問題:為什么在 shellcode 成功完成目標后,程式會拋出一個違反執行位置的例外?
描述:我的目標是使用呼叫 Windows API 函式的 x86 shellcode 將一個 DLL 加載和卸載到當前程式中。雖然程式成功地完成了這個目標,但Visual Studio隨后告訴我在執行一個位置時出現了違規。我知道程式執行成功,因為測驗的DLL檔案在連接和分離時都會列印出來。另一個需要注意的重要細節是,這只在呼叫卸載功能時發生,加載功能的作業完全沒有問題。(如果這一點很重要的話,我是在 Windows 10 的 Visual Studio 2019 中使用 C 20 進行操作的)
我意識到了這一點。
我知道shellcode沒有正確地設定堆疊框架,但我確保ESP在回傳執行到被呼叫函式之前被設定為正常。我保存了EAX并在卸載函式中也將其設定為正常。我做這個測驗程式的最終目的是產生shellcode,我可以在我正在做的dll注入程式中用于遠程執行緒背景關系修補方法。此外,我還多次驗證了用于尋找回傳地址的偏移量。希望能得到任何幫助,謝謝!
這是一個控制臺,它是在我的作業中使用的。
這里是控制臺的輸出。
附上! DLLMain 在 0x79EF134D
。 脫離了!
這是拋出的例外。
這是拋出的例外。
在Shellcode DLL的0x9269D814處拋出的例外
位置0x9269D814。
這里是主檔案,它只有120行左右。
const dword follow_relative_jump(const pbyte pointer)
{
if (pointer)
{
if (pointer[0] == 0xE9 || pointer[0] ==0xEB)
{
return reinterpret_cast< dword> (pointer 5 reinterpret_cast<psdword>(pointer 1) [0])。
}
}
return reinterpret_cast<dword>(pointer)。
}
void load_dll(const dword path_address)
{
/*
68 90 90 90 90 -> push 0x???????? (回傳地址緩沖區)
68 90 90 90 -> push 0x???????? (LoadLibraryA() address buffer)
68 90 90 90 90 -> 推送0x???????? (DLL路徑地址緩沖區)
FF 54 24 04 -> 呼叫 [esp 4] (呼叫 LoadLibraryA())
83 C4 08 -> 添加 esp, 8 (清理堆疊,除了回傳地址)
C3 -> ret (回傳到先推送的回傳地址,它應該從堆疊中彈出,并將ESP恢復正常)
*/
std::vector<byte> shellcode = {
0x68, 0x90, 0x90, 0x90,
0x68, 0x90, 0x90, 0x90,
0x68, 0x90, 0x90, 0x90,
0xFF, 0x54, 0x24, 0x04,
0x83, 0xC4, 0x08,
0xC3.
};
// Offset是呼叫load_dll()后從函式序幕到下一條指令的距離。
reinterpret_cast<pdword> (shellcode. data() 1) [0] = follow_relative_jump(reinterpret_cast< pbyte>(&load_dll)) 0x22C;
reinterpret_cast<pdword> (shellcode. data() 6)[0] = reinterpret_cast<dword> (& LoadLibraryA);
reinterpret_cast<pdword>(shellcode.data() 11) [0] = path_address。
if (const auto allocation = VirtualAlloc(NULL, shellcode. size(), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE) )
{
memcpy( allocation, shellcode.data(), shellcode.size())。
reinterpret_cast<void(__cdecl*)()>( allocation)()。
VirtualFree( allocation, shellcode.size(), MEM_FREE)。
}
}
void unload_dll(const dword path_address)
{
/*
68 90 90 90 90 -> push 0x???????? (回傳地址緩沖區)
50 -> push eax (保存EAX,以便我們以后可以把它設定回來)
68 90 90 90 -> push 0x???????? (GetModuleHandleA() address buffer)
68 90 90 90 90 -> push 0x???????? (DLL路徑地址緩沖區)
FF 54 24 04 -> 呼叫 [esp 4] (呼叫 GetModuleHandleA())
