[翻译]利用WPN与ROP绕过DEP保护机制-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[翻译]利用WPN与ROP绕过DEP保护机制

发表于: 2010-8-27 15:10 27689

[翻译]利用WPN与ROP绕过DEP保护机制

riusksk

2010-8-27 15:10

27689

作者：Sud0
译者：riusksk (泉哥：13aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4u0A6N6i4y4C8M7$3E0Q4x3X3g2T1L8r3!0Y4j5Y4g2K6i4K6u0W2j5$3!0E0i4K6t1&6

前言
对于本教程，假设读者具备以下条件：
1. 在电脑拥有各项所需工具的实验环境；
2. 具备编写栈溢出利用程序的基础；
3. 掌握SEH概念及利用SEH编写exploit的基础知识。

基础概念
DEP（Data Execution Prevention）：防止一些内存位置执行代码的一种保护机制，特别是堆栈，因此在windows中利用栈返回技术攻击溢出的方法已不再适用了。
ROP（Return Oriented Programming）:连续调用程序代码本身的内存地址，以逐步地创建一连串欲执行的指令序列。
WPM（Write Process Memory）：利用微软在kernel32.dll中定义的函数比如：WriteProcess Memory函数可将数据写入到指定进程的内存中。但整个内存区域必须是可访问的，否则将操作失败。函数原型：
WriteProcessMemory: procedure
(
hProcess: dword;
// Handle to the process whose memory is to be modified
var lpBaseAddress: var;
// Pointer to the base address in the specified process to which data will be written
var lpBuffer: var;
// Pointer to the buffer that contains data to be written into the address space of the specified process
nSize: dword;
// Specifies the requested number of bytes to write into the specified process
var lpNumberOfBytesWritten: dword
// Pointer to a variable that receives the number of bytes transferred.
);

目标
我们的目标是利用ROP技术来调用WPM，以便将shellcode写入地址0x7C8022CF，这样当从ntdll.ZwWriteVirtualMemory函数中返回时可正确地执行shellcode。
……
具体内容参见附件:
利用WPN与ROP绕过DEP保护机制.doc

