[原创]如果fs:[0x30]被encode掉了，除开return library还有非常稳定的方法哦-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
antime 雪币： 315 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 303 粉丝 0 关注私信	antime 2 楼我一觉醒来，却发现脑袋中多了一个利用的方法，难道是恶魔和我开的玩笑？ 2010-10-21 08:03 0
blueapplez 雪币： 458 活跃值： (426) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 7 关注私信	blueapplez 14 3 楼分享一个暴力查找kernel32基址的方法，貌似是跟luocong学的记不清楚了百度一下暴力搜索kernel基址就ok DWORD GetKernel32BaseAddress(void) { //因为Kernel32.dll的基址都是大于0x70000000的 DWORD dwTryAddr = 0x70000000; PIMAGE_DOS_HEADER pImageDosHeader = NULL; PIMAGE_NT_HEADERS pImageNtHeader = NULL; PIMAGE_EXPORT_DIRECTORY pImageExportDirectory = NULL; while (1) { __try { pImageDosHeader=(PIMAGE_DOS_HEADER)dwTryAddr; pImageNtHeader=(PIMAGE_NT_HEADERS)(dwTryAddr+pImageDosHeader->e_lfanew); if(pImageDosHeader->e_magic == IMAGE_DOS_SIGNATURE && pImageNtHeader->Signature == IMAGE_NT_SIGNATURE) { pImageExportDirectory=(PIMAGE_EXPORT_DIRECTORY)(dwTryAddr+pImageNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress); char pStr =(char )(dwTryAddr+pImageExportDirectory->Name); //user.dll or user.dll if(stricmp(pStr, "kernel32.dll")==0) { break; }; } } __except(1) { NULL; } //因为dll的基址都是64k边界的 dwTryAddr += 0x10000; } return dwTryAddr; } 2010-10-21 10:09 0
antime 雪币： 315 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 303 粉丝 0 关注私信	antime 4 楼凡是暴力搜索必然可能引起SEH异常，这样肯定逃不出我的溢出检测 2010-10-21 10:35 0
throb 雪币： 314 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 73 粉丝 0 关注私信	throb 5 楼 ~~~~~~ 2010-10-23 21:10 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 6 楼考虑一个问题使用int 0x2E或者sysentry方式使用ZwOpenSection+ZwMapViewOfSection的打开knowndlls来获得基址和使用API的方式，又该如何是好捏？ 2010-11-20 13:59 0
antime 雪币： 315 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 303 粉丝 0 关注私信	antime 7 楼这个我只能告诉你,你的int 2E 和 sysenter 指令一定不能出现在自己的 Shellcode 中,请使用系统的指令地址! 2010-11-20 19:45 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 8 楼防测漏了啊？这又是另外一种情况了，全面考虑+考虑全面，那就不存在任何绕过了，除非对方有cpu 电磁干扰器，否则不存在其他方法了。 2010-11-20 23:12 0
antime 雪币： 315 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 303 粉丝 0 关注私信	antime 9 楼有！我这有，网上从未见过的，而且极其稳定。 2010-11-22 09:15 0
方我爱你雪币： 244 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 20 粉丝 0 关注私信	方我爱你 10 楼无敌好寂寞``` 2010-12-15 13:07 0
charme 雪币： 112 活跃值： (48) 能力值： ( LV9，RANK：320 ) 在线值：发帖 17 回帖 143 粉丝 2 关注私信	charme 7 11 楼搜索 ebp 一般的函数的开头都是 push ebp mov ebp,esp 这个ebp就是上个函数的ebp值剩下的呼呼。。。。。。。。。。。。。。。。。。。 2010-12-16 20:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
antime 雪币： 315 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 303 粉丝 0 关注私信	antime 2 楼我一觉醒来，却发现脑袋中多了一个利用的方法，难道是恶魔和我开的玩笑？ 2010-10-21 08:03 0
blueapplez 雪币： 458 活跃值： (426) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 7 关注私信	blueapplez 14 3 楼分享一个暴力查找kernel32基址的方法，貌似是跟luocong学的记不清楚了百度一下暴力搜索kernel基址就ok DWORD GetKernel32BaseAddress(void) { //因为Kernel32.dll的基址都是大于0x70000000的 DWORD dwTryAddr = 0x70000000; PIMAGE_DOS_HEADER pImageDosHeader = NULL; PIMAGE_NT_HEADERS pImageNtHeader = NULL; PIMAGE_EXPORT_DIRECTORY pImageExportDirectory = NULL; while (1) { __try { pImageDosHeader=(PIMAGE_DOS_HEADER)dwTryAddr; pImageNtHeader=(PIMAGE_NT_HEADERS)(dwTryAddr+pImageDosHeader->e_lfanew); if(pImageDosHeader->e_magic == IMAGE_DOS_SIGNATURE && pImageNtHeader->Signature == IMAGE_NT_SIGNATURE) { pImageExportDirectory=(PIMAGE_EXPORT_DIRECTORY)(dwTryAddr+pImageNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress); char pStr =(char )(dwTryAddr+pImageExportDirectory->Name); //user.dll or user.dll if(stricmp(pStr, "kernel32.dll")==0) { break; }; } } __except(1) { NULL; } //因为dll的基址都是64k边界的 dwTryAddr += 0x10000; } return dwTryAddr; } 2010-10-21 10:09 0
antime 雪币： 315 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 303 粉丝 0 关注私信	antime 4 楼凡是暴力搜索必然可能引起SEH异常，这样肯定逃不出我的溢出检测 2010-10-21 10:35 0
throb 雪币： 314 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 73 粉丝 0 关注私信	throb 5 楼 ~~~~~~ 2010-10-23 21:10 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 6 楼考虑一个问题使用int 0x2E或者sysentry方式使用ZwOpenSection+ZwMapViewOfSection的打开knowndlls来获得基址和使用API的方式，又该如何是好捏？ 2010-11-20 13:59 0
antime 雪币： 315 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 303 粉丝 0 关注私信	antime 7 楼这个我只能告诉你,你的int 2E 和 sysenter 指令一定不能出现在自己的 Shellcode 中,请使用系统的指令地址! 2010-11-20 19:45 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 8 楼防测漏了啊？这又是另外一种情况了，全面考虑+考虑全面，那就不存在任何绕过了，除非对方有cpu 电磁干扰器，否则不存在其他方法了。 2010-11-20 23:12 0
antime 雪币： 315 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 303 粉丝 0 关注私信	antime 9 楼有！我这有，网上从未见过的，而且极其稳定。 2010-11-22 09:15 0
方我爱你雪币： 244 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 20 粉丝 0 关注私信	方我爱你 10 楼无敌好寂寞``` 2010-12-15 13:07 0
charme 雪币： 112 活跃值： (48) 能力值： ( LV9，RANK：320 ) 在线值：发帖 17 回帖 143 粉丝 2 关注私信	charme 7 11 楼搜索 ebp 一般的函数的开头都是 push ebp mov ebp,esp 这个ebp就是上个函数的ebp值剩下的呼呼。。。。。。。。。。。。。。。。。。。 2010-12-16 20:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复