首页
论坛
专栏
课程

分享:

栈溢出实验

shellcode初探


一.  实验环境:


操作系统:Windows XP SP3

开发环境:VC++ 6.0

调试器:Ollydbg


二.  实验代码:


#include <stdio.h>

#include <windows.h>

#define PASSWORD "1234567"

int verify_password (char *password)

{

    int authenticated;

    char buffer[44];

    authenticated=strcmp(password,PASSWORD);

    strcpy(buffer,password);

    return authenticated;

}

main()

{

    int valid_flag=0;

    char password[1024];

    FILE * fp;

    LoadLibrary("user32.dll");

    if(!(fp=fopen("password.txt","rw+")))

    {

        exit(0);

    }

    fscanf(fp,"%s",password);

    valid_flag = verify_password(password);

    if(valid_flag)

    {

        printf("incorrect password!n");

    }

    else

    {

        printf("Congratulation! You have passed the verification!n");

    }

    fclose(fp);

}


三.  溢出原理


程序未对输入的密码进行长度检测,接收密码的缓冲区只有8,而输入的密码最长可以输入1024。判断密码是否正确的变量authenticated存储在栈中,当输入的密码长度大于8时,输入的字符串将冲破缓冲区,淹没authenticated所处的位置。当密码错误时authenticated的值是1,正确的时候authenticated的值是0.这就意味着我们可以构造一个合适的输入字符串来改变判断结果。


本次的程序与上一节的程序区别在引入了windows头文件,用于使用LoadLibrary函数。另外缓冲区的长度从8增加为44。


四.  实战调试


本次实战着重初步植入简单的shellcode代码。


1. 本次实验的最终目标是在成功溢出后弹出一个消息框。那么首先我们要找到消息框的API地址,如果考虑通用性,那么需要一套负责的过程,现在我们先不考虑这些。先使用Windows自带的工具获取API的地址。


2.         我们需要用到的API是MessageBox,熟悉Windows编程的朋友应该知道,实际上并没有MessgaeBox这个API,我们实际上需要调用的是MessageBoxA或者MessageBoxW,这取决于我们使用的环境是多字节还是宽字符。此次我们那使用的是MessageBoxA,这个API处于USER32.DLL中,我们获取一下USER.DLL基址是0x77D10000,然后获取MessageBoxA的偏移是0x407EA,两者相加就可以获取到MessageBoxA在内存中的入口地址0x77D507EA。


(此处获取到的地址只在我的计算机上生效。如果本地实验,需要本地重新获取。)



3.         此时我们需要确定一下我们需要覆盖的返回地址的位置和BUFFER起始位置。已知缓冲区长度为44,那么第45个字节的00将会覆盖掉密码比对结果。为了方便查看,我们使用abcd作为输入,长度为44的缓冲区则需要11组abcd刚好覆盖。


4.         运行起来,进入到密码比对函数。执行strcpy后观察堆栈的情况。可以看到缓冲区起点是0x0012FAF0,返回地址是0x0012FB24。


5.         那么我们是不是可以这样玩,把返回地址淹没成缓冲区起点,这样指令就会从缓冲区起点开始执行。这样我们就需要把返回地址覆盖成0x0012FAF0,然后再构造一个弹出消息框的机器码用于弹出消息框。


5.1 淹没返回值为0x0012FAF0


5.2这里我们先不讨论shellcode的编写。这会在接下来的大章节中详细描述。我们直接把弹出消息框的机器码填在password中。


5.3进入shellcode执行


5.4溢出成功


上一篇 :
下一篇 :
讨论 (2)
nososafe 2019-5-7
 举报
没人了怎么
mb_xmradoks 2019-7-18
 举报
有人有人
沪ICP备16048531号-1
沪公网安备 31011502006611号