漏洞利用开发基础学习记录

文章目录

简介

本文基于ERC.Xdbg漏洞分析文章进行初步归纳整理,主要有Win32 缓冲区溢出、SEH 溢出、Egg Hunters、Unicode 溢出、x86-64 缓冲区溢出,工具下载链接ERC.Xdbg

Win32缓冲区溢出

内容

1.通过输入发现修改了eip,确定存在漏洞

2.利用ERC --FindNRP命令确定溢出有效长度,修改指定的eip

3.因最终的shellcode在堆栈中,所以寻找带有jmp esp的命令且该命令所在模块未含有ASLR等安全属性

4.将寻找到的目标命令eip改写到溢出的有效长度成功修改eip,执行特定shellcode

难点

对于eip如何修改达到目标的shellcode位置,这里是采用的寻找一个固定地址且命令为jmp esp,这样就可以直接将eip调整到shellcode位置

SEH 溢出

内容

1.通过输入发现x64dbg中的SEH链的异常处理例程被修改

2.利用ERC --FindNRP命令确定溢出有效长度,修改使其能够达到目标的异常处理例程,也就是拿到eip的指向

3.寻找pop pop ret命令且该命令所在模块未含有ASLR等安全属性

4.将寻找到的目标命令eip改写到溢出的有效长度成功修改eip,这样程序运行后将返回到修改的下一个异常地址中

5.构建一个jmp跳过到寻找的目标命令下方,这样就可以执行构造的shellcode

难点

SEH溢出之所以要寻找pop pop ret命令,是因为在触发异常时当前的堆栈保存的结构是一个名为EXCEPTION_DISPOSITION的结构,而且esp+8的位置就正好指向下一个链表的位置,也就是编写溢出代码的位置,详细请参考SEH Handler结构分析

Egg Hunters

内容

1.基于上面SEH溢出漏洞是通过修改jmp跳转到下方,但是有时程序在对字符串做过滤的时候遇到0x00、0x0A、0x0D等硬编码时会终止,所以无法跳转到下方构建的Shellcode

2.这样只能向上跳转,但是向上跳转有最大限制80字节显然是不够用,所以构建一个寻找标识的内容的代码,这样可以拓展到寻找到更多长度的shellcode

难点

对于这个寻找标识的代码构建比较考察编程功底,想要写好非常困难,所以一般直接使用现有的或者魔改后的(防止被特征)

Unicode 溢出

内容

1.与上面基本类似,但由于程序会将输入的内容格式化为unicode,所以在寻找pop pop retn的命令eip时也必须寻找到可以构建unicode方式的eip

2.在跳转到构建的溢出数据块时,由于输入的数据都是unicode无法直接当成命令去使用,所以利用0x75(它会将前后的0x00合并形成一个新命令)、0x71(相当于Unicode版的nop)进行构建shellcode

难点

1.在寻找跳转的eip时要找到unicode版本的eip

2.而该eip后续会作为汇编代码进行执行,所以寻找的时候也要符合硬编码的规范使其不崩溃

3.搭配特别硬编码0x75和0x71实现代码执行

x86-64 缓冲区溢出

内容

1.64位程序与32位缓冲区溢出几乎相同,唯一的区别就在于64位会对eip进行校验,如果违法就不进行更改eip

2.所以使用原先的命令ERC --FindNRP是无法定位到溢出的有效数据大小的,应当在内存中搜索特定的标识进行定位,命令为ERC --Pattern o 字符串,这样就可以得到被溢出的数据有效大小

3.但是数据依然在栈中,根据x64特性会将返回值放到eax中,在本实例中可以直接搜索具有jmp eax的地址进行跳跃执行编写的ShellCode

难点

无法像之前那样直接使用命令FindNRP定位溢出数据大小,本质上与x32缓冲区溢出并无区别

参考资料

漏洞利用开发基础知识 1:Win32 缓冲区溢出
漏洞利用开发基础知识 2:SEH 溢出
漏洞利用开发基础知识 3:Egg Hunters
漏洞利用开发基础知识 4:Unicode 溢出
漏洞利用开发基础知识 5:x86-64 缓冲区溢出

相关推荐
GLAB-Mary23 分钟前
AI会取代网络工程师吗?理解AI在网络安全中的角色
网络·人工智能·web安全
敲敲敲-敲代码1 小时前
【ArcGIS10.2】网络数据集构建---最短路径分析
网络·arcgis
李洋-蛟龙腾飞公司2 小时前
HarmonyOS NEXT应用元服务常见列表操作分组吸顶场景
linux·运维·windows
码农垦荒笔记2 小时前
Git 安装闭坑指南(仅 Windows 环境)
windows·git
ytttr8732 小时前
matlab通过Q学习算法解决房间路径规划问题
学习·算法·matlab
cliffordl3 小时前
MCP 传输机制(Streamable HTTP)
网络·网络协议·http
晨曦丿3 小时前
双11服务器
linux·服务器·网络
阿幸软件杂货间3 小时前
Windows 10 2016 长期服务版
windows·系统·win10
galaxylove3 小时前
Gartner发布最新指南:企业要构建防御性强且敏捷的网络安全计划以平衡安全保障与业务运营
网络·安全·web安全
漫谈网络3 小时前
WebSocket扫盲
网络·websocket·网络协议