Пару лет назад кричали - SP2, защита от выполнения кода в стеке, overflow умрёт!
Не умер, зараза, так что решил разобратся с реализацией.
Пример из wiki
/* overflow.c - демонстрирует процесс переполнения буфера */

#include <stdio.h>
#include <string.h>

int main(int argc, char *argv[])
{
char buffer[10];
if (argc < 2)
{
fprintf(stderr, "ИСПОЛЬЗОВАНИЕ: %s строка\n", argv[0]);
return 1;
}
strcpy(buffer, argv[1]);
return 0;
}


Шелкод написал, без нулей, место для подмены адреса возврата нашёл, но! Адрес, по которому в стеке лежит наш код - 001234ААh. Вот этот 00h в подменяемом адресе возврата всё портит. При считывании параметров