从windows缓冲区溢出到执行shellcode

0x00 背景介绍

缓冲区溢出：当缓冲区边界限制不严格时，由于变量传入畸形数据或程序运行错误，导致缓冲区被填满从而覆盖了相邻内存区域的数据。可以修改内存数据，造成进程劫持，执行恶意代码，获取服务器控制权限等。

本文通过实验来初识windows缓冲区溢出过程，包括计算偏移量，badchar，以及如何在跳转ESP后执行shellcode获取权限。

0x01 查看代码

实验环境32位win7 ，1个python脚本文件、 1个exe、 1个dll文件。

python关键代码在9至13行，15至19是说使用socket将数据发送到4455端口，如下：

exe运行后发现本地监听4455端口

0x02 导入debugger

poc打过去 代码第十行发送过去3000个\x41即3000个A 程序崩溃

ESP处跟过去发现内存中存在我们打过去的A字符

使用metasploit生成3000个随机字符串

0x03 再次崩溃

将字符串写入代码的junk变量中 重启程序 再打 再次崩溃

0x04 计算偏移量

根据EIP计算偏移量为809

修改junk 809个A和4个B进入下一个地址 最后加上剩余的C

跟踪ESP进入内存发现都是我们之前打进的C

0x05 Badchar

得到python的badchar \x00 默认就是坏字符了 先挑出来

加入badchar变量 重新打

进入ESP内存 发现\x04为badchar 挑出来 重新载入程序 再打

第二个badchar 2E

最后共计6个badchar \x00\x04\x2e\x3f\x94\xc0

0x06 生成shellcode

去掉badchar 生成shellcode

加入脚本

0x07 JMP ESP

由于栈桢动态分布的问题，shellcode 的入口肯定也不一样的，不能以硬编码的方式去做，不然多数情况只能用一次，JMP ESP 是将shellcode 在ret 之后让JMP ESP指令带领EIP重新回到栈上以执行shellcode的目的，是一种常见的pivot技术。

找到JMP ESP

虚拟内存反写 加20个\x90空行保护shellcode头

0x08 End

溢出 getshell

后台回复关键字 bof 获取实验脚本。