❽⁄₂ ⟦ OSCP ⬖ 研记 ⟧ 修改漏洞利用脚本 ➱ 缓冲区溢出攻击原理 - 指南

郑重声明：本文所涉安全技术仅限用于合法研究与学习目的，严禁任何形式的非法利用。因不当使用所导致的一切法律与经济责任，本人概不负责。任何形式的转载均须明确标注原文出处，且不得用于商业目的。

点赞 | 能量注入 ❤️ 关注 | 信号锁定  收藏 | 数据归档 ⭐️ 评论 | 保持连接

 立即前往   

​​​​​​

▶ 信息收集
▶ 漏洞检测
▶ 初始立足点 ➢ 查找漏洞的公共利用 ➢ 缓冲区溢出攻击原理
▶ 权限提升
▶ 横向移动
▶ 报告/分析
▶ 教训/修复

目录

1.修改漏洞利用脚本

1.1 缓冲区溢出漏洞

 1.1.3 缓冲区溢出攻击原理

 1.1.3.1 缓冲区溢出概述

1.1.3.2 缓冲区溢出的核心攻击目标

1.1.3.3 攻击原理：篡改“回家地址”

1.1.3.4 缓冲区溢出攻击图例

1.1.3.5 攻击原理演变

1.1.3.6 典型攻击场景：JMP ESP技术

1.1.3.7 安全启示

1.1.4 缓冲区溢出攻击流程详解

1.1.4.1 触发溢出

1.1.4.2 覆盖返回地址（控制EIP）

1.1.4.3 注入Payload与NOP滑块

1.1.4.4 选择返回地址指令

1.1.4.5 攻击修改与调整注意事项

1.1.4.6 具体攻击过程示意

欢迎❤️ 点赞 | 关注 | ⭐️ 收藏 | 评论

---

1.修改漏洞利用脚本

1.1 缓冲区溢出漏洞

      内存损坏漏洞利用（如缓冲区溢出）是相对复杂且难以修改的。这类漏洞利用的修改通常涉及：
 理解高级缓冲区溢出理论
⚙️ 交叉编译二进制文件
️ 修改和更新内存损坏漏洞

      本文以缓冲区溢出漏洞作为示例。

---

 1.1.3 缓冲区溢出攻击原理

 1.1.3.1 缓冲区溢出概述

      本节通过一个简单的C语言示例，直观地演示栈缓冲区溢出的发生过程、原理及其被攻击利用的关键步骤。

 漏洞代码示例

​

以下是关于strcpy函数（用于字符串复制的函数）及其引发的典型缓冲区溢出漏洞的总结：

方面	关键说明
函数作用	将源字符串（第二个参数）完整复制到目标缓冲区（第一个参数）。
根本问题	不执行任何边界检查，完全无视目标缓冲区的实际容量。
危险本质	若源字符串长度 > 目标缓冲区大小（64字节），则发生 “缓冲区溢出”。
直接后果	超出的字符会覆盖相邻内存区域，破坏栈上的关键数据（如函数返回地址）。
潜在风险	可导致程序崩溃、行为异常，或被精心构造的攻击数据利用，以劫持程序执行流程。
安全建议	避免使用strcpy；改用安全函数（如 strncpy、snprintf）或始终手动验证输入长度。

结论：
strcpy 是 C 语言中一个典型的不安全函数，其设计缺陷使它成为栈缓冲区溢出漏洞的常见源头。

---

1.1.3.2 缓冲区溢出的核心攻击目标

 EIP/RIP：程序执行的“导航仪”

寄存器	架构	作用	类比
EIP (Extended Instruction Pointer)	x86 (32位)	存储下一条要执行的指令的内存地址	像汽车导航的当前光标，始终指向下一步要走的路
RIP (Return Instruction Pointer)	x86-64 (64位)	同上，64位版本	同上，64位系统中的“导航光标”

