1.5.1 ShellCode的定位

老师说：“现在我们有了前两步，返回点定位和ShellCode的编写，现在只需完成第三步——把返回点覆盖成ShellCode的地址，就可成功利用缓冲区溢出了！”

“哈哈，太好了！”玉波的口水都要流出来啦……

“现在的问题就是：ShellCode所在地址是多少呢？即我们把返回地址覆盖成多少？”

“呜……好像不好办啊……”

“嗯，在以前很多朋友提出了不少方法来定位ShellCode，但都不精确。随着技术的发展，1999年dark spyrit AKA Barnaby Jack提出了一个天才的想法：用系统核心dll里的指令来完成跳转！这一技巧开创了一个崭新的Windows缓冲区溢出思路！”

小知识：

过去（尤其是在Unix下），提出过的覆盖方法主要有两种：

1.NNNNNNNNNSSSSSSSSSSSRRRRRRRRRRRRRR型。适合于大缓冲区，“N”代表空指令，也就是0x90，在实际运行中，程序将什么也不做，而是一直延着这些NOPS运行下去，直到遇到不是NOPS的指令再执行之；“S”代表ShellCode；“R”代表覆盖的返回地址，思路是把返回地址R覆盖为nops的大概位置，这样就会跳到Nop中，然后继续执行，直到我们的ShellCode中。但这种方法由于定位不准确，所以使用起来也不准确。

2.RRRRRRRRRRNNNNNNNNNNNSSSSSSSSSS型。是用大量的“R”填满整个缓冲区，然后大量的Nop，最后是ShellCode。这里，“R”往后跳到Nop中，再顺着往下执行就会到ShellCode中。但在Windows下，“R”中必定会含有0，这样，整个构造就会被截断，只能用于Unix中。

Windows的系统核心dll包括kernel32.dll、user32.dll、gdi32.dll。这些dll一直位于内存中，而且对应于固定的版本，Windows加载的位置是固定的。

老师继续说：“我们来看看在Windows下如何利用系统核心dll里的指令来完成跳转吧。我们用系统核心dll中的jmp esp地址来覆盖返回地址，而把ShellCode紧跟在后面，这样就可跳转到我们的ShellCode中。其利用格式是 NNNNNNRSSSSSS，N＝Nop， S＝ShellCode， R＝jmp esp的地址 ”

同学们急了：“等一下，为什么用JMP ESP的地址覆盖就可以跳到后面的ShellCode中呢？”

“这里是关键的地方，理解了这个就理解了整个缓冲区溢出攻击！下面是详细的讲解，大家注意跟上。你们看，覆盖后的缓冲区如图1－8所示：‘N’表示NOP，存原EIP的地方覆盖成了JMP ESP的地址，接下去的‘S0’、‘S1’等表示ShellCode开始的0字节、1字节等。”

“嗯，这个没有问题。”

老师说：“函数执行完毕，要返回时堆栈指针ESP会指向保存原EIP的地方，而指令指针EIP指向Ret指令。如图1-9。”

“Ret？Ret是什么？”有人问道。

“Ret相当于 Pop EIP ，就是把栈顶指针ESP指向的值弹出来给EIP。所以在正常情况下，Ret执行后，就可把原来的EIP恢复，从而回到中断前的流程。”

“哦！”

“但是，保存的EIP已经被我们覆盖成JMP ESP指令的地址了。这样执行 Pop EIP 后，EIP会被改为JMP ESP的地址，即指向JMP ESP。而堆栈指针ESP往下移一位，指向ShellCode的第一个字节（即图1-9中的‘S0’）了。如图1-10。”

“计算机不知道我们做了手脚，继续往下执行EIP指向的指令——JMP ESP，而ESP指向的是‘S0’，这样就JMP到了‘S0’中，开始执行我们的ShellCode了！如下图1-11。”

小知识：

EIP指令指针指向下一条要执行的命令，一般会自动加1。ESP堆栈顶指针指向堆栈的顶部。在PUSH时，ESP往上走，减1；在POP时，ESP往下走，加1。

“哦！有点感觉了，但还不是非常清楚。”

“我再用具体的数字重复一下这个过程吧！”老师耐心的讲解道，“‘FF E4’是JMP ESP的机器码，而在Windows 2000 SP2下，地址0x77e0492b里正好就是‘FF E4’。所以我们用0x77e0492b（即JMP ESP指令的地址）来覆盖保存的EIP，如图1-12。”

“当程序返回时，执行 Ret＝POP EIP ，EIP就变成0x77e0492b了，而ESP往下走，指向ShellCode的第一个字节中，如图1-13。”

“系统不知道我们做了手脚，继续执行。执行EIP指向的指令，就是‘FF E4’，即JMP ESP。而此时的ESP指向后面ShellCode的第一个字节，执行‘FF E4’（即JMP ESP）就正好进入到我们的ShellCode中啦！”老师万般耐心的说道，生怕大家有一点不懂。

“下来大家再仔细想想，多看看上面的图和讲解。我们先实际感受一下。”