Добрый вечер!
Помогите разобраться с переполнением буфера. Я много статей находил на разных форумах, но остались некоторые вопросы.
Есть следующий кусок кода:

#include <stdio.h>
#include <windows.h>

int main(int argc, char* argv[])
{

char buf[30]; // Переполняемый буфер
strcpy(buf,argv[1]);
printf("argv = %s\n\n", buf);

return 0;

}

Написал следующий exploit:

#include <stdio.h>
#include <windows.h>

int main()
{
// 0x6FFAB16F //----->WinExec(); 0x77E6E695 0x775FE695
// 0x6FF636AA //----->exit(); 0x6E37B9D0 0x77BC64F4
// 0x770F03B0 //----->cmd.exe 0x7762F814


char exec[1000]="vuln1.exe AAAAAAAAAAAAAAAAAAAAAAAAAAAAFFFF\x95\xE6\x5F\x77\x F4\x64\xBC\x77\x14\xF8\x62\x77";

system(exec);

return 0;
}

Идея была проста затереть адрес возврата адресом WinExec. Дизассемблировав Kernel32 нашел базовый адрес этой ф-ии (1 в комменте), а вот олька показала что при загрузки dll в память адреса слегка отличаются, ну да черт с ними. Эксплоит заработал, но до ближайшей перезагрузки, потом адреса опять сменились.


Вопрос какие техники передачи управления на свой код существуют и актуальны (желательно на примере)?

ВСЕМ ЗАРЕНЕЕ ОГРОМНОЕ СПАСИБО

почти все сплоиты делают адрес возрата на статический адрес (которые всегда есть в коде и он одинаковый) на инструкцию jmp ebp
вернее такой инструкции не найдешь в коде, а нужно искать по опкоду их.
дело в том, что ebp какраз и будет часто указывать на код который в буфере

Эксплоит заработал, но до ближайшей перезагрузки, потом адреса опять сменились.
у тебя vista или 7-ка значит - в них введен спецовый механизм для этих дел.

а ebp это стэк - в нем стараются размещать базонезависимый код, который сам все, что надо и где надо найдет, если надо

а ebp это стэк - в нем стараются размещать базонезависимый код, который сам все, что надо и где надо найдет, если надо

Вот этого высказывания, я как ни пытался, понять не смог

to slesh Я примерно так и думал...но как найти адрес инструкции jmp, если код постоянно загружается в адресное пространство по разным адресам....Да и черт с ним нашел я jmp попал на свой код в буфере, DEP не даст его выполнить...

сходи на форум wasm.ru или на rootkit.com - они там этими темами занимаются.
высказывание мое туманно, да :) смысл его в том, что зная определенные фичи можно используя базонезависимый [т.е. неважно по какому адресу он окажется загружен - он будет рабочим] код раскурить стек и найти адрес kernel32.dll в памяти, дальше по структуре PE файла найти любую экспортируемую им функцию (хватает LoadLibrary и GetProcAddress). еще можно искать функции по сигнатурам. кароче тема эта очень обширна, иди на wasm

to DraconHaSh wasm.ru - отличный сайт я там периодически бываю.....rootkit.com хм...я буржуйский конечно знаю, но не до такой степени(тут по русски то объяснить не могут:)
А чем этот сайт тебе плох....и раздел вроде подходящий или здесь только спамеры ВК писать умеют из готовых net классов???

Зная определенные фичи можно править миром)))
Сам посуди ты можешь изменить один адрес - один адрес возврата, а ты там накрутил на целый эвристический анализатор, поиск по базе адресов и тд)))

КОНСТРУКТИВНЕЙ ПОЖАЛУЙСТА ВОДЫ Я УЖЕ МНОГО В ИНЕТЕ ПРОЧИТАЛ

ну ты тормоз : )))) удачи тебе в искусстве поисков неводы и, главное, отличения ее от воды ;)

DEP он и в африке DEP - есть он включен то пздц )
Тут тока если юзать JIT Spray шелкоды (но это в основном тока в браузерах и тому подобном софте)

Найти jmp ebp - легко. DLL гурзятся всегда в разное место памяти, а вот EXE файл всегда по фиксированному адресу указанному в PE заголовке. По этому эта инструкция должна искаться внутри образа проги.

Спасибо slesh:), будем искать...