日期:2011-05-17 23:43:00  来源:本站整理

Ropping eggs[Windows安全]

赞助商链接



  本文“Ropping eggs[Windows安全]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:

 前些日Corelan Team (corelanc0d3r)在其博客上发表一篇题为《Hack Notes : Ropping eggs for breakfast》的文章,地址以下:

http://www.corelan.be/index.php/2011/05/12/hack-notes-ropping-eggs-for-breakfast/

读完考虑好久,大致理解后,将思绪理清,扼要记录以下:

1.掌握ret大概seh后返回到rop链并履行;

2.预置的rop指令链调用VirtualProtect函数(大概copy、copy_size等函数)将egghunter例程所在内存区域设置为可履行内存;

3.调用egghunter搜索以"W00T"标志开首的egg,即shellcode指令,接着再次调用VP函数将egg所在内存区域设置为可履行,并调用它.

关于egghunter源码以下:http://dev.metasploit.com/redmine/projects/framework/repository/revisions/12637/entry/lib/rex/exploitation/egghunter.rb

实例应用:

http://dev.metasploit.com/redmine/projects/framework/repository/entry/modules/exploits/windows/

scada/igss9_igssdataserver_listall.rb

PS:上述办法着实可省去定位shellcode地址的麻烦,但由于exploit运行于Windows XP SP3/2003 Server R2 SP2平台上,并没有受aslr保护,并且VP地址是硬编码的,故其通用性自然要受限制,在win7上也是不可用的.若想在win7下利用ropping eggs技术,还需动态定位VP函数,这可通过在noaslr模块找到call vp的指针;大概在栈中找到一指向kernel32模块的指针(此处并非指模块基址,只如果指针kernel32便可),再偏移找到VP函数地址;又大概……(等着你来增补).

  以上是“Ropping eggs[Windows安全]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
  • Ropping eggs
  • 本文地址: 与您的QQ/BBS好友分享!
    • 好的评价 如果您觉得此文章好,就请您
        0%(0)
    • 差的评价 如果您觉得此文章差,就请您
        0%(0)

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    Copyright © 2020-2022 www.xiamiku.com. All Rights Reserved .