缓冲区溢出实战教程系列(三):利用OllyDbg了解程序运行机制

想要进行缓冲区溢出的分析与利用,当然就要懂得程序运行的机制。今天我们就用动态分析神器ollydbg来了解一下在windows下程序是如何运行的。

戳这里看之前发布的文章:

缓冲区溢出实战教程系列(一):第一个缓冲区溢出小程序:https://www.freebuf.com/articles/system/195614.html 缓冲区溢出实战教程系列(二):dev c++编译汇编代码:https://www.freebuf.com/articles/system/197116.html

0x00 OD基本介绍及用法

1. OD界面

我们将程序拖入OD中,会出现如下界面,在这里我分为四个主要区块,分别是汇编代码窗口、寄存器窗口、二进制窗口、堆栈窗口。当然也有分为五个区块的,但没有太大区别。接下来我给大家讲讲有个基本概念。等下在程序分析里给大家具体做讲解。

2. OD常用操作

F2:设置断点

F4与F9:F4是运行到光标位置,F9是运行到断点处

F7与F8:F7是单步步入,F8是单步步进

Ctrl+F9:是从F7步入的代码段中返回之前代码段

0x01 寻找程序入口

1. 程序介绍

今天拿MessageBox的代码为例,先贴出代码:

#include<windows.h>int main(){    MessageBox(0,"You have been hacked","warning",0);    return 0;}

可以看出这是一个非常简单的弹出提示框的代码,只有5行代码。但麻雀虽小五脏俱全,通过一个小程序我们更容易理解程序的基本运行原理。

2. OD分析程序起点

将程序拖入到OD:

我们会看到程序停在了0x004014E0的位置,但这不是程序真正的入口。通常用OllyDBG打开一个程序之后,并没有直接跳到程序主函数入口地址,而是在进行一些初始化工作。这个我们暂时不用管我们这里只要找到主程序入口就好。

一般用OllyDBG打开程序的时候,并不是直接定位到程序入口,而是还要先进行一系列的初始化工作,但做这些工作的反汇编代码我们是不需要的,所以我们要快速跳 过,直接到程序入口。

3. 程序真正入口点

找程序入口呢一个是凭经验一路F8,还有一个就是借助工具,今天跟大家说一下利用IDA找程序入口。

在IDA中打开程序,在左侧栏中找到_main,点击右侧代码栏第一行,看底下的地址就好了。我们记住入口地址就好。

main函数地址是0x00401500。

我们回到OD,右键goto-expression跳转到main函数所在位置。

我们按F2在这设个断点,接下来我们要用到。

0x03 主函数运行过程

我们在0x401500处下好断点,按F9运行到断点处。当我们看见地址的字成红色背景变为黑色时,就说明程序已经运行到我们的断点处了。

找到主函数我们今天的任务就完成一半了,我们先分析一下主函数运行的过程,其实主函数运行过程也是压栈弹栈的过程,只是这个过程与我们直接调用MassageBox的堆栈调用略有不同,为了方便理解先看一下下面的小知识点。

栈顶(esp):栈的低址,就是栈空间地址小的一端 栈顶(ebp):栈的高址,就是栈空间地址较大的一端 栈空间的增长:由高地址向低地址增长(ebp—>esp)

好让我们继续,先F8运行到0x40150B。

这时我们要观察一下现在栈顶和栈底的情况这时候esp栈顶是0x28FEB8,ebp栈底是0x28FF88。

继续F8两次,这里就出现了与调用函数不同的地方,这里指令SUB ESP,14是让esp直接减14的意思,我们现在的esp是0x28FEB4。

果断打开计算器0x28FEB4-0x14=0x28FEA0,那说明我执行完这个指令过后esp的值就应该是0x28FEA0。

让我们F8验证一下,果然不出所料,目前栈顶的位置就是 0x28FEA0。

记住这里都是16进制的运算所以0x14是10进制的20,而每个地址相差4,也就是栈顶到栈底一下子多了5个地址,但没有赋值,这里也就是跟我们平时说的压栈的方式不一样的地方。一般而言压栈是一个一个从高址向低址入栈。这里我先把它称为开辟栈空间然后赋值吧。

继续F8,不过这时我们要观察开辟出的5个地址值得变化,我们先截图记录一下:

当我们运行过CALL 00401EA0时发现这五个地址的值没有变化。

当我们运行过MOV DWORD PTR SS:[LOCAL.4],0时我们发现0x28FEAC的值变成了0。

接着运行MOV DWORD PTR SS:[LOCAL.5],OFFSET 0x404000 ,这时0x28FEA8的值变成了0x404000。

接着运行 MOV DWORD PTR SS:[LOCAL.6],OFFSET 0x404008,这时0x28FEA4的值变成了0x404008。

接着运行 MOV DWORD PTR SS:[LOCAL.7],0 ,这时我们的esp变成了0。

这些就是主函数中在运行MassageBox之前栈中的变化,只不过这里是利用esp-14的方法先开辟了个空间然后再入栈。

这里再补充一下0x404000和0x404008 是什么,其实在截图里我们已经看到OD已经给出了,它们分别代表warning和You have been hacked。那它们是怎么来的呢?其实我们在程序编译的时候已经把这些变量集中放到了数据段,这涉及到PE结构了,大家目前理解为变量值集中存放的地方。好我们验证一下,在左下角二进制窗口依次右键—>go to—>expression接着在弹出窗口中输入404000,查找,我们看下结果:

我们在看一下warning在线通过工具转换成ASC码的结果,刚好与上图前七个字节对上。

以上说明0x404000和 0x404008这样的地址就类似高级语言里的变量,我们把真正的值赋给变量,然后我们只操作变量就好了。

以上就是今天讲的内容,大家跟着步骤仔细操作一下,要不然后边的就会越听越迷糊。下篇文章就要真正讲到调用MassageBox时栈的变化了,也就是真正栈的知识了,希望大家能够打好基础。

*本文作者:kaliking,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2019-04-30

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

扫码关注云+社区

领取腾讯云代金券