大家好,欢迎来到IT知识分享网。首先你要知道怎么利用JMP ESP的方式
其利用格式是ORS,这里O=NOP,R=RET(jmp esp的地址),S=ShellCode。就是把缓冲区一直覆盖成NOP(空指令,什么都不做),直到原来的EIP位置时,J
JMP ESP,紧跟后面才是我们的ShellCode。
这种方式执行到ShellCode的原理:正常情况下,函数返回时,RET,等于POP EIP,即回复原来PUSH的EIP,从而回到函数调用前的程序。但在这里,我们把保存的EIP的值覆盖了,改写成了jmp esp的地址。这样,POP EIP后,EIP = jmp esp的地址,而堆栈指针ESP会往下走,指向ShellCode的开始。程序继续执行,此时EIP里的内容是jmp esp,系统执行jmp esp,就正好就跳到我们的ShellCode的地方了。
JMP EBX利用方式
其利用格式是OJES。O= NOP, J = Jmp 04,E = jmp ebx的地址,S = ShellCode。
JMP EBX的利用过程就是利用SEH链来执行我们的Shellcode.
这里的J和E的位置是关键,E是在出错处理的入口位置,而J在其前面。
在第一种方式中,我们知道将返回地址覆盖成另一个地址。但如果是个无效的地址呢?那里指向的数据或许不能读,或许不能执行,那会怎么样呢?其实相信大家都遇到过,那就是系统会弹出个对话框报错,我们点确定,就会终止运行。
这是因为作为一个系统级的程序,内部有健全的出错处理机制。也就是大牛们所说的SEH链,简单的说,如果运行时有错误产生,windows就会跳到一个专门处理错误的地方,对应不同的错误,执行不同的代码。上面执行的代码就是弹出个对话框报错。
所以这里我们故意把返回的地址覆盖成一个错误的地址。这样出错时,windows就会跳到处理错误的入口,而ebx指向SEH-4,那我们把错误入口处覆盖为jmp ebx的地址,就会跳到前4个字节,然后在这里我们写入jmp 04,往后跳4个字节,正好跳过覆盖的JMP EBX,达到我们的ShellCode!
把JMP ESP转化为JMP/CALL EBX
为什么要考虑把JMP ESP方式转换为JMP EBX方式
其实最大的好处是通用性,JMP ESP在各个系统,各个补丁版本上是不一样的,这样就会造成不同的系统不通用;而JMP EBX有一个NT/ 2000/XP/2003所有版本的通用地址!ShellCode可以想办法写成为通用的版本,这样只要漏洞本身的入口地址相对位置一样,就可以实现真正的通用。
但是在实际中,有许多的expoit,利用的却是JMP ESP方式,比如说isno写的.printer漏洞exploit,和flashsky写的RPC远程溢出exploit,这会导致问题,特别是对RPC来说,如果地址错误,就会导致RPC服务的崩溃,从而不能变换地址作再一次的攻击,要等到对方重启后,才能再试。这样就算是知道对方是2000系统,运气不好,都可能要试5次后才能成功(sp0 – sp4)….
.而如果有了通用的版本,就可以保证无论对方是什么系统,都可以一次成功!
如何把JMP ESP方式转换为JMP EBX方式
牛人们用的方法,比较直观和清晰,当然技术含量也就比较高。他们一般是用Softice加载VUL的程序,反汇编ZXCV!@#$%^&*(,很困难的,需要大量的经验。
对于菜鸟来说还是推荐ww0830的方法
(转)WW0830的办法:笔者经过亲自试验,发现了个比较简单的方法(相对于直接分析服务),把已有的jmp esp方式,改进为jmp ebx方式。其思路是,先利用jmp esp的攻击程序,在jmp esp代码后,跟上“\xeb\xfe”,这句即jmp –1。实行模拟攻击后,在被攻击机上调出softice,就会发现停在“\xeb\xfe”这句。这时,我们查看其fs:0000的值,它里面存的就是异常处理的入口地址!这时,我们计算那个值离现在的距离,就轻松知道要填充多少达到异常处理入口了。
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/13014.html