0x00 背景介绍

0x01 查看代码

实验环境32位win7 ，1个python脚本文件、 1个exe、 1个dll文件。

python关键代码在9至13行，15至19是说使用socket将数据发送到4455端口，如下：

exe运行后发现本地监听4455端口

0x02 导入debugger

poc打过去 代码第十行发送过去3000个x41即3000个A 程序崩溃

ESP处跟过去发现内存中存在我们打过去的A字符

使用metasploit生成3000个随机字符串

0x03 再次崩溃

将字符串写入代码的junk变量中 重启程序 再打 再次崩溃

0x04 计算偏移量

根据EIP计算偏移量为809

修改junk 809个A和4个B进入下一个地址 最后加上剩余的C

跟踪ESP进入内存发现都是我们之前打进的C

0x05 Badchar

得到python的badchar x00 默认就是坏字符了 先挑出来

加入badchar变量 重新打

进入ESP内存 发现x04为badchar 挑出来 重新载入程序 再打

第二个badchar 2E

最后共计6个badchar x00x04x2ex3fx94xc0

0x06 生成shellcode

去掉badchar 生成shellcode

加入脚本

0x07 JMP ESP

找到JMP ESP

虚拟内存反写 加20个x90空行保护shellcode头

0x08 End

溢出 getshell

后台回复关键字 bof 获取实验脚本。

原文始发于微信公众号（毕方安全实验室）：从windows缓冲区溢出到执行shellcode