【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: [讨论]学习溢出中遇到的一个问题 [打印本页]

作者: jjcd 时间: 2008-7-21 00:18 标题: [讨论]学习溢出中遇到的一个问题

[讨论]学习溢出中遇到的一个问题
议题作者：achillis
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

小弟初学溢出，在分析一个比较简单的栈例子时出已经定位了溢出点。
使用经典的'AA....A'+jmp esp+shellcode填充方法已经可以执行自己的"shellcode".
但是，因为这个溢出原因是文件路径超长引起的，使用的shellcode必须不能出现非法字符。
问题就在于，在这种字符要求下，我如何执行真正的shellcode?即编码问题如何解决?
详细情况我画个图.

因为是文件名过长溢出，总长度有259字节。前面有206个字节可以自己填充，中间是4字节的jmp esp,后面还有49个字节可以得用。正确填充后，溢出时就会执行后面49字节的内容。如果我使用"CCCCC"(16进制为0x43)填充的话，可以被当成inc ebx执行。
但是，49字节太短，不能放置一个真正有实用功能的shellcode。记得看到别人的想法是把真正的shellcode放在别处，而在这里放一个search code,让它真正的shellcode并执行。

在我这个例子里面，我想这么搞：
把编码过的符合要求的shellcode放在前面的206字节中，在后面的49字节处只需要一个跳转，跳到这206字节的起始处开始执行就可以了。为了不出现非法字法，我使用了一段编码指令把shellcode编码为只含有字母和数字的，但是其解码头部就有52字节长，用来编码前面的shellcode可以，但是后面只有49字节就不行了。所以，我现在需要的是一个符合编码要求的跳转指令即可。但苦于找不到，所以到这里求助。
其它数据有：
溢出时esp=0013E5E8

缓冲区首址=0013E51A,
在esp后面有49个字节可以利用。

其它利用方法我也尝试过，ebx指向Unicode编码过的缓冲区，貌似可以call ebx.我参考了gyzy兄的《编写Unicode有效的shellcode 》（在此感谢gyzy兄的好文章），但是它的编码头部中有不符合文件名要求的特殊字符。所以后来还是利用jmp esp方法。大家有其它什么方法指点下小弟也可。

附件

未命名.JPG (13 KB)
2008-1-28 15:17
缓冲区分析

学习中.......

帖子54 精华0 积分194 阅读权限40 性别男在线时间12 小时注册时间2006-9-10 最后登录2008-7-18 查看详细资料引用报告回复 TOP 赚更多的钱

plbb18

晶莹剔透§烈日灼然

作者: 南好灌 时间: 2008-7-21 00:18

"我现在需要的是一个符合编码要求的跳转指令即可"---------->

1)编码有什么具体要求呢?

2)使用编码器会增大shellcode,可用空间有限,挑个具备简单功能的小shellcode吧;

3)CALL EBX 应该属于不错的选择,编码头部出问题,能否饶过去呢?

4)考虑一下类似jmp short * 的指令;

5)把shellcode汇编成ASCII码是否可行呢?
帖子6 精华0 积分18 阅读权限40 性别男在线时间19 小时注册时间2005-12-16 最后登录2008-5-27 查看详细资料引用报告回复 TOP 您知道您年薪应是多少?

neversaylove

晶莹剔透§烈日灼然

作者: nbai 时间: 2008-7-21 00:18

前面还有209个MS可以利用，可以在jmp esp 后面写jmp －214试试

帖子38 精华2 积分147 阅读权限40 性别男在线时间108 小时注册时间2007-3-18 最后登录2008-5-25 查看详细资料引用报告回复 TOP 爱要怎么说出口

achillis

晶莹剔透§烈日灼然

作者: weimei 时间: 2008-7-21 00:18

回复沙发 plbb18 的帖子
我需要的就是符合编码要求的一个转移指令。
编码的唯一要求就是在长度不超出49的情况下符合文件命名的字符要求。
这导致有不少字符不能用啊，因为是在文件名中。
我就是因为原有的shellcode中有不符合文件命名要求的字符才选择编码，如果我有符合要求的shellcode，当然不会这么做了。
call ebx使用Unicode有效的shellcode同样面临这样的问题。解码头部也有不可用字符。
只要能以某种方式跳转到前面缓冲区开头，而又不出现非法字符，那么就达到目的了。
不晓得我说清楚了没有...学习中.......

帖子54 精华0 积分194 阅读权限40 性别男在线时间12 小时注册时间2006-9-10 最后登录2008-7-18 查看详细资料引用报告回复 TOP

achillis

晶莹剔透§烈日灼然

作者: carsoom 时间: 2008-7-21 00:18

回复椅子 neversaylove 的帖子
我就是这么想的。可是跳转指令中有非法字符，不符合文件名要求。学习中.......

帖子54 精华0 积分194 阅读权限40 性别男在线时间12 小时注册时间2006-9-10 最后登录2008-7-18 查看详细资料引用报告回复 TOP 让女孩一夜变的更有女人味

plbb18

晶莹剔透§烈日灼然

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com/)