Ropping eggs[Windows安全]

 前些日Corelan Team (corelanc0d3r)在其博客上发表一篇题为《Hack Notes : Ropping eggs for breakfast》的文章,地址以下:

http://www.corelan.be/index.php/2011/05/12/hack-notes-ropping-eggs-for-breakfast/

读完考虑好久,大致理解后,将思绪理清,扼要记录以下:

1.掌握ret大概seh后返回到rop链并履行;

2.预置的rop指令链调用VirtualProtect函数（大概copy、copy_size等函数)将egghunter例程所在内存区域设置为可履行内存;

3.调用egghunter搜索以"W00T"标志开首的egg,即shellcode指令,接着再次调用VP函数将egg所在内存区域设置为可履行,并调用它.

关于egghunter源码以下:http://dev.metasploit.com/redmine/projects/framework/repository/revisions/12637/entry/lib/rex/exploitation/egghunter.rb

实例应用:

http://dev.metasploit.com/redmine/projects/framework/repository/entry/modules/exploits/windows/

scada/igss9_igssdataserver_listall.rb

PS:上述办法着实可省去定位shellcode地址的麻烦,但由于exploit运行于Windows XP SP3/2003 Server R2 SP2平台上,并没有受aslr保护,并且VP地址是硬编码的,故其通用性自然要受限制,在win7上也是不可用的.若想在win7下利用ropping eggs技术,还需动态定位VP函数,这可通过在noaslr模块找到call vp的指针;大概在栈中找到一指向kernel32模块的指针（此处并非指模块基址,只如果指针kernel32便可）,再偏移找到VP函数地址;又大概……（等着你来增补）.