返回列表 发帖
jjcd

Rank: 4

帖子
176 
积分
477 
威望
758  
金钱
638  
在线时间
0 小时 

贡献奖灌水王帅哥勋章
1 跳转到 » 倒序看帖
打印
tT
发表于 2008-7-21 00:18 | 只看该作者

[讨论]学习溢出中遇到的一个问题

学习, 讨论
[讨论]学习溢出中遇到的一个问题
议题作者:achillis
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

小弟初学溢出,在分析一个比较简单的栈例子时出已经定位了溢出点。
使用经典的'AA....A'+jmp esp+shellcode填充方法已经可以执行自己的"shellcode".
但是,因为这个溢出原因是文件路径超长引起的,使用的shellcode必须不能出现非法字符。
问题就在于,在这种字符要求下,我如何执行真正的shellcode?即编码问题如何解决?
详细情况我画个图.


因为是文件名过长溢出,总长度有259字节。前面有206个字节可以自己填充,中间是4字节的jmp esp,后面还有49个字节可以得用。正确填充后,溢出时就会执行后面49字节的内容。如果我使用"CCCCC"(16进制为0x43)填充的话,可以被当成inc ebx执行。
但是,49字节太短,不能放置一个真正有实用功能的shellcode。记得看到别人的想法是把真正的shellcode放在别处,而在这里放一个search code,让它真正的shellcode并执行。


在我这个例子里面,我想这么搞:
把编码过的符合要求的shellcode放在前面的206字节中,在后面的49字节处只需要一个跳转,跳到这206字节的起始处开始执行就可以了。为了不出现非法字法,我使用了一段编码指令把shellcode编码为只含有字母和数字的,但是其解码头部就有52字节长,用来编码前面的shellcode可以,但是后面只有49字节就不行了。所以,我现在需要的是一个符合编码要求的跳转指令即可。但苦于找不到,所以到这里求助。
其它数据有:
溢出时esp=0013E5E8

缓冲区首址=0013E51A,
在esp后面有49个字节可以利用。


其它利用方法我也尝试过,ebx指向Unicode编码过的缓冲区,貌似可以call ebx.我参考了gyzy兄的《编写Unicode有效的shellcode 》(在此感谢gyzy兄的好文章),但是它的编码头部中有不符合文件名要求的特殊字符。所以后来还是利用jmp esp方法 。大家有其它什么方法指点下小弟也可。

附件
未命名.JPG (13 KB)
2008-1-28 15:17
缓冲区分析
学习中.......

帖子54 精华0 积分194 阅读权限40 性别男 在线时间12 小时 注册时间2006-9-10 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP 赚更多的钱

plbb18
晶莹剔透§烈日灼然
收藏 分享

南好灌

Rank: 1

帖子
积分
威望
6  
金钱
6  
在线时间
0 小时 
2
发表于 2008-7-21 00:18 | 只看该作者
"我现在需要的是一个符合编码要求的跳转指令即可"---------->

1)编码有什么具体要求呢?

2)使用编码器会增大shellcode,可用空间有限,挑个具备简单功能的小shellcode吧;

3)CALL EBX 应该属于不错的选择,编码头部出问题,能否饶过去呢?

4)考虑一下类似jmp short * 的指令;

5)把shellcode汇编成ASCII码是否可行呢?
帖子6 精华0 积分18 阅读权限40 性别男 在线时间19 小时 注册时间2005-12-16 最后登录2008-5-27 查看详细资料引用 报告 回复 TOP 您知道您年薪应是多少?

neversaylove
晶莹剔透§烈日灼然

TOP

nbai

Rank: 1

帖子
10 
积分
15 
威望
20  
金钱
15  
在线时间
0 小时 
3
发表于 2008-7-21 00:18 | 只看该作者
前面还有209个MS可以利用,可以在jmp esp 后面写jmp -214试试

帖子38 精华2 积分147 阅读权限40 性别男 在线时间108 小时 注册时间2007-3-18 最后登录2008-5-25 查看详细资料引用 报告 回复 TOP 爱要怎么说出口

achillis
晶莹剔透§烈日灼然

TOP

weimei

Rank: 1

帖子
10 
积分
15 
威望
20  
金钱
20  
在线时间
0 小时 
4
发表于 2008-7-21 00:18 | 只看该作者
回复 沙发 plbb18 的帖子
我需要的就是符合编码要求的一个转移指令。
编码的唯一要求就是在长度不超出49的情况下符合文件命名的字符要求。
这导致有不少字符不能用啊,因为是在文件名中。
我就是因为原有的shellcode中有不符合文件命名要求的字符才选择编码,如果我有符合要求的shellcode,当然不会这么做了。
call ebx使用Unicode有效的shellcode同样面临这样的问题。解码头部也有不可用字符。
只要能以某种方式跳转到前面缓冲区开头,而又不出现非法字符,那么就达到目的了。
不晓得我说清楚了没有...学习中.......

帖子54 精华0 积分194 阅读权限40 性别男 在线时间12 小时 注册时间2006-9-10 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

achillis
晶莹剔透§烈日灼然

TOP

carsoom

Rank: 1

帖子
10 
积分
15 
威望
20  
金钱
20  
在线时间
0 小时 
5
发表于 2008-7-21 00:18 | 只看该作者
回复 椅子 neversaylove 的帖子
我就是这么想的。可是跳转指令中有非法字符,不符合文件名要求。学习中.......

帖子54 精华0 积分194 阅读权限40 性别男 在线时间12 小时 注册时间2006-9-10 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

plbb18
晶莹剔透§烈日灼然

TOP

返回列表