安基網 首頁 安全 安全學院 查看內容

跟小黑學漏洞利用開發之16進制字符轉換

2019-12-5 11:30| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 一篇緩沖區漏洞利用的文章,本文我們將繼續使用vulnserver漏洞練習程序中—HTER指令,它與前一篇Unicode類似。LTER緩沖區轉換為Unicode,而HTER緩沖區轉換為十六進制,讓我們一起來看看發生這種轉換時發生什么,以及如何完成我們的漏洞利用程序。遇到有些小伙伴說進行漏洞利用開發 ...

Hello Every Boby!

又是一篇緩沖區漏洞利用的文章,本文我們將繼續使用vulnserver漏洞練習程序中—HTER指令,它與前一篇Unicode類似。LTER緩沖區轉換為Unicode,而HTER緩沖區轉換為十六進制,讓我們一起來看看發生這種轉換時發生什么,以及如何完成我們的漏洞利用程序。遇到有些小伙伴說進行漏洞利用開發必須使用immunity Debugger嗎?其實沒有規定必須使用,我希望在此系列更多分享關于漏洞利用思維層面東西。畢竟殊勝因緣,一通百通。

所以此篇我使用X64dbg調試器完成漏洞利用開發。

POC攻擊

讓我們用python漏洞重新創建POC,并執行它。然后再次引發崩潰,詳情如圖所示:

發送3000字節的A引發應用程序崩潰。但是,EIP被AAAAAAAA代替41414141。嘗試發送了不同的字符串到緩沖區,以進一步觀察應用程序的情況;诖,我們觀察到緩沖區以某種方式被轉換為十六進制字節,而不是ASCII。

“二分法”分析偏移量

由于緩沖區已轉換為十六進制字節!mona pc或者使用msf-pattern命令生成的唯一字符串不起作用。因此,我使用了“二分法”確定偏移量。我沒有發送3000 A,而是花了1500 A和1500B。

如圖所示,EIP被’BBBBBBBB’,因為我們已知B有1500字節。

我們重復上述操作調整幾次,發現偏移量在2041字節;下面為修正過后的代碼。(注意:由于緩沖區已轉換為16進制,因為使用覆蓋offset字節應該是8個B,而不是之前4個。)

運行修正后的代碼EIP被8個B準確覆蓋。

至此為了將執行流程重定向到C緩沖區,我們可以使用曾經用過指令“!mona jmp -r esp”,找到包含JMP ESP地址。為此我們使用之前第一個地址即0x625011AF。(注意:由于我這使用X64dbg尋找JMP ESP。其實道理都一樣,一通百通^_^)

然后我們修改代碼,如圖所示。

運行最新修改的代碼,如圖所示;重定向有效。

16進制的shellcode

我們所需要做的下一件事,就是需要制作一個16進制的shellcode,如圖所示。

漏洞利用攻擊

我們完成最終利用代碼,運行編寫的Exploit會導致目標機器產生4444/TCP端口監聽。

連接此端口,完成Getshell。

最后需要說下kali-linux 2019.4版本確實很輕便,推薦大家更新使用。

原文鏈接:https://www.anquanke.com/post/id/194070



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6766546386012865038/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
洗衣店赚钱联系澳洁 东方6十1历史开奖结果查询 湖北30选五的走势 网上赚钱 博乐填大坑下载2019 好运彩彩票ios苹果版下载 今日股市最新消息上 25选7开奖时间 星悦陕西麻将 河南11选五怎么玩 千炮街机电玩捕鱼版下载