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#系统底层

上传的附件：

利用WPN与ROP绕过DEP保护机制.doc （317.50kb，1272次下载）

收藏・17

免费・7

支持

最新回复 (24)
riusksk 雪币： 433 活跃值： (1895) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 278 关注私信	riusksk 41 2 楼冒似发错版块了，麻烦版主移到翻译版块，谢谢！ 2010-8-27 15:13 0
skypismire 雪币： 75 活跃值： (883) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 706 粉丝 3 关注私信	skypismire 1 3 楼我顶 2010-8-27 15:27 0
hyq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	hyq 4 楼不错，学习了 2010-8-27 18:29 0
sgogriu 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	sgogriu 5 楼好文章，我顶！！！ 2010-8-30 12:09 0
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 21 回帖 240 粉丝 11 关注私信	dragonltx 6 6 楼顶！泉哥能不能推荐几个英文技术文章？我也想翻译些文章学习下！ 2010-8-30 18:56 0
riusksk 雪币： 433 活跃值： (1895) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 278 关注私信	riusksk 41 7 楼 BlackHat USA 2010: 404K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9j5h3y4C8K9r3q4@1i4K6u0W2j5$3!0E0i4K6u0r3K9s2c8E0L8q4)9J5c8X3u0Z5i4K6u0V1N6i4y4Q4x3X3b7I4x3q4)9J5c8X3u0Z5i4K6u0V1N6i4y4Q4x3X3b7I4x3q4)9J5k6r3q4J5j5$3S2A6N6X3g2K6i4K6u0W2K9s2c8E0L8l9`.`. 2010-8-30 20:00 0
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 21 回帖 240 粉丝 11 关注私信	dragonltx 6 8 楼谢谢泉哥！ 2010-8-31 16:08 0
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 21 回帖 240 粉丝 11 关注私信	dragonltx 6 9 楼发现上面的文章都很高深！刚开始翻译，翻译起来有点困难！泉哥还有没有其他的网站推荐下？ 2010-9-3 22:07 0
zphdebug 雪币： 95 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 62 粉丝 1 关注私信	zphdebug 1 10 楼顶一个，谢谢lz 2010-9-4 08:50 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 11 楼学习了。继续拜读！ 2010-9-28 05:26 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 12 楼该死泉哥整天翻译这些，搞点实际的 2010-9-29 09:01 0
riusksk 雪币： 433 活跃值： (1895) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 278 关注私信	riusksk 41 13 楼实际的自己搞就行了！！！不过老外出的exploit基本都不能在我们的系统上运行，都得自己重新写exploit，但方法基本都那样了，自己编写自已系统上的可用exploit 就行了，这个月我也基本都在写exploit。哥还没见你搞点东西让俺们这些小菜学习呢，总是扔张图，搞得那么神秘！！！！！！！！ 2010-9-29 11:22 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 14 楼 ROP搞起来要死比较多脑细胞 2010-9-30 00:25 0
riusksk 雪币： 433 活跃值： (1895) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 278 关注私信	riusksk 41 15 楼那些地址不好找啊，还好出了个"!pvefindaddr rop nonull"可以辅助查找，不然死得更多！寻找并构造那些指令，真的可以把大脑搞到死循环了 2010-9-30 09:22 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 70 关注私信	仙果 19 16 楼构造参数更难啊，看起来就像是在看天书郁闷的很 2010-10-10 18:16 0
imbadyc 雪币： 181 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 86 粉丝 0 关注私信	imbadyc 17 楼好文章，学习了 2010-10-11 17:00 0
可见光雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 76 粉丝 0 关注私信	可见光 18 楼 r大，为啥"!pvefindaddr rop 在我这里一运行就假死状态~ 系统配置低？你们有没有碰到类似情况 2010-10-12 00:10 0
riusksk 雪币： 433 活跃值： (1895) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 278 关注私信	riusksk 41 19 楼不是假死，它要搜索整个内存数据，需要较长时间，你放着就行，搜索完成后直接查看日志（按菜单上的"L"图标）就可以，日志中会给出提示，它会把结果保存在rop.txt文件中 2010-10-12 12:26 0
lixupeng 雪币： 559 活跃值： (349) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 20 楼收下了 2010-10-13 10:06 0
xlyvip 雪币： 240 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	xlyvip 21 楼关于ShellCode的布局：第一次： my $buffer = “A” x 4436 . “\x2F\x37\x01\x10” . “A” x 10000; 第二次： my $buffer = “A” x 280 . “\x01\x00\x00\x00” . “B” x (4436 – 280) . “\x2F\x37\x01\x10” . “A” x 10000; 第二次是不是应该是 my $buffer = “A” x 280 . “\x01\x00\x00\x00” . “B” x (4436 – 280 - 4) . “\x2F\x37\x01\x10” . “A” x 10000; 2010-10-13 23:23 0
cgfxiaohai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	cgfxiaohai 22 楼好文章，好思路，谢了！ 2010-10-22 10:40 0
stefzhl 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	stefzhl 23 楼好文章，收藏了。 2011-1-7 10:09 0
fenggui 雪币： 175 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 123 粉丝 0 关注私信	fenggui 24 楼谢谢，下载了，准备看看 2011-2-26 23:52 0
Macinsh 雪币： 125 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 36 粉丝 0 关注私信	Macinsh 25 楼学习下,顺便看看有多少钱 2011-3-1 22:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

