網(wǎng)站開發(fā)美學(xué)最愛網(wǎng)
鶴壁市浩天電氣有限公司
2026/01/24 13:59:36
網(wǎng)站開發(fā)美學(xué),最愛網(wǎng),成都網(wǎng)站設(shè)計(jì)推薦,網(wǎng)站開發(fā)項(xiàng)目經(jīng)驗(yàn)描述聽報(bào)告無事#xff0c;順手寫下做過的實(shí)驗(yàn)報(bào)告,話不多說#xff0c;開始正文1、實(shí)驗(yàn)?zāi)康募由顚A-32函數(shù)調(diào)用規(guī)則和棧幀結(jié)構(gòu)的理解。2、實(shí)驗(yàn)原理對目標(biāo)程序?qū)嵤┚彌_區(qū)溢出攻擊#xff0c;通過造成緩沖區(qū)溢出來破壞目標(biāo)程序的棧幀結(jié)構(gòu)#xff0c;繼而執(zhí)行一些原來程序中沒有…聽報(bào)告無事順手寫下做過的實(shí)驗(yàn)報(bào)告,話不多說開始正文1、實(shí)驗(yàn)?zāi)康募由顚A-32函數(shù)調(diào)用規(guī)則和棧幀結(jié)構(gòu)的理解。2、實(shí)驗(yàn)原理對目標(biāo)程序?qū)嵤┚彌_區(qū)溢出攻擊通過造成緩沖區(qū)溢出來破壞目標(biāo)程序的棧幀結(jié)構(gòu)繼而執(zhí)行一些原來程序中沒有的行為。3實(shí)驗(yàn)題目1、Smoke讓目標(biāo)程序調(diào)用smoke函數(shù)答案––smoke.txt首先查看匯編代碼可以看到調(diào)用了gets函數(shù)存在緩沖區(qū)溢出漏洞緩沖查看緩沖區(qū)區(qū)大小為40因此偏移量是404查找smoke函數(shù)地址因?yàn)闆]開PIE所以是固定的絕對地址0x08049655,因此便得出答案成功截圖如上實(shí)驗(yàn)題目2、Fizz讓目標(biāo)程序使用特定參數(shù)調(diào)用Fizz函數(shù)答案––fizz.txt首先是偏移量與前一題相同找出fizz函數(shù)的地址為0x08049681,由匯編截圖可以看出fizz函數(shù)會將位于ebp8即第二個參數(shù)與cookie值比較cookie值為0x28eaa8f8因此只需要將cookie覆蓋到參數(shù)的位置隨后跳轉(zhuǎn)到fizz函數(shù)時便可作為fizz的參數(shù)因此構(gòu)造payload如上圖成功截圖如下實(shí)驗(yàn)題目3、Bang讓目標(biāo)程序調(diào)用Bang函數(shù)并篡改全局變量偏移量不變題目要求修改全局變量為cookie值并跳到bang函數(shù)因此想到shellcode,緩沖區(qū)的權(quán)限為可寫可執(zhí)行因此將shellcode放在緩沖區(qū)開頭即可查看全局變量地址為0x0804E120,cookie值為0x28eaa8f8查看bang函數(shù)地址為0x080496D4,因此先寫出需要的匯編代碼再將其轉(zhuǎn)為機(jī)器指令如上圖得出需要的shellcode,接下來通過調(diào)試得到緩沖區(qū)起始位置調(diào)試圖如上eax的值即為緩沖區(qū)起始位置 0x55683a58 需要將返回地址覆蓋為這個值隨后便可執(zhí)行shellcode因此答案以及成功截圖如下實(shí)驗(yàn)題目4、Boom讓目標(biāo)程序返回test函數(shù)但不返回1而是返回cookie值這一題和上一題思路類似也是構(gòu)造shellcode,需要將返回值修改為cookie值0x28eaa8f8并且返回到test函數(shù)因?yàn)榉祷卦瘮?shù)的原因必須保持ebp不變透過匯編可以看出返回值存在了eax中因此需要修改eax的值為cookie,并在修改之后返回到原函數(shù)call的下一條指令地址為0x080497FE,緩沖區(qū)起始位置不變接下來通過調(diào)試獲得ebp的值為0x55683aa0構(gòu)造匯編指令并轉(zhuǎn)為機(jī)器指令如上圖因此答案以及成功截圖如下實(shí)驗(yàn)題目5、Nitro讓目標(biāo)程序返回testn函數(shù)但不返回1而是返回cookie值這一題每次運(yùn)行時棧內(nèi)的地址會變即緩沖區(qū)起始位置不確定但代碼段的地址不變即函數(shù)的絕對地址不變模仿了ASLR保護(hù)機(jī)制NX沒開方法有很多種比如說將棧遷移到代碼段從而獲得固定地址或者利用jmp esp等特殊gadget,也可以使用滑雪橇。棧遷移有些麻煩因此舍棄嘗試第二種方法利用ROPgadget尋找發(fā)現(xiàn)沒有合適的gadget因此行不通結(jié)合高達(dá)520字節(jié)的緩沖區(qū)大小看來這一題的標(biāo)準(zhǔn)答案便是滑雪橇了由于棧地址不確定因此不能直接給ebp賦值因此可以利用esp與ebp的相對偏移來賦值由如上匯編可知一個push和一個sub使esp與ebp相差0x140x4,當(dāng)執(zhí)行完getbuf的leave ret時esp就指向ebp-0x18的位置之后再執(zhí)行shellcode時esp也不會變隨后查看call下一條指令的地址為0x08049879, 接下來通過調(diào)試確定緩沖區(qū)起始地址的大概范圍通過五次運(yùn)行地址最大的一次為0x556838e8,因此將這個作為入口點(diǎn)前面的字節(jié)全是90也就是eip1nop)的機(jī)器指令由此一路滑到shellcode并執(zhí)行編寫匯編代碼并轉(zhuǎn)為機(jī)器指令如上圖答案與成功截圖如下套盾第一次在csdn上發(fā)表文章所以文字排版等方面可能不太熟練實(shí)驗(yàn)中有些細(xì)節(jié)可能說的不太清楚歡迎反駁本菜鳥或與本菜鳥交流??·??·??*?? ??注這是第二次修改剛發(fā)布完發(fā)現(xiàn)圖片轉(zhuǎn)存失敗因?yàn)槭怯檬謾C(jī)寫的諸多不便圖片可能不清楚如果因?yàn)榇硕o一些同學(xué)造成困擾的話我很抱歉請及時告訴我我會盡快回答_(:з」∠)_