漏洞利用开发基础学习记录

简介

本文基于ERC.Xdbg漏洞分析文章进行初步归纳整理，主要有Win32 缓冲区溢出、SEH 溢出、Egg Hunters、Unicode 溢出、x86-64 缓冲区溢出，工具下载链接ERC.Xdbg

Win32缓冲区溢出

内容

1.通过输入发现修改了eip，确定存在漏洞
2.利用ERC --FindNRP命令确定溢出有效长度，修改指定的eip
3.因最终的shellcode在堆栈中，所以寻找带有jmp esp的命令且该命令所在模块未含有ASLR等安全属性
4.将寻找到的目标命令eip改写到溢出的有效长度成功修改eip，执行特定shellcode

难点

对于eip如何修改达到目标的shellcode位置，这里是采用的寻找一个固定地址且命令为jmp esp，这样就可以直接将eip调整到shellcode位置

SEH 溢出

内容

1.通过输入发现x64dbg中的SEH链的异常处理例程被修改
2.利用ERC --FindNRP命令确定溢出有效长度，修改使其能够达到目标的异常处理例程，也就是拿到eip的指向
3.寻找pop pop ret命令且该命令所在模块未含有ASLR等安全属性
4.将寻找到的目标命令eip改写到溢出的有效长度成功修改eip，这样程序运行后将返回到修改的下一个异常地址中
5.构建一个jmp跳过到寻找的目标命令下方，这样就可以执行构造的shellcode

难点

SEH溢出之所以要寻找pop pop ret命令，是因为在触发异常时当前的堆栈保存的结构是一个名为EXCEPTION_DISPOSITION的结构，而且esp+8的位置就正好指向下一个链表的位置，也就是编写溢出代码的位置，详细请参考SEH Handler结构分析

Egg Hunters

内容

1.基于上面SEH溢出漏洞是通过修改jmp跳转到下方，但是有时程序在对字符串做过滤的时候遇到0x00、0x0A、0x0D等硬编码时会终止，所以无法跳转到下方构建的Shellcode
2.这样只能向上跳转，但是向上跳转有最大限制80字节显然是不够用，所以构建一个寻找标识的内容的代码，这样可以拓展到寻找到更多长度的shellcode

难点

对于这个寻找标识的代码构建比较考察编程功底，想要写好非常困难，所以一般直接使用现有的或者魔改后的（防止被特征）

Unicode 溢出

内容

1.与上面基本类似，但由于程序会将输入的内容格式化为unicode，所以在寻找pop pop retn的命令eip时也必须寻找到可以构建unicode方式的eip
2.在跳转到构建的溢出数据块时，由于输入的数据都是unicode无法直接当成命令去使用，所以利用0x75（它会将前后的0x00合并形成一个新命令）、0x71（相当于Unicode版的nop）进行构建shellcode

难点

1.在寻找跳转的eip时要找到unicode版本的eip
2.而该eip后续会作为汇编代码进行执行，所以寻找的时候也要符合硬编码的规范使其不崩溃
3.搭配特别硬编码0x75和0x71实现代码执行

x86-64 缓冲区溢出

内容

1.64位程序与32位缓冲区溢出几乎相同，唯一的区别就在于64位会对eip进行校验，如果违法就不进行更改eip
2.所以使用原先的命令ERC --FindNRP是无法定位到溢出的有效数据大小的，应当在内存中搜索特定的标识进行定位，命令为ERC --Pattern o 字符串，这样就可以得到被溢出的数据有效大小
3.但是数据依然在栈中，根据x64特性会将返回值放到eax中，在本实例中可以直接搜索具有jmp eax的地址进行跳跃执行编写的ShellCode

难点

无法像之前那样直接使用命令FindNRP定位溢出数据大小，本质上与x32缓冲区溢出并无区别

参考资料

漏洞利用开发基础知识 1：Win32 缓冲区溢出
漏洞利用开发基础知识 2：SEH 溢出
漏洞利用开发基础知识 3：Egg Hunters
漏洞利用开发基础知识 4：Unicode 溢出
漏洞利用开发基础知识 5：x86-64 缓冲区溢出