shellcode与漏洞

软件漏洞：

成因：无法在原点上区分数据和代码

漏洞挖掘：
vulnerability 漏洞
exploit 漏洞利用
shellcode 壳代码
payload shellcode 的一部分 有效载荷

安全检查 l链接器 基址 数据保护

release 优化禁用 内联不启用

控制面板 管理工具 事件查看器 应用程序日志
获取当前地址
getPC x86 getEIP
call xxxx
pop eax

不会产生冗余指令
有很多0x000产生 ，不能直接用，需要编码

e8 ffffffff call xxxx
c3 retn
58 pop eax

不会产生0x00，大多数可以直接使用，不需编码
产生一条冗余指令 inc ebx ,可能会产生影响
ff c3 = inc ebx

fpu状态保存在esp-0c位置
fnstenv指向 fpu指针结构体上下文
fldz
fnstenv [esp-0ch]
pop ebx

构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖掉正常的返回地址。
shellcode通常放在缓冲区内，也可以通过环境变量存入堆内，也可以通过动态内存放入堆区。

调试shellcode

char shellcode[] = {}

int main(){

loadlibarary("user32.dll");
__asm{

lea eax,shellcode
push eax
ret

}

}

sub esp,0x20

__asm _emit()

一个进程加载的所有模块信息都保存在peb
kernel32.dll基址

FS寄存器找到teb
0x30偏移是PEB地址
peb偏移0x0c是peb_ldr_data的结构体指针
peb_ldr_data偏移0x1c是ininitializationOrderModelList指向的链表是一个结构体，保存模块链表的头部地址
ininitializationOrderModelList按照顺序保存进程加载的模块地址，其中第一个为ntdll.dll,第二个视系统的不同可能保存kernel32.dll或kernelbase.dll的信息
不管kernel32或kernelbase都导出有我们所需要的函数GetProcAddress

__asm{

mov esi,dword ptr fs:[0x30] ；peb地址
mov esi,[esi+0x0c] ;peb_ldr_data指针
mov esi,[esi+0x1c] ；ininit...list
mov esi,[esi] ；访问链表第二个条目
mov ebx,[esi+0x08] ;获取kernel32.dll的基址

}

exporttable = imagebase+0x3c

getpc

local(ent)
ent rva
imagebase
ent va
baseaddr
getprocaddress
长度

lea ecx，ebx[0x11]

jmp esp
0x7ffa1571
0x7ffa4512

74808fff
多余的90

31 1 41 A 61 a
x64dbg 编辑 粘贴 bug
搜索所有模块
静态引用mfc
telnet ip 端口号

m3u

通过函数名直接定义函数类型的declttype功能
可以显示函数状态的map文件生成
控制函数按顺序生成并按顺序摆放的功能

shellcode
不能使用全局与字符串，他们保存在数据区
不能直接使用windows api
不能使用大多数C语言库函数
不能使用 int num[15] = {0} 会调用memset

define definefuncptr(name,base)\

decltype(name) * my_##name =
(decltype(name)*)getfunaddrbyhash(HASH_##name,base)
展开后

define hash_sleep 0x11225533

decltype(sleep)* my_sleep = (decltype(sleep)*)getfunaddrbyhash(hash_sleep,hmodule)

暴雷漏洞
proof of concept poc

clsid MSXML 3.0中CLSID_DOMDocument的GUID

堆喷射 heap spray
空闲内存
slide内存
系统内存
slide内存
系统内存

堆喷防御机制
绕过保护
data exception prevention dep 数据执行保护
微软 禁用执行位
4kb 0x1000字节 错误吧？？？
精准堆喷射

21509 lion林勇

【漏洞exploit工具-mona系列1】获取、安装mona (mona.py) 支持 win7 x64位
http://bbs.pediy.com/showthread.php?t=198170
【漏洞exploit工具-mona系列2】mona手册
http://bbs.pediy.com/showthread.php?t=198185
【漏洞exploit工具-mona系列3】mona.py和winDBG的堆布局可视化
http://bbs.pediy.com/showthread.php?t=198164
【漏洞exploit工具-mona系列4】 mona实战系列
http://bbs.pediy.com/showthread.php?t=198293