软件安全实验第三次实验报告.docxVIP

软件安全第三次实验报告班级：2010211316 学号 姓名：曹梦晨1、目标了解shellcode注入原理理解给出的弹出对话框的汇编代码通过淹没静态地址来实现shellcode的代码植入通过跳板来实现shellcode的代码植入尝试修改汇编语句的shellcode实现修改标题等简单操作作业要求：详述修改过程实验结果需要截图证明绘制修改原理的图示思考题通过跳板的方式，修改StackOverrun程序的流程，使其实现弹出对话框、启动notepad.exe并打开文本shellcode.txt（可使用CreateProcessA或WinExec等API）。2、测试步骤与结果2.1 使用静态地址跳转注入shellcodeStep1：首先建立一个新Win32 Console Application工程，命名为m_overflow。图2-1 建立m_overflow工程Step2：使用Depends.exe进行运行程序剖析接下来将m_overflow.exe使用该软件剖析，尝试寻找MessageBoxA和exitprocess的入口地址：图2-2 进行函数入口点分析首先在kernel32.dll中寻找exitprocess函数的入口点：图2-3 寻找exitprocess函数的入口点这里可以看出，kernel32.dll的入口地址为0而exitprocess的入口地址为0x005BBE2。然后将这两个地址相加得到exitprocess的入口地址为：0x7787BBE2。同理，在user32.dll中寻找MessageBoxA的入口地址：图2-4 寻找MessageBoxA函数的入口点这里可以看出，user32.dll的入口地址为0而exitprocess的入口地址为0x005EA11。然后将这两个地址相加得到exitprocess的入口地址为：0x773CEA11。Step3：接下来建立一个新Win32 Console Application工程，命名为m_shellcode。图2-5 建立m_shellcode工程把里面两个函数的入口地址改为刚才计算所得值，然后尝试运行程序，观看对话框是否正常弹出：图2-6 程序运行结果示意图Step4：使用olydbg获取shellcode将带有shellcode的m_shellcode.exe文件使用olydbg分析，获取弹对话框部分的shellcode：图2-7 使用olydbg定位到shellcode图2-8 将shellcode内容另存为文件图2-9 查看保存到的shellcodeStep5：寻找需要注入shellcode的起始地址用VC6调试之前生成的m_overflow.exe，并在目录下添加password.txt，定位到strcpy代码行，可以发现需要注入的地址：图2-10 获取shellcode注入地址这里可以看出，shellcode是要会复制到变量buffer中的，而buffer的地址为0x0012fab8，即我们shellcode要注入的地址。Step6：构建password.txt以注入shellcode这里突然想起来自己的shellcode中存在0x00[‘\0’]，为了shellcode不被截断，将0x00调整为0x02，对打印的字符串不影响。图2-11 构造带有shellcode的password.txtStep7：执行程序观察shellcode注入效果图2-12 观察shellcode注入效果这里可以看出，password中的内容已经成功拷贝到buffer中，接下来观察程序的跳转情况：图2-13 观察shellcode注入效果（2）这里可以看出，将函数的返回地址覆盖后，程序成功跳转到了shellcode上，最后程序成功弹出对话框：图2-14 观察shellcode注入效果（3）2.2 使用跳板注入shellcodeStep1：在上述实验的基础上，继续使用olydbg分析m_overflow.exe图2-15 搜索jmp/call esp语句地址使用olydbg打开要分析的m_overflow.exe，搜索jmp/call esp语句的地址，这里可以发现已经找到了不止一条信息。接下来通过日志功能查看具体的语句地址：图2-16 定位一条call esp语句地址这里选择了其中一条在kernel32.dll中的call esp语句，对应地址为77874EBF。Step2：依据跳板地址构造password.txt图2-17 使用UE进行password.txt编辑由于刚才重启了下电脑，又由于是在win7下做的实验，所以所有的地址都变了，这里先重新定位了一条jmp esp，地址为0x777D4EBF。然后重新定位e