83 C4 08 -> 添加esp, 8 (清理堆疊,除了回傳地址和保存的EAX)
68 90 90 90 90 -> push 0x???????? (FreeLibrary()地址緩沖區)
50 -> push eax (由GetModuleHandleA()回傳的模塊的手柄在EAX中)
FF 54 24 04 -> 呼叫 [esp 4] (呼叫FreeLibrary())
83 C4 08 -> add esp, 8 (清理堆疊,除了回傳地址和保存的EAX)
58 -> pop eax (把EAX設回原來的位置)
C3 -> ret (回傳到先推的回傳地址,它應該從堆疊中彈出,并將ESP回傳到正常狀態)
*/
std::vector<byte> shellcode = {
0x68, 0x90, 0x90, 0x90,
0x50,
0x68, 0x90, 0x90, 0x90,
0x68, 0x90, 0x90, 0x90,
0xFF, 0x54, 0x24, 0x04,
0x83, 0xC4, 0x08,
0x68, 0x90, 0x90, 0x90,
0x50,
0xFF, 0x54, 0x24, 0x04,
0x83, 0xC4, 0x08,
0x58。
0xC3。
};
// Offset是呼叫unload_dll()后從函式序幕到下一條指令的距離。
reinterpret_cast<pdword> (shellcode. data() 1) [0] = follow_relative_jump(reinterpret_cast< pbyte>(&unload_dll)) 0x2AF;
reinterpret_cast<pdword> (shellcode. data() 7)[0] = reinterpret_cast<dword> (&GetModuleHandleA)。
reinterpret_cast<pdword>(shellcode.data() 12) [0] = path_address。
reinterpret_cast<pdword> (shellcode. data() 24)[0] = reinterpret_cast<dword> (& FreeLibrary)。
if (const auto allocation = VirtualAlloc(NULL, shellcode. size(), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE) )
{
memcpy( allocation, shellcode.data(), shellcode.size())。
reinterpret_cast<void(__cdecl*)()>( allocation)()。
VirtualFree( allocation, shellcode.size(), MEM_FREE)。
}
}
int main()
{
const char* path = "C:UsersmaxbdDesktop est.dll" ;
load_dll(reinterpret_cast<dword> (path))。
unload_dll(reinterpret_cast<dword>(path)) 。
static_cast<void>(std::getchar()) 。
return 0。
uj5u.com熱心網友回復:
我沒有考慮我試圖呼叫的函式的呼叫慣例,以及它們被期望如何操作。Windows API函式使用__stdcall,在函式中從堆疊中彈出函式引數。所以我應該只彈出我推送的函式地址而不是函式引數。謝謝你在評論中提供的資訊,Jester.
另外,我不得不將0xC3回傳指令改為0xC2 0x04 0x00,以便將回傳地址從堆疊中彈出。我以為正常的0xC3回傳會為我做到這一點,但顯然它沒有做到。或者說,至少在這種情況下,由于某種原因,它沒有做到。如果我不手動關閉ESP,Visual Studio會拋出一個關于ESP不正確的例外。如果我這樣做了,它在加載和卸載DLL時都能完美作業。
我還完全忘記了,由于這是一個測驗程式,我是以__cdecl函式的形式呼叫shellcode,使用一個函式指標,而不是劫持遠程執行緒的執行并修改EIP,所以使用了call指令,所以我沒有理由手動推動回傳地址。我假設我自愿沒有正確設定堆疊框架是導致回傳行為例外的原因,因為回傳地址應該在EBP之上。因為使用了call,回傳地址被推送了兩次,所以需要在回傳后彈出一個dword的回傳指令來擺脫自動推送的回傳地址。當我把shellcode應用到我的實際程式中時,我將嘗試用相對跳轉而不是回傳,在這種情況下,它更有意義,而且更整齊。
如果我誤解了這個解決方案,我也不會感到驚訝,但它似乎是有效的,所以我將認為這個問題已經解決了。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qukuanlian/320403.html
標籤:
上一篇:M1上的其他x86-64仿真器是否有可能利用Rosetta2使用的相同優化?
下一篇:不能在反應中關閉模態