关键机制：

• 函数调用时，call指令将返回地址（函数执行完后应返回的位置）压入栈中。

• 函数结束时，ret指令从栈中弹出该地址，并加载到EIP/RIP中。

• CPU严格按EIP/RIP指向的地址取下一条指令执行。

简单说：EIP/RIP是CPU的“眼睛”，它看向哪里，程序就执行到哪里。

 ret指令：函数返回的“传送门”

ret指令的执行过程：
1. 从当前ESP指向的栈顶 → 弹出4/8字节数据（这就是返回地址）
2. 将该数据 → 载入EIP/RIP寄存器
3. CPU立即跳转到EIP/RIP指向的新地址开始执行

形象比喻：

• 栈顶的返回地址是一张写有“回家地址”的纸条

• ret指令是出租车司机：他拿起纸条（弹出栈），按照上面的地址（加载到EIP/RIP），把你送过去（跳转执行）

---

1.1.3.3 攻击原理：篡改“回家地址”

当缓冲区溢出发生时：

正常情况：

栈布局：[局部变量buffer][保存的EBP][返回地址(正确的家)]...
函数返回时：ret取出“正确的家”地址 → 安全返回

被攻击时：

栈布局：[AAAA...恶意代码][被覆盖的EBP][恶意地址(攻击者伪造)]...
函数返回时：ret取出“恶意地址” → 跳转到攻击者指定的地方

攻击者攻击过程：

• 溢出填充：用输入数据填满buffer，并继续向后覆盖（向高地址、栈底方向）

• 精确覆盖：用精心计算的恶意地址覆盖原返回地址（要精准覆盖）

• 放置代码：在buffer中提前放入恶意机器代码（shellcode）

• 触发跳转：函数执行ret时，EIP/RIP被改为恶意地址

• 执行控制：CPU跳转到恶意地址执行（通常指向buffer中的shellcode）

 EBP与ESP在攻击中的角色

寄存器	存储内容	在攻击中的作用
ESP (栈指针)	当前栈顶地址（如0x7FFFFFFC）	攻击常利用JMP ESP指令跳转到栈中执行shellcode
EBP (基址指针)	当前栈帧基址（如0x7FFFFFF8）	被溢出数据覆盖后，可能破坏栈帧链，影响程序稳定性

关键内存布局（发生溢出时）：

高地址（栈底）
├─────────────────────────┤
│    参数区域              │
├─────────────────────────┤
│   返回地址 ← 被覆盖！     │  ← 返回地址被覆盖后跳到恶意代码执行地址
├─────────────────────────┤   ← EBP 指向
│   保存的EBP ← 可能被覆盖  │
├─────────────────────────┤
│   buffer[64]            │   ← 从这里开始溢出(向高地址方向）
│   [shellcode]           │   ← 攻击代码通常放在这里
├─────────────────────────┤   ← ESP 指向
低地址（栈顶）

1️⃣ 输入超长数据 → 填满buffer并继续写入
2️⃣ 覆盖返回地址 → 改为指向恶意代码的地址
3️⃣ 函数执行ret → 恶意地址载入EIP/RIP
4️⃣ CPU跳转执行 → 执行攻击者预设的shellcode
5️⃣ 获得控制权 → 可能开启shell、提升权限等

---

1.1.3.4 缓冲区溢出攻击图例

​

以下是栈在三种不同输入情况下的状态对比，直观展示缓冲区溢出如何发生及其攻击具体过程。

状态	栈内存图示 (简化)	用户输入	对缓冲区的影响	返回地址状态	结果
① 初始化	[ 64字节缓冲区空间 ] [正确返回地址]	无	缓冲区保留空间	✅ 正确保存	函数正常执行并返回
② 安全输入	[32字节数据] [空余32字节] [正确返回地址]	32个字符	仅填充一半缓冲区	✅ 未受影响	函数正常返回
③ 溢出攻击	[64字节全满+16字节溢出] [被覆盖的返回地址]	80个'A' (0x41)	超出容量，发生溢出	❌ 被覆盖为0x41414141	程序崩溃或跳转到非法地址

---

1.1.3.5 攻击原理演变

攻击者不会仅仅让程序崩溃，而是会精心构造攻击数据：

攻击阶段	操作	目标
基础溢出	用'A'等字符填充，覆盖返回地址为0x41414141	测试漏洞存在，导致程序崩溃
真实攻击	用有效内存地址替换'A'，覆盖返回地址	控制程序执行流程
代码注入	在溢出数据中插入shellcode（恶意机器代码）	执行任意命令，控制目标系统

