KeyboArd's Blog

前言前几天学习到了通过栈溢出弹窗，当时是入口地址是buffer的地址，现在了解到有一个叫跳板的玩意 ESP寄存器在函数返回后不被溢出数据干扰，且始终指向返回地址之后的位置 用内存中任意一个jmp esp指令的地址覆盖函数返回地址，而不用手工查出shellcode起始地址直接覆盖 函数返回后被重定向去执行内存中的这条jmp esp指令，而不是直接开始执行shellcode 由于esp在函数返回时仍指向栈区（函数返回地址之后），jmp esp指令被执行后，处理器会到栈区函数返回地址之后的指令执行 重新布置shellcode，在淹没函数返回地址后，继续淹没一片栈空间，将缓冲区前边一段地方用任意数据填充，把shellcode恰好摆放在函数返回地址之后，这样Jmp esp指令执行过后会恰好跳进shellcode 这种定位shellcode的方法使用进程空间里一条jmp esp指令作为跳板，不论栈帧怎么移位都能准确地跳回栈区，从而适应程序运行中shellcode内存地址的动态变化 正文找出Jmp Esp的地址直接看源码 12345678910111213141516171819202122 ...

前言上一篇文章中，通过栈溢出对EIP地址进行冲刷，修改返回地址，达到弹出记事本的效果。 由于上次那个操作，有点过于自慰，怎么说了，就是只能在本地测试，因为弹出记事本的地址是在代码里的，如果测试别人的程序，那没可能在别人程序里写一段东西进去，最多在OD里，找一块空的内存空间，然后jmp过去，达到hook的效果。 当时就一直在想，能不能找一个静态地址，或者说是万能地址，可以在别的机器上实现效果，但是当时一直没找到好的法子。 正文查找函数地址通过阅读学习，了解到可以通过软件查看WindowsDLL函数地址的方式，书上推荐depends软件，这款软件方便是方便，但是不支持win10系统 后面通过搜索到还有两软件可以使用dllexp,Viewdll dllexp可以查看全系统函数的地址，也可以单独查看单独链接库的函数地址 ViewDLL是托软件进去查看，不过不太方便，实用性不高 通过dllexp查看user32.dll链接库中MessageBoxA函数的地址 函数地址找到了0x69e82130尽量别选则有00字节的，因为00字节有截断符号的意思，所以如果有00时候要改写成30处理，接下 ...

前言最近复现的漏洞都是以远程代码执行为主。但是基本都是JAVA环境的，对java的也不怎么熟，就只能对PHP的进行学习一下。 代码执行函数通过搜索引擎了解到了PHP的代码执行函数 1、eval()定义和用法 eval() 函数把字符串按照 PHP 代码来计算。 该字符串必须是合法的 PHP 代码，且必须以分号结尾。 如果没有在代码字符串中调用 return 语句，则返回 NULL。如果代码中存在解析错误，则 eval() 函数返回 false。 语法 1eval(phpcode) 参数 描述 phpcode 必需。规定要计算的 PHP 代码。 代码 1234<?php$code=$_GET["a"];eval($code);?> 利用方式： 代码2 当采用POST请求时，这就相当于PHP一句话了。可以用菜刀连接。 1234<?php$code=$_POST["a"];eval($code);?> 2、assert()assert在PHP中叫断言，是用于在代码中捕捉假设的，可以将断言看作是异常处 ...

上次分析的突破密码验证中，通过改写领近变量实现密码突破验证。 这次碰到一个更好玩的，也是通过栈溢出，当字符达到一个上限时，EIP寄存器中的地址会被覆盖，文字解释不清，直接上操作吧。 正文首先来看源码， 源码是上一篇文章中的源码， 只是我对他进行了改写。 1234567891011121314151617181920212223242526272829303132333435363738394041424344#include <stdio.h>#include <string.h>#include <iostream>#define PASSWORD "1234567"using namespace std;int verify_password (char *password){ int authenticated; char buffer[8];// add local buff //strcmp比较两个字符串并根据比较结果返回整数 //strcmp(str1,str2)，若str1=str2，则返回零；若str1 ...

前言​ 原本是打算复现shiro RemeberMe的漏洞环境的，想分析下代码，结果搭了两天都是失败的，后面听说是要jdk1.6版本，我的jdk版本是1.8，实在是被折磨的废了不想降了，不搞他了。 ​ 后面看了一下打算学习下s2-005的，又看了下，需要tomcat6的版本，本机环境tomcat9，也懒得降了。实在是搞怕了。 漏洞信息 把Problem翻译一下：发生转换错误时，将用户输入评估为OGNL表达式。 这允许恶意用户执行任意代码。 环境搭建源码在:Github上下载的。 编辑器：IDEA 环境配置如下图👇： 配置好tomcat就可以运行了，测试过代码是没问题的 分析代码 首先这里有一个验证表单，限制了age的长度。 123456789101112<?xml version="1.0" encoding="UTF-8" ?><!DOCTYPE validators PUBLIC "-//OpenSymphony Group//XWork Validator 1.0//EN ...

前言今日学习计划原本是打算搭建shiro Remeberme 的漏洞来复现然后分析其代码的。 刚开始费劲千辛万苦终于找到了源码，接着开始安装环境，配置maven。 直到我打开了idea，导入项目，问题就出来了。 首先不熟悉软件，开始百度怎么导入，一步一步来，发现idea版本太高了，和网上的文章很多操作都不符合，但是按照第七感，一路next，开始导入maven包了，等了几分钟，看着好像导入结束了，然后一点开代码，一堆红色。 后面的时间，都在漫长的百度和尝试的路上，可惜最后都失败了。 被折磨了半天，最后身心俱疲，打开了0day安全 软件漏洞分析技术第二版看书转移注意力，忘却java带给我的痛苦。 栈溢出首先栈指的是一种数据结构，是一种先进后出的数据表。栈的常见操作有两种：压栈(push)、弹栈(pop)；用于标识栈的属性也有两个：栈顶（top）、栈底（base） 首先了解一点：大多数情况下，局部变量在栈中的分布是相邻的，但也有可能出于编译优化等需要而有所例外。具体情况需要在动态调试中具体对待。 123456789101112131415161718192021222324252 ...