riusksk

169

发帖

2648

回帖

1820

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
riusksk 雪币： 433 活跃值： (1895) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 278 关注私信	riusksk 41 2 楼冒似发错版块了，麻烦版主移到翻译版块，谢谢！ 2010-8-27 15:13 0
skypismire 雪币： 75 活跃值： (883) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 706 粉丝 3 关注私信	skypismire 1 3 楼我顶 2010-8-27 15:27 0
hyq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	hyq 4 楼不错，学习了 2010-8-27 18:29 0
sgogriu 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	sgogriu 5 楼好文章，我顶！！！ 2010-8-30 12:09 0
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 21 回帖 240 粉丝 11 关注私信	dragonltx 6 6 楼顶！泉哥能不能推荐几个英文技术文章？我也想翻译些文章学习下！ 2010-8-30 18:56 0
riusksk 雪币： 433 活跃值： (1895) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 278 关注私信	riusksk 41 7 楼 BlackHat USA 2010: 404K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9j5h3y4C8K9r3q4@1i4K6u0W2j5$3!0E0i4K6u0r3K9s2c8E0L8q4)9J5c8X3u0Z5i4K6u0V1N6i4y4Q4x3X3b7I4x3q4)9J5c8X3u0Z5i4K6u0V1N6i4y4Q4x3X3b7I4x3q4)9J5k6r3q4J5j5$3S2A6N6X3g2K6i4K6u0W2K9s2c8E0L8l9`.`. 2010-8-30 20:00 0
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 21 回帖 240 粉丝 11 关注私信	dragonltx 6 8 楼谢谢泉哥！ 2010-8-31 16:08 0
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 21 回帖 240 粉丝 11 关注私信	dragonltx 6 9 楼发现上面的文章都很高深！刚开始翻译，翻译起来有点困难！泉哥还有没有其他的网站推荐下？ 2010-9-3 22:07 0
zphdebug 雪币： 95 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 62 粉丝 1 关注私信	zphdebug 1 10 楼顶一个，谢谢lz 2010-9-4 08:50 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 11 楼学习了。继续拜读！ 2010-9-28 05:26 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 12 楼该死泉哥整天翻译这些，搞点实际的 2010-9-29 09:01 0
riusksk 雪币： 433 活跃值： (1895) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 278 关注私信	riusksk 41 13 楼实际的自己搞就行了！！！不过老外出的exploit基本都不能在我们的系统上运行，都得自己重新写exploit，但方法基本都那样了，自己编写自已系统上的可用exploit 就行了，这个月我也基本都在写exploit。哥还没见你搞点东西让俺们这些小菜学习呢，总是扔张图，搞得那么神秘！！！！！！！！ 2010-9-29 11:22 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 14 楼 ROP搞起来要死比较多脑细胞 2010-9-30 00:25 0
riusksk 雪币： 433 活跃值： (1895) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 278 关注私信	riusksk 41 15 楼那些地址不好找啊，还好出了个"!pvefindaddr rop nonull"可以辅助查找，不然死得更多！寻找并构造那些指令，真的可以把大脑搞到死循环了 2010-9-30 09:22 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 70 关注私信	仙果 19 16 楼构造参数更难啊，看起来就像是在看天书郁闷的很 2010-10-10 18:16 0
imbadyc 雪币： 181 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 86 粉丝 0 关注私信	imbadyc 17 楼好文章，学习了 2010-10-11 17:00 0
可见光雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 76 粉丝 0 关注私信	可见光 18 楼 r大，为啥"!pvefindaddr rop 在我这里一运行就假死状态~ 系统配置低？你们有没有碰到类似情况 2010-10-12 00:10 0
riusksk 雪币： 433 活跃值： (1895) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 278 关注私信	riusksk 41 19 楼不是假死，它要搜索整个内存数据，需要较长时间，你放着就行，搜索完成后直接查看日志（按菜单上的"L"图标）就可以，日志中会给出提示，它会把结果保存在rop.txt文件中 2010-10-12 12:26 0
lixupeng 雪币： 559 活跃值： (349) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 20 楼收下了 2010-10-13 10:06 0
xlyvip 雪币： 240 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	xlyvip 21 楼关于ShellCode的布局：第一次： my $buffer = “A” x 4436 . “\x2F\x37\x01\x10” . “A” x 10000; 第二次： my $buffer = “A” x 280 . “\x01\x00\x00\x00” . “B” x (4436 – 280) . “\x2F\x37\x01\x10” . “A” x 10000; 第二次是不是应该是 my $buffer = “A” x 280 . “\x01\x00\x00\x00” . “B” x (4436 – 280 - 4) . “\x2F\x37\x01\x10” . “A” x 10000; 2010-10-13 23:23 0
cgfxiaohai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	cgfxiaohai 22 楼好文章，好思路，谢了！ 2010-10-22 10:40 0
stefzhl 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	stefzhl 23 楼好文章，收藏了。 2011-1-7 10:09 0
fenggui 雪币： 175 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 123 粉丝 0 关注私信	fenggui 24 楼谢谢，下载了，准备看看 2011-2-26 23:52 0
Macinsh 雪币： 125 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 36 粉丝 0 关注私信	Macinsh 25 楼学习下,顺便看看有多少钱 2011-3-1 22:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复