---

1.1.3.6 典型攻击场景：JMP ESP技术

1. 寻找指令：在系统库中找到一个JMP ESP指令的地址（这条指令意为“跳转到ESP寄存器指向的位置”）。

2. 构造载荷：将返回地址覆盖为JMP ESP指令的地址。

3. 放置代码：在溢出数据中紧随返回地址之后放置shellcode。

4. 触发执行：

   • 函数返回时，ret指令将JMP ESP地址载入EIP/RIP

   • CPU执行JMP ESP，跳转到ESP指向的位置

   • 此时ESP恰好指向shellcode的起始处

   • CPU开始执行shellcode，攻击者获得系统控制权

攻击载荷结构示例：

[ 缓冲区内 ][ shellcode ][ 填充数据 ][ JMP ESP地址 ]
  ↑                            ↑            ↑
缓冲区起始              填满剩余空间    覆盖原返回地址

---

️ 关键安全认知

• 溢出≠崩溃：缓冲区溢出不一定会导致立即崩溃，而是为攻击者提供了篡改程序流程的机会。

• 地址是关键：攻击者需要精确计算或猜测内存地址，现代防御技术（如ASLR）通过随机化地址增加攻击难度。

• shellcode是武器：攻击者注入的恶意代码通常体积小、功能强，可直接在目标系统上执行任意操作。

核心要点：理解栈缓冲区溢出的三种状态，是从理论认知到实际攻击利用的关键一步。攻击者通过将简单的溢出漏洞转化为精准的流程劫持，最终实现对系统的完全控制。

---

1.1.3.7 安全启示

      返回地址是栈缓冲区溢出攻击的“王冠上的宝石”。保护返回地址不被篡改，是防御此类攻击的第一道防线。现代操作系统通过ASLR（地址随机化）、栈保护符（Canary） 等技术，正是为了增加攻击者预测和覆盖正确地址的难度。

---

1.1.4 缓冲区溢出攻击流程详解

 四步攻击流程

1.1.4.1 触发溢出

      创建超出缓冲区容量的数据，覆盖相邻内存区域（返回地址、函数指针、局部变量等）。

关键：提供的数据必须超过缓冲区固定大小，才能产生溢出效果。

---

1.1.4.2 覆盖返回地址（控制EIP）

      精确计算偏移量，用恶意地址覆盖栈上的返回地址，从而控制EIP/RIP。

操作	目标	结果
填充缓冲区	到达返回地址在栈中的位置	建立溢出基础
计算偏移量	确定从缓冲区起始到返回地址的字节距离	精准定位
覆盖地址	用攻击者控制的地址替换原返回地址	劫持程序流程

---

1.1.4.3 注入Payload与NOP滑块

      在缓冲区中插入恶意代码（Payload），前面可添加NOP滑块以提高成功率。

[ NOP滑块 (可选) ][ Shellcode/Payload ][ 填充数据 ][ 恶意返回地址 ]
   ↑                    ↑                   ↑           ↑
  NOP指令           恶意机器代码         填满剩余空间   覆盖原返回地址

NOP滑块作用：

• 增加容错：即使返回地址计算稍有偏差，只要指向NOP滑块内任意位置，CPU都会"滑行"到Payload

• 简化定位：无需精确命中Payload起始地址

---

1.1.4.4 选择返回地址指令

      选择合适的指令地址作为返回地址，常见的是JMP ESP：

1. 寻找指令：在目标程序或系统库中找到JMP ESP指令的内存地址

2. 覆盖地址：用该地址覆盖原返回地址

3. 执行流程：

   函数返回 → 执行ret指令 → EIP指向JMP ESP地址
   → 执行JMP ESP → 跳转到ESP指向的位置
   → ESP通常指向栈上紧随返回地址之后的位置
   → 执行攻击者放置在该处的Payload

