Ropping eggs[Windows安全]
本文“Ropping eggs[Windows安全]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
前些日Corelan Team (corelanc0d3r)在其博客上发表一篇题为《Hack Notes : Ropping eggs for breakfast》的文章,地址以下:
http://www.corelan.be/index.php/2011/05/12/hack-notes-ropping-eggs-for-breakfast/ 读完考虑好久,大致理解后,将思绪理清,扼要记录以下: 1.掌握ret大概seh后返回到rop链并履行; 2.预置的rop指令链调用VirtualProtect函数(大概copy、copy_size等函数)将egghunter例程所在内存区域设置为可履行内存; 3.调用egghunter搜索以"W00T"标志开首的egg,即shellcode指令,接着再次调用VP函数将egg所在内存区域设置为可履行,并调用它. 关于egghunter源码以下:http://dev.metasploit.com/redmine/projects/framework/repository/revisions/12637/entry/lib/rex/exploitation/egghunter.rb 实例应用: http://dev.metasploit.com/redmine/projects/framework/repository/entry/modules/exploits/windows/ scada/igss9_igssdataserver_listall.rb PS:上述办法着实可省去定位shellcode地址的麻烦,但由于exploit运行于Windows XP SP3/2003 Server R2 SP2平台上,并没有受aslr保护,并且VP地址是硬编码的,故其通用性自然要受限制,在win7上也是不可用的.若想在win7下利用ropping eggs技术,还需动态定位VP函数,这可通过在noaslr模块找到call vp的指针;大概在栈中找到一指向kernel32模块的指针(此处并非指模块基址,只如果指针kernel32便可),再偏移找到VP函数地址;又大概……(等着你来增补).
以上是“Ropping eggs[Windows安全]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
本文地址: | 与您的QQ/BBS好友分享! |