如何找到特定指令的内存地址(用于编写漏洞利用程序)?
具体来说,我正在寻找 user32.dll
中的 call ebp
指令,在没有 Service Pack 的 Windows XP 上,我可以指向其地址 EIP
到。我有两个 Immunity Debugger和 OllyDBG安装在目标上。
最佳答案
要找到一条指令,您需要找出代码、.text、部分的开始和结束位置,然后加载 DLL 并进行线性搜索,直到找到该指令。
这里我们有一个测试 DLL,它有两条 call ebp
指令:
// test.c
// gcc -Wall -shared test.c -o test.dll
#include <stdio.h>
__declspec(dllexport) void test(void) {
asm("call *%ebp");
puts("test");
asm("call *%ebp");
}
编译它并在 ollydbg 中加载 DLL,然后单击 CTRL+F 并搜索 CALL EBP
:
6BEC125A |. FFD5 CALL EBP
6BEC125C |. C70424 6430EC6> MOV DWORD PTR SS:[ESP],test.6BEC3064 ; |ASCII "test"
6BEC1263 |. E8 74060000 CALL <JMP.&msvcrt.puts> ; \puts
6BEC1268 |. FFD5 CALL EBP
您看到第一条指令的地址在 0x6bec125a
,第二条在 0x6bec1268
。 调用ebp
的操作码是0xff 0xd5
,记住这一点。
现在我们需要找到代码的边界,你可以使用 objdump 和 -h
:
> objdump --headers test.dll
test.dll: file format pei-i386
Sections:
Idx Name Size VMA LMA File off Algn
0 .text 00000984 6bec1000 6bec1000 00000600 2**2
CONTENTS, ALLOC, LOAD, READONLY, CODE, DATA
1 .data 00000008 6bec2000 6bec2000 00001000 2**2
CONTENTS, ALLOC, LOAD, DATA
2 .rdata 0000011c 6bec3000 6bec3000 00001200 2**2
CONTENTS, ALLOC, LOAD, READONLY, DATA
....
>
代码从 VMA,虚拟内存地址,0x6bec1000
开始,它的大小是 0x984
,所以它结束于 0x6bec1000
+ 0x984
= 0x6bec1984
为:
0x6bec1000
....
what is between are the DLL instructions
....
0x6bec1984
我希望到目前为止已经很清楚了。
如果我们想编写我们的 call ebp
扫描器,我们需要执行以下流程:
- 读取PE信息,得到可执行段信息,通常是
.text
,找到它的相对地址和虚拟大小。 - 使用 LoadLibrary 加载 DLL , 它将返回 DLL 的基址。
- 代码段开头的虚拟地址为:DLL基地址+代码段virtualAddress,结束于DLL基地址+代码段virtualAddress+VirtualSize。
- 现在我们准备遍历代码并查找
0xff 0xd5
,调用 ebp
的操作码,简单的线性搜索。
这是一个简单的实现:
// findopcode.c
// gcc -Wall findopcode.c -o findopcode
#include <windows.h>
#include <stdio.h>
#include <string.h>
int main(int argc, char **argv) {
const char opcode[] = {0xff, 0xd5}; // The opcode of `call ebp'
FILE *dllFile;
HMODULE dllHandle;
IMAGE_DOS_HEADER dosHeader;
IMAGE_NT_HEADERS NtHeaders;
IMAGE_SECTION_HEADER sectionHeader;
unsigned int i;
unsigned char *starAddr;
unsigned char *endAddr;
if( argc < 2 ) {
printf("usage: %s [DLL]\n", argv[0]);
return -1;
}
if( ( dllFile = fopen(argv[1], "rb") ) == NULL ) {
perror("[!] Error");
return -1;
}
// Read the basic PE headers
fread(&dosHeader, sizeof(dosHeader), 1, dllFile);
fseek(dllFile, dosHeader.e_lfanew, SEEK_SET);
fread(&NtHeaders, sizeof(NtHeaders), 1, dllFile);
// Search for the executable section, .text section.
for( i = 0 ; i < NtHeaders.FileHeader.NumberOfSections ; i++ ) {
fread(§ionHeader, sizeof(sectionHeader), 1, dllFile);
// If we found a section that contains executable code,
// we found our code setion.
if( (sectionHeader.Characteristics & IMAGE_SCN_CNT_CODE) != 0 ) {
printf("[*] Code section: `%s'\n", sectionHeader.Name);
break;
}
}
fclose(dllFile);
// Load the DLL to get it's base address
if( (dllHandle = LoadLibraryA(argv[1])) == NULL ) {
printf("[!] Error: loading the DLL, 0x%.8x\n", (unsigned int) GetLastError());
return -1;
}
// The code start at : base address + code virtual address
starAddr = (unsigned char *) dllHandle + sectionHeader.VirtualAddress;
// It ends at : base address + code virtual address + virtual size
endAddr = (unsigned char *) starAddr + sectionHeader.Misc.VirtualSize;
printf("[*] Base address : 0x%.8x\n", (unsigned int) dllHandle);
printf("[*] Start address: 0x%.8x\n", (unsigned int) starAddr);
printf("[*] End address : 0x%.8x\n", (unsigned int) endAddr);
// Simple liner search, when ever we find `0xff 0xd5' we print that address
for( endAddr -= sizeof(opcode) ; starAddr < endAddr ; starAddr++ ) {
if( memcmp(&opcode, (void *) starAddr, sizeof(opcode)) == 0 ) {
printf("[*] Found `call ebp` at: 0x%.8x\n", (unsigned int) starAddr);
}
}
FreeLibrary(dllHandle);
return 0;
}
编译它并用那个 DLL 测试它:
> gcc -Wall findopcode.c -o findopcode
> findopcode.exe test.dll
[*] Code section: `.text'
[*] Base address : 0x6bec0000
[*] Start address: 0x6bec1000
[*] End address : 0x6bec1984
[*] Found `call ebp` at: 0x6bec125a
[*] Found `call ebp` at: 0x6bec1268
>
它工作得很好,让我们试试 user32.dll
:
> findopcode.exe \Windows\System32\user32.dll
[*] Code section: `.text'
[*] Base address : 0x75680000
[*] Start address: 0x75681000
[*] End address : 0x756e86ef
[*] Found `call ebp` at: 0x756b49b5
>
我只在 0x756b49b5
找到了一个 call ebp
。请注意,在使用 IsBadReadPtr 使用 memcmp
读取之前,您想要检查您是否具有读取权限:
if( IsBadReadPtr(starAddr, sizeof(opcode)) == 0 &&
memcmp(&opcode, (void *) starAddr, sizeof(opcode)) == 0 ) {
因此,如果您访问某些具有奇怪访问权限的区域,程序将不会失败。
关于windows - 如何在 DLL 中查找特定指令的内存地址,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17892829/