---

1.1.4.5 攻击修改与调整注意事项

在修改缓冲区漏洞利用的代码时，主要修改以下内容：

注意事项	具体操作	目的
修改缓冲区元素	调整payload中的文件路径、IP地址、端口、URL等	适应特定攻击目标
调整偏移量	重新计算缓冲区长度和偏移	确保精准覆盖返回地址
寻找返回地址	在本地克隆环境，使用调试器获取JMP ESP等指令的实际内存地址	提高攻击可靠性
修改Payload	审查公开攻击代码中的十六进制Payload，或插入自定义Payload	避免使用潜在恶意代码，确保Payload功能符合需求
排除坏字符	避免在Payload中使用空字节(\x00)等可能截断字符串的控制字符	防止Payload被提前截断，确保完整性

 坏字符示例

坏字符	十六进制	可能影响
空字节	\x00	被解释为字符串终止符，截断Payload
换行符	\x0A	可能被解释为输入结束
回车符	\x0D	可能影响某些输入处理
EOF字符	\x1A	在某些上下文中表示文件结束

 攻击成功的关键要素

• 精确计算：偏移量、缓冲区大小、内存地址

• 环境适配：Payload、返回地址需针对目标环境调整

• 字符过滤：避免使用目标程序可能特殊处理的字符

• 流程控制：确保从溢出到Payload执行的完整链条

核心要点：缓冲区溢出攻击是精准的工程过程，每一步都需要精心计算和调整。从防御角度看，破坏其中任一环节即可有效防御此类攻击。

---

1.1.4.6 具体攻击过程示意

假设一个函数的栈布局如下（从高地址到低地址）：

高地址 (栈底方向)
┌─────────────────┐
│    函数参数      │
├─────────────────┤
│   返回地址       │ ← **攻击目标：覆盖此处！**
├─────────────────┤
│   保存的EBP      │
├─────────────────┤ ← EBP指向这里
│   局部变量2      │
├─────────────────┤
│   局部变量1      │
├─────────────────┤
│   buffer[256]   │ ← 缓冲区起始（地址如0x0ff8）
低地址 (栈顶方向)

攻击者构造的输入数据就像一个精心设计的恶意包裹，结构如下：

[填充数据][JMP ESP地址][NOP滑块][Payload][剩余填充...]
  ↑         ↑          ↑        ↑        ↑
填满缓冲区 覆盖返回地址 安全缓冲 恶意代码 填满剩余空间

 包裹各部分详解

部分	大小	作用
填充数据	精确计算	填满缓冲区，直到返回地址之前
JMP ESP地址	4/8字节	指向JMP ESP指令的内存地址
NOP滑块	可变长度（如100字节）	0x90指令，CPU执行时“滑过”
Payload	精炼代码	恶意机器指令（如开启shell）
后续填充	按需	确保完全覆盖返回地址区域

 攻击执行流程

正常流程：

函数调用 → 局部变量入栈 → 执行函数体 → 弹出返回地址 → 安全返回

被攻击流程：

1. 攻击者输入超长数据（如300字节）
2. 数据写入buffer[256]并溢出
3. 覆盖局部变量 → 覆盖保存的EBP → **覆盖返回地址**
4. 函数执行完毕，执行`ret`指令
5. CPU读取**被篡改的返回地址**（JMP ESP地址）
6. 跳转到JMP ESP指令处执行
7. JMP ESP使程序跳转到**ESP指向的位置**
8. 此时ESP恰好指向**NOP滑块或Payload起始处**
9. CPU“滑过”NOP指令，执行Payload
10. **攻击者获得系统控制权**

 关键偏移量计算

攻击成功的核心是精确计算：

• 缓冲区起始地址：如0x0ff8

• 返回地址位置：如0x10f0

• 偏移量：0x10f0 - 0x0ff8 = 248字节

攻击数据结构：
[0-247字节：填充数据]    ← 填满248字节到达返回地址
[248-251字节：JMP ESP地址] ← 精准覆盖返回地址
[252字节开始：NOP+Payload] ← 放置在返回地址之后

---

欢迎❤️ 点赞 | 关注 | ⭐️ 收藏 | 评论

每一份支持，都是我持续输出的光。感谢阅读，下一篇文章见。

​