简单的【缓冲区溢出之shellcode】（二）

Chost

本文分析紧接上一篇文章【传送门】：简单的【缓冲区溢出原理】(一)https://www.52pojie.cn/thread-1310387-1-1.html(出处: 吾爱破解论坛)
什么是Shellcode？Shellcode实际是一段代码（机器码），是用来发送到服务器利用特定漏洞的代码，一般可以获取权限。另外，Shellcode一般是作为数据发送给受攻击服务的。
1. 缓冲区溢出的shellcode



2.当函数执行完毕的时候，函数返回前，此时ESP的值为0x0012FF2C



函数ret返回后，此时观察ESP的值为0x0012FF30，这个很关键。



3.一般情况下，ESP总是指向系统栈且不会被溢出的数据破坏。函数返回后，ESP所指的位置是返回地址的下一位0x0012FF30

这样可用jmp esp作为跳板覆盖返回地址，动态定位shellcode（如第1中的图）


4.获取jmp esp指令的地址，一般来说一些动态链接库会被映射到内存，如kernel32.dll、user32.dll。编程搜索jmp esp的内存地址。
选择其中一个0x77d9ac8


5..shellcode的编写，实现一个弹窗效果。


6.首先要获取MessageBoxA弹窗函数的地址，而MessageBox是user32.dll的导出函数，编写程序获取地址0x77d507ea



7.当shellcode执行完，可能导致程序崩溃，所以这里还需要使用 ExitProcess() 函数来令程序终止，让程序正常退出。ExitProcess()是Kernel32.dll的导出函数，这里编写程序获取地址为0x7c81bfa2



8.编写shellcode汇编代码


9.将shellcode汇编代码中编译，然后加载到OllyDbg中调试，进而获得机器码


提取完后，每个字符前需要加上 \x



10.把这个shellcode加到payload里面，用jmp esp的地址覆盖返回地址，最后的程序。


11.将程序编译后载入OD中进行分析栈区溢出前后栈中的变化Strcpy()函数copy前

Strcpy()函数copy后



函数返回：返回到jmp esp的地址





到此开始执行shellcode的代码


12.运行结果：弹窗并正常退出而不报错。


平台：windows xp
工具：vc++、ollydbg

参考文献《0day安全 软件漏洞分析技术》等

Nop_

学习了，感谢分享

1973dihao

抄家伙  加一起不太懂

tsecond

支持一下！

鸭子咯咯哒~

收藏收藏

okgjkk

贼棒  受教了，谢谢

slzslz

这2天正在琢磨怎么样内存中写入汇编，参考一下，谢谢

huchhc

支持原创工具。

龙神邪少

学习了，谢谢大佬

wangez

感谢分享