简单的【缓冲区溢出之shellcode】（二）

我的苦恼冉

本文分析紧接上一篇文章【传送门】：简单的【缓冲区溢出原理】(一)https://www.52pojie.cn/thread-1310387-1-1.html(出处: 吾爱破解论坛)
什么是Shellcode？Shellcode实际是一段代码（机器码），是用来发送到服务器利用特定漏洞的代码，一般可以获取权限。另外，Shellcode一般是作为数据发送给受攻击服务的。
1. 缓冲区溢出的shellcode



2.当函数执行完毕的时间，函数返回前，此时ESP的值为0x0012FF2C



函数ret返回后，此时观察ESP的值为0x0012FF30，这个很关键。



3.一般情况下，ESP总是指向系统栈且不会被溢出的数据破坏。函数返回后，ESP所指的位置是返回地址的下一位0x0012FF30

如许可用jmp esp作为跳板覆盖返回地址，动态定位shellcode（如第1中的图）


4.获取jmp esp指令的地址，一般来说一些动态链接库会被映射到内存，如kernel32.dll、user32.dll。编程搜索jmp esp的内存地址。
选择其中一个0x77d9ac8


5..shellcode的编写，实现一个弹窗结果。


6.首先要获取MessageBoxA弹窗函数的地址，而MessageBox是user32.dll的导出函数，编写步伐获取地址0x77d507ea



7.当shellcode执行完，大概导致步伐崩溃，所以这里还须要使用 ExitProcess() 函数来令步伐停止，让步伐正常退出。ExitProcess()是Kernel32.dll的导出函数，这里编写步伐获取地址为0x7c81bfa2



8.编写shellcode汇编代码


9.将shellcode汇编代码中编译，然后加载到OllyDbg中调试，进而获得机器码


提取完后，每个字符前须要加上 \x



10.把这个shellcode加到payload里面，用jmp esp的地址覆盖返回地址，末了的步伐。


11.将步伐编译后载入OD中举行分析栈区溢出前后栈中的变化Strcpy()函数copy前

Strcpy()函数copy后



函数返回：返回到jmp esp的地址





到此开始执行shellcode的代码


12.运行结果：弹窗并正常退出而不报错。


平台：windows xp
工具：vc++、ollydbg

参考文献《0day安全 软件漏洞分析技能》等
来源：http://www.12558.net
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！