美文网首页网络安全
shellcode与漏洞

shellcode与漏洞

作者: MagicalGuy | 来源:发表于2018-10-10 00:48 被阅读34次

    软件漏洞:

    成因:无法在原点上区分数据和代码

    漏洞挖掘:
    vulnerability 漏洞
    exploit 漏洞利用
    shellcode 壳代码
    payload shellcode 的一部分 有效载荷

    安全检查 l链接器 基址 数据保护

    release 优化禁用 内联不启用

    控制面板 管理工具 事件查看器 应用程序日志
    获取当前地址
    getPC x86 getEIP
    call xxxx
    pop eax

    不会产生冗余指令
    有很多0x000产生 ,不能直接用,需要编码

    e8 ffffffff call xxxx
    c3 retn
    58 pop eax

    不会产生0x00,大多数可以直接使用,不需编码
    产生一条冗余指令 inc ebx ,可能会产生影响
    ff c3 = inc ebx

    fpu状态保存在esp-0c位置
    fnstenv指向 fpu指针结构体上下文
    fldz
    fnstenv [esp-0ch]
    pop ebx

    构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖掉正常的返回地址。
    shellcode通常放在缓冲区内,也可以通过环境变量存入堆内,也可以通过动态内存放入堆区。

    调试shellcode

    char shellcode[] = {}

    int main(){

    loadlibarary("user32.dll");
    __asm{

    lea eax,shellcode
    push eax
    ret
    

    }

    }

    sub esp,0x20

    __asm _emit()

    一个进程加载的所有模块信息都保存在peb
    kernel32.dll基址

    FS寄存器找到teb
    0x30偏移是PEB地址
    peb偏移0x0c是peb_ldr_data的结构体指针
    peb_ldr_data偏移0x1c是ininitializationOrderModelList指向的链表是一个结构体,保存模块链表的头部地址
    ininitializationOrderModelList按照顺序保存进程加载的模块地址,其中第一个为ntdll.dll,第二个视系统的不同可能保存kernel32.dll或kernelbase.dll的信息
    不管kernel32或kernelbase都导出有我们所需要的函数GetProcAddress

    __asm{

    mov esi,dword ptr fs:[0x30] ;peb地址
    mov esi,[esi+0x0c] ;peb_ldr_data指针
    mov esi,[esi+0x1c] ;ininit...list
    mov esi,[esi] ;访问链表第二个条目
    mov ebx,[esi+0x08] ;获取kernel32.dll的基址

    }

    exporttable = imagebase+0x3c

    getpc

    local(ent)
    ent rva
    imagebase
    ent va
    baseaddr
    getprocaddress
    长度

    lea ecx,ebx[0x11]

    jmp esp
    0x7ffa1571
    0x7ffa4512

    74808fff
    多余的90

    31 1 41 A 61 a
    x64dbg 编辑 粘贴 bug
    搜索所有模块
    静态引用mfc
    telnet ip 端口号

    m3u

    通过函数名直接定义函数类型的declttype功能
    可以显示函数状态的map文件生成
    控制函数按顺序生成并按顺序摆放的功能

    shellcode
    不能使用全局与字符串,他们保存在数据区
    不能直接使用windows api
    不能使用大多数C语言库函数
    不能使用 int num[15] = {0} 会调用memset

    define definefuncptr(name,base)\

    decltype(name) * my_##name =
    (decltype(name)*)getfunaddrbyhash(HASH_##name,base)
    展开后

    define hash_sleep 0x11225533

    decltype(sleep)* my_sleep = (decltype(sleep)*)getfunaddrbyhash(hash_sleep,hmodule)

    暴雷漏洞
    proof of concept poc
    <object classid = ""></object>

    clsid MSXML 3.0中CLSID_DOMDocument的GUID

    堆喷射 heap spray
    空闲内存
    slide内存
    系统内存
    slide内存
    系统内存

    堆喷防御机制
    绕过保护
    data exception prevention dep 数据执行保护
    微软 禁用执行位
    4kb 0x1000字节 错误吧???
    精准堆喷射

    21509 lion林勇

    【漏洞exploit工具-mona系列1】获取、安装mona (mona.py) 支持 win7 x64位
    http://bbs.pediy.com/showthread.php?t=198170
    【漏洞exploit工具-mona系列2】mona手册
    http://bbs.pediy.com/showthread.php?t=198185
    【漏洞exploit工具-mona系列3】mona.py和winDBG的堆布局可视化
    http://bbs.pediy.com/showthread.php?t=198164
    【漏洞exploit工具-mona系列4】 mona实战系列
    http://bbs.pediy.com/showthread.php?t=198293

    相关文章

      网友评论

        本文标题:shellcode与漏洞

        本文链接:https://www.haomeiwen.com/subject/psfdaftx.html