5.7.2 XP下SEH的利用
“好,我们看看,本来ebx应该指向0x33333333,我们CALL EBX就可跳到0x33333333那句指令。但在XP下这招不行,要用另一种方法了。”
“哦?什么方法呢?”
“呵呵,系统总要知道指向下一个异常处理点的位置嘛!大家仔细找找看,寄存器或寄存器内存附近有什么指令指向0x33333333?”
大家仔细的找了起来。
“哦!esp+8的值为0x0101D2DC,而0x0101D2DC存的正好是我们的0x33333333,如图5-25。” 眼尖的小倩说道。
“是啊!”其他人也欢呼道,“原来是堆栈中存着地址啊,而且是栈顶+8的地方。那XP下可以用这个地方来定位了!”
“是的!这就是XP下利用异常处理点的方法。”老师说道,“我们把CALL EBX指令的地址改成pop pop ret指令的地址;当执行pop pop ret后,就会到异常处理点程序入口点前方的位置,我们把那儿覆盖成JMP 04,就可跳到后面的ShellCode了。如图5-26。”
“好了,无用字符应该填充多少个呢?”老师问道。
“刚才我们定位时,输入的参数是11112222到0000的不断循环,Ollydby里显示的出错位置是第二个3333和4444,所以我们可以算出12×4=48,加号要占一个字符,所以应该是MDTM命令加号后再填充47个字符到达异常处理点。”宇强分析道。
“漂亮!Perfect!”老师表扬道,我们利用的示意图就应该如图5-27。”
“pop pop ret指令在Windows下通用的地址是0x7FFA1571;JMP 04的指令是EB 04。”老师最后说道,“ShellCode我们就随便使用一个现成的,或我们自己写的就行,所以,具体构造应该如图5-28。”
“好啊!我们快试试吧!”同学们急切的说,“先填充字符,再JMP 04,然后是0x7FFA1571,最后是我们的ShellCode,就开一个远程端口吧!运行!”
过了一会玉波说道:“哎哟,Serv_U是挂掉了,但端口没有开起来。”
“啊?这是怎么回事呢?”大家不解的问,“就是按照要求构造的啊?”
“呵呵!那是因为我们的ShellCode太长,被截断了!”