漏洞利用开发基础学习记录

文章目录

  • 简介
    • Win32缓冲区溢出
      • 内容
      • 难点
    • SEH 溢出
      • 内容
      • 难点
    • Egg Hunters
      • 内容
      • 难点
    • Unicode 溢出
      • 内容
      • 难点
    • x86-64 缓冲区溢出
      • 内容
      • 难点
  • 参考资料

简介

本文基于ERC.Xdbg漏洞分析文章进行初步归纳整理,主要有Win32 缓冲区溢出、SEH 溢出、Egg Hunters、Unicode 溢出、x86-64 缓冲区溢出,工具下载链接ERC.Xdbg

Win32缓冲区溢出

内容

1.通过输入发现修改了eip,确定存在漏洞
2.利用ERC --FindNRP命令确定溢出有效长度,修改指定的eip
3.因最终的shellcode在堆栈中,所以寻找带有jmp esp的命令且该命令所在模块未含有ASLR等安全属性
4.将寻找到的目标命令eip改写到溢出的有效长度成功修改eip,执行特定shellcode

难点

对于eip如何修改达到目标的shellcode位置,这里是采用的寻找一个固定地址且命令为jmp esp,这样就可以直接将eip调整到shellcode位置

SEH 溢出

内容

1.通过输入发现x64dbg中的SEH链的异常处理例程被修改
2.利用ERC --FindNRP命令确定溢出有效长度,修改使其能够达到目标的异常处理例程,也就是拿到eip的指向
3.寻找pop pop ret命令且该命令所在模块未含有ASLR等安全属性
4.将寻找到的目标命令eip改写到溢出的有效长度成功修改eip,这样程序运行后将返回到修改的下一个异常地址中
5.构建一个jmp跳过到寻找的目标命令下方,这样就可以执行构造的shellcode

难点

SEH溢出之所以要寻找pop pop ret命令,是因为在触发异常时当前的堆栈保存的结构是一个名为EXCEPTION_DISPOSITION的结构,而且esp+8的位置就正好指向下一个链表的位置,也就是编写溢出代码的位置,详细请参考SEH Handler结构分析

Egg Hunters

内容

1.基于上面SEH溢出漏洞是通过修改jmp跳转到下方,但是有时程序在对字符串做过滤的时候遇到0x00、0x0A、0x0D等硬编码时会终止,所以无法跳转到下方构建的Shellcode
2.这样只能向上跳转,但是向上跳转有最大限制80字节显然是不够用,所以构建一个寻找标识的内容的代码,这样可以拓展到寻找到更多长度的shellcode

难点

对于这个寻找标识的代码构建比较考察编程功底,想要写好非常困难,所以一般直接使用现有的或者魔改后的(防止被特征)

Unicode 溢出

内容

1.与上面基本类似,但由于程序会将输入的内容格式化为unicode,所以在寻找pop pop retn的命令eip时也必须寻找到可以构建unicode方式的eip
2.在跳转到构建的溢出数据块时,由于输入的数据都是unicode无法直接当成命令去使用,所以利用0x75(它会将前后的0x00合并形成一个新命令)、0x71(相当于Unicode版的nop)进行构建shellcode

难点

1.在寻找跳转的eip时要找到unicode版本的eip
2.而该eip后续会作为汇编代码进行执行,所以寻找的时候也要符合硬编码的规范使其不崩溃
3.搭配特别硬编码0x75和0x71实现代码执行

x86-64 缓冲区溢出

内容

1.64位程序与32位缓冲区溢出几乎相同,唯一的区别就在于64位会对eip进行校验,如果违法就不进行更改eip
2.所以使用原先的命令ERC --FindNRP是无法定位到溢出的有效数据大小的,应当在内存中搜索特定的标识进行定位,命令为ERC --Pattern o 字符串,这样就可以得到被溢出的数据有效大小
3.但是数据依然在栈中,根据x64特性会将返回值放到eax中,在本实例中可以直接搜索具有jmp eax的地址进行跳跃执行编写的ShellCode

难点

无法像之前那样直接使用命令FindNRP定位溢出数据大小,本质上与x32缓冲区溢出并无区别

参考资料

漏洞利用开发基础知识 1:Win32 缓冲区溢出
漏洞利用开发基础知识 2:SEH 溢出
漏洞利用开发基础知识 3:Egg Hunters
漏洞利用开发基础知识 4:Unicode 溢出
漏洞利用开发基础知识 5:x86-64 缓冲区溢出

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/36289.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

基于盲信号处理的人声分离

1.问题描述 在实际生活中,存在一种基本现象称为“鸡尾酒效应”,该效应指即使在非常嘈杂的环境中,人依然可以从噪声中提取出自己所感兴趣的声音。 在实际应用中,我们可能需要对混合的声音进行分离,此时已知的只有混合…

规上!西安市支持培育商贸企业达限纳统应统尽统申报奖励补助要求政策

西安市支持培育商贸企业达限纳统应统尽统工作方案 为加快培育消费市场主体,支持商贸企业扩大经营、做大做强,指导企业达限纳统、应统尽统,不断扩大我市限额以上商贸企业数量规模,促进全市经济社会高质量发展,结合我市…

springboot 集成阿里云 OSS

引入依赖 <!-- 阿里云oss依赖 --> <dependency><groupId>com.aliyun.oss</groupId><artifactId>aliyun-sdk-oss</artifactId><version>3.9.1</version> </dependency><?xml version"1.0" encoding"…

技术前瞻:华为鸿蒙HarmonyOS NEXT仓颉语言Beta招募亮点提前曝光

在科技迅猛发展的今天&#xff0c;华为的每一步创新都备受瞩目。6月21日&#xff0c;华为再次引领风潮&#xff0c;正式发布了自研的仓颉编程语言&#xff0c;并宣布开启HarmonyOS NEXT 仓颉语言开发者预览版Beta招募活动。这不仅是华为技术实力的展示&#xff0c;更是对开发者…

C语言基础笔记(全)

一、数据类型 数据的输入输出 1.数据类型 常量变量 1.1 数据类型 1.2 常量 程序运行中值不发生变化的量&#xff0c;常量又可分为整型、实型(也称浮点型)、字符型和字符串型 1.3 变量 变量代表内存中具有特定属性的存储单元&#xff0c;用来存放数据&#xff0c;即变量的值&a…

day53--ELK搜索

ELK搜索高级课程 1&#xff0e; 课程简介 1.1 课程内容 ELK是包含但不限于Elasticsearch&#xff08;简称es&#xff09;、Logstash、Kibana 三个开源软件的组成的一个整体。这三个软件合成ELK。是用于数据抽取&#xff08;Logstash&#xff09;、搜索分析&#xff08;Elast…

win10系统自动关闭屏幕和自动睡眠不生效的解决办法

在cmd中执行 powercfg /requests 检查影响电源睡眠或休眠的驱动或进程 如果执行结果遇到下面这种带括号很长一串的情况SYSTEM: [DRIVER] Conexant SmartAudio HD (HDAUDIO\FUNC_01&VEN_14F1&DEV_510F&SUBSYS_17AA502A&REV_1001\4&f35eced&0&0001…

学习笔记——动态路由——OSPF(报头信息、报文信息、三张表)

六、OSPF协议的报头信息、报文信息、三张表 OSPF的协议报文在一个广播域内进行传递&#xff0c;是直接封装在IP报文中的&#xff0c;协议号为89。 OSPF本身5种类型&#xff1a;分别是Hello报文、DD报文、LSR报文、LSU报文、LSAck报文&#xff0c;各种不同类型的LSA其实只是包含…

Acitity跳转延时10s会导致anr的时序问题讨论

背景&#xff1a; 针对前些天直播时候&#xff0c;主要讲解是launcher启动app&#xff0c;Activity onResume延时10s不会anr&#xff0c;但是Activity内部activity1跳转activity2就会anr问题展开了讨论 https://mp.weixin.qq.com/s/_uA5yKUTUw-9H-tWxGNK9g 这个原因为啥已经在…

『Z-Workshop』 6月22日线下ALCOVE分享活动

2024 求是创新 ZJUBCA Sponsored by the ALCOVE Community TIME&#xff1a;2024/06/22 ADD&#xff1a;浙江大学紫金港校区 --- Alcove 是 Aptos 公链与 Alibaba Cloud 共同打造的亚洲首个 Move 开发者社区&#xff0c;致力于支持开发者使用 Move 语言构建下一代 Web3 应用&am…

深入解析Java ThreadLocal及其内存管理机制

在多线程编程中&#xff0c;如何保证线程间的数据隔离和线程安全是一个重要问题。Java提供的ThreadLocal类通过让每个线程拥有独立的数据副本&#xff0c;巧妙地解决了这个问题。本文将深入分析ThreadLocal的工作机制&#xff0c;并探讨如何防止内存泄漏。 目录 ThreadLocal基…

综合管廊挂轨巡检机器人:安全高效管理的新力量

综合管廊、电力管廊等作为承载着各类电缆和管线的重要通道&#xff0c;管廊的安全和可靠性对城市的运行至关重要。传统人工巡检效率低、劳动强度大&#xff0c;且可能存在巡检不及时、不准确等问题。难以满足日益复杂和庞大的管廊系统的监控需求。为了解决这些问题&#xff0c;…

如何选择一个好的汽车油封制造商?

汽车的每一个零部件都至关重要&#xff0c;其中&#xff0c;油封的作用更是不可忽视。它们确保了液体和气体在汽车内部的正确流动&#xff0c;防止了泄漏。因此&#xff0c;选择一个可靠的汽车油封制造商就显得尤为重要。那么&#xff0c;我们应该如何做出明智的选择呢? 首先…

MySQL用于分析查询性能的命令

1、EXPLAIN 1、使用EXPLAIN命令可以查看MySQL如何执行SQL查询语句&#xff0c;包括它是否使用了索引、使用了哪些索引、表扫描方式等。 2、示例&#xff1a;EXPLAIN SELECT * FROM table_name WHERE column_name value; 2、SHOW PROFILE 1、SHOW PROFILE命令用于显示查询执…

RabbitMQ基本概念

RabbitMQ是AMQP协议的一个开源实现&#xff0c;所以其基本概念也就是的 AMQP 协 议中的基本概念。如图3-1所示是 RabbitMQ 的整体架构图。 Message(消息):消息是不具名的&#xff0c;它由消息头和消息体组成。消息体是不透明的&#xff0c; 而消息头则由一系列可选属性组成&…

vue3中的图片懒加载指令及全局注册

vue3中的图片懒加载指令及全局注册 最近重新刷了一遍黑马的小兔鲜前端项目&#xff0c;发现有个懒加载的指令之前还没有用过。而且写法相对固定&#xff0c;因此记录一下 首先&#xff0c;懒加载&#xff08;Lazy Loading&#xff09;的作用是延迟加载某些资源或组件&#xf…

用免费的“山水博客”来管理你的离线文章

山水博客地址&#xff1a; https://github.com/opensanyue/ssblog 电脑上存了不博客文章&#xff0c;一直想找个软件整理一下。前不久在github刷到一个&#xff0c;试了一下&#xff0c;还不错&#xff0c;先看看成果。 左边我建了2个大类&#xff0c;分开用来放“csdn”和“简…

【附精彩文章合辑】哈佛辍学小哥的创业经历【挑战英伟达!00 后哈佛辍学小哥研发史上最快 AI 芯片,比 H100 快 20 倍!】

前情提要 https://blog.csdn.net/weixin_42661676/article/details/140020491 哈佛辍学小哥的创业经历 一、背景与起步 这位哈佛辍学小哥&#xff0c;名为Chris Zhu&#xff0c;是一位华裔学生&#xff0c;他在2020年进入哈佛大学&#xff0c;攻读数学学士学位和计算机科学硕…

C#面: C# 如何从基类创建派生类对象?

在C#中&#xff0c;可以通过继承来创建派生类对象。继承是面向对象编程中的一种重要概念&#xff0c;它允许一个类&#xff08;称为派生类&#xff09;继承另一个类&#xff08;称为基类&#xff09;的属性和方法。 要从基类创建派生类对象&#xff0c;首先需要定义一个派生类…

文物管理技术RFID技术

随着科技的不断发展&#xff0c;科技在各个领域都发挥着重要的作用。其中&#xff0c;在文物管理方面&#xff0c;RFID技术的应用正在逐渐引起人们的关注。RFID&#xff08;Radio Frequency Identification&#xff09;技术是一种通过无线电信号进行非接触式识别的技术&#xf…