标题:
[讨论]学习溢出中遇到的一个问题
[打印本页]
作者:
jjcd
时间:
2008-7-21 00:18
标题:
[讨论]学习溢出中遇到的一个问题
[讨论]学习溢出中遇到的一个问题
议题作者:achillis
信息来源:邪恶八进制信息安全团队(
www.eviloctal.com
)
小弟初学溢出,在分析一个比较简单的栈例子时出已经定位了溢出点。
使用经典的'AA....A'+jmp esp+shellcode填充方法已经可以执行自己的"shellcode".
但是,因为这个溢出原因是文件路径超长引起的,使用的shellcode必须不能出现非法字符。
问题就在于,在这种字符要求下,我如何执行真正的shellcode?即编码问题如何解决?
详细情况我画个图.
因为是文件名过长溢出,总长度有259字节。前面有206个字节可以自己填充,中间是4字节的jmp esp,后面还有49个字节可以得用。正确填充后,溢出时就会执行后面49字节的内容。如果我使用"CCCCC"(16进制为0x43)填充的话,可以被当成inc ebx执行。
但是,49字节太短,不能放置一个真正有实用功能的shellcode。记得看到别人的想法是把真正的shellcode放在别处,而在这里放一个search code,让它真正的shellcode并执行。
在我这个例子里面,我想这么搞:
把编码过的符合要求的shellcode放在前面的206字节中,在后面的49字节处只需要一个跳转,跳到这206字节的起始处开始执行就可以了。为了不出现非法字法,我使用了一段编码指令把shellcode编码为只含有字母和数字的,但是其解码头部就有52字节长,用来编码前面的shellcode可以,但是后面只有49字节就不行了。所以,我现在需要的是一个符合编码要求的跳转指令即可。但苦于找不到,所以到这里求助。
其它数据有:
溢出时esp=0013E5E8
缓冲区首址=0013E51A,
在esp后面有49个字节可以利用。
其它利用方法我也尝试过,ebx指向Unicode编码过的缓冲区,貌似可以call ebx.我参考了gyzy兄的《编写Unicode有效的shellcode 》(在此感谢gyzy兄的好文章),但是它的编码头部中有不符合文件名要求的特殊字符。所以后来还是利用jmp esp方法 。大家有其它什么方法指点下小弟也可。
附件
未命名.JPG
(13 KB)
2008-1-28 15:17
缓冲区分析
学习中.......
帖子54 精华
0
积分194 阅读权限40 性别男 在线时间12 小时 注册时间2006-9-10 最后登录2008-7-18
查看详细资料
引用
报告
回复
TOP
赚更多的钱
plbb18
晶莹剔透§烈日灼然
作者:
南好灌
时间:
2008-7-21 00:18
"我现在需要的是一个符合编码要求的跳转指令即可"---------->
1)编码有什么具体要求呢?
2)使用编码器会增大shellcode,可用空间有限,挑个具备简单功能的小shellcode吧;
3)CALL EBX 应该属于不错的选择,编码头部出问题,能否饶过去呢?
4)考虑一下类似jmp short * 的指令;
5)把shellcode汇编成ASCII码是否可行呢?
帖子6 精华
0
积分18 阅读权限40 性别男 在线时间19 小时 注册时间2005-12-16 最后登录2008-5-27
查看详细资料
引用
报告
回复
TOP
您知道您年薪应是多少?
neversaylove
晶莹剔透§烈日灼然
作者:
nbai
时间:
2008-7-21 00:18
前面还有209个MS可以利用,可以在jmp esp 后面写jmp -214试试
帖子38 精华
2
积分147 阅读权限40 性别男 在线时间108 小时 注册时间2007-3-18 最后登录2008-5-25
查看详细资料
引用
报告
回复
TOP
爱要怎么说出口
achillis
晶莹剔透§烈日灼然
作者:
weimei
时间:
2008-7-21 00:18
回复 沙发 plbb18 的帖子
我需要的就是符合编码要求的一个转移指令。
编码的唯一要求就是在长度不超出49的情况下符合文件命名的字符要求。
这导致有不少字符不能用啊,因为是在文件名中。
我就是因为原有的shellcode中有不符合文件命名要求的字符才选择编码,如果我有符合要求的shellcode,当然不会这么做了。
call ebx使用Unicode有效的shellcode同样面临这样的问题。解码头部也有不可用字符。
只要能以某种方式跳转到前面缓冲区开头,而又不出现非法字符,那么就达到目的了。
不晓得我说清楚了没有...学习中.......
帖子54 精华
0
积分194 阅读权限40 性别男 在线时间12 小时 注册时间2006-9-10 最后登录2008-7-18
查看详细资料
引用
报告
回复
TOP
achillis
晶莹剔透§烈日灼然
作者:
carsoom
时间:
2008-7-21 00:18
回复 椅子 neversaylove 的帖子
我就是这么想的。可是跳转指令中有非法字符,不符合文件名要求。学习中.......
帖子54 精华
0
积分194 阅读权限40 性别男 在线时间12 小时 注册时间2006-9-10 最后登录2008-7-18
查看详细资料
引用
报告
回复
TOP
让女孩一夜变的更有女人味
plbb18
晶莹剔透§烈日灼然
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./)
Powered by Discuz! 7.2