漏洞利用开发基础学习记录

文章目录

简介

本文基于ERC.Xdbg漏洞分析文章进行初步归纳整理,主要有Win32 缓冲区溢出、SEH 溢出、Egg Hunters、Unicode 溢出、x86-64 缓冲区溢出,工具下载链接ERC.Xdbg

Win32缓冲区溢出

内容

1.通过输入发现修改了eip,确定存在漏洞

2.利用ERC --FindNRP命令确定溢出有效长度,修改指定的eip

3.因最终的shellcode在堆栈中,所以寻找带有jmp esp的命令且该命令所在模块未含有ASLR等安全属性

4.将寻找到的目标命令eip改写到溢出的有效长度成功修改eip,执行特定shellcode

难点

对于eip如何修改达到目标的shellcode位置,这里是采用的寻找一个固定地址且命令为jmp esp,这样就可以直接将eip调整到shellcode位置

SEH 溢出

内容

1.通过输入发现x64dbg中的SEH链的异常处理例程被修改

2.利用ERC --FindNRP命令确定溢出有效长度,修改使其能够达到目标的异常处理例程,也就是拿到eip的指向

3.寻找pop pop ret命令且该命令所在模块未含有ASLR等安全属性

4.将寻找到的目标命令eip改写到溢出的有效长度成功修改eip,这样程序运行后将返回到修改的下一个异常地址中

5.构建一个jmp跳过到寻找的目标命令下方,这样就可以执行构造的shellcode

难点

SEH溢出之所以要寻找pop pop ret命令,是因为在触发异常时当前的堆栈保存的结构是一个名为EXCEPTION_DISPOSITION的结构,而且esp+8的位置就正好指向下一个链表的位置,也就是编写溢出代码的位置,详细请参考SEH Handler结构分析

Egg Hunters

内容

1.基于上面SEH溢出漏洞是通过修改jmp跳转到下方,但是有时程序在对字符串做过滤的时候遇到0x00、0x0A、0x0D等硬编码时会终止,所以无法跳转到下方构建的Shellcode

2.这样只能向上跳转,但是向上跳转有最大限制80字节显然是不够用,所以构建一个寻找标识的内容的代码,这样可以拓展到寻找到更多长度的shellcode

难点

对于这个寻找标识的代码构建比较考察编程功底,想要写好非常困难,所以一般直接使用现有的或者魔改后的(防止被特征)

Unicode 溢出

内容

1.与上面基本类似,但由于程序会将输入的内容格式化为unicode,所以在寻找pop pop retn的命令eip时也必须寻找到可以构建unicode方式的eip

2.在跳转到构建的溢出数据块时,由于输入的数据都是unicode无法直接当成命令去使用,所以利用0x75(它会将前后的0x00合并形成一个新命令)、0x71(相当于Unicode版的nop)进行构建shellcode

难点

1.在寻找跳转的eip时要找到unicode版本的eip

2.而该eip后续会作为汇编代码进行执行,所以寻找的时候也要符合硬编码的规范使其不崩溃

3.搭配特别硬编码0x75和0x71实现代码执行

x86-64 缓冲区溢出

内容

1.64位程序与32位缓冲区溢出几乎相同,唯一的区别就在于64位会对eip进行校验,如果违法就不进行更改eip

2.所以使用原先的命令ERC --FindNRP是无法定位到溢出的有效数据大小的,应当在内存中搜索特定的标识进行定位,命令为ERC --Pattern o 字符串,这样就可以得到被溢出的数据有效大小

3.但是数据依然在栈中,根据x64特性会将返回值放到eax中,在本实例中可以直接搜索具有jmp eax的地址进行跳跃执行编写的ShellCode

难点

无法像之前那样直接使用命令FindNRP定位溢出数据大小,本质上与x32缓冲区溢出并无区别

参考资料

漏洞利用开发基础知识 1:Win32 缓冲区溢出
漏洞利用开发基础知识 2:SEH 溢出
漏洞利用开发基础知识 3:Egg Hunters
漏洞利用开发基础知识 4:Unicode 溢出
漏洞利用开发基础知识 5:x86-64 缓冲区溢出

相关推荐
白帽黑客沐瑶2 天前
【网络安全就业】信息安全专业的就业前景(非常详细)零基础入门到精通,收藏这篇就够了
网络·安全·web安全·计算机·程序员·编程·网络安全就业
树码小子2 天前
Java网络编程:(socket API编程:TCP协议的 socket API -- 回显程序的服务器端程序的编写)
java·网络·tcp/ip
2303_Alpha2 天前
SpringBoot
笔记·学习
萘柰奈2 天前
Unity学习----【进阶】TextMeshPro学习(三)--进阶知识点(TMP基础设置,材质球相关,两个辅助工具类)
学习·unity
沐矢羽2 天前
Tomcat PUT方法任意写文件漏洞学习
学习·tomcat
好奇龙猫2 天前
日语学习-日语知识点小记-进阶-JLPT-N1阶段蓝宝书,共120语法(10):91-100语法+考え方13
学习
向阳花开_miemie2 天前
Android音频学习(十八)——混音流程
学习·音视频
工大一只猿2 天前
51单片机学习
嵌入式硬件·学习·51单片机
绿箭柠檬茶2 天前
Ubuntu 服务器配置转发网络访问
服务器·网络·ubuntu
c0d1ng2 天前
量子计算学习(第十四周周报)
学习·量子计算