[ebx+0x0c]                   //ebx = PEB->Ldr      add ebx,0x1c                               //ebx = Ldr.InitializtionOrderModuleList       KERNEL32_BASE_NEXT_MODULE:         ...
閱讀完整內容

Buffer_overflow 第2章 筆記1 函數堆疊的故事

圖片
首先:                     要先講一個故事給大家暖暖場。 故事:        領銜主演  孔同學                           白同學                                                                            蒼老師 夏日限定寫真集(500)頁                                                                            可拆式筆記本(已用到第60頁)                                               ...
閱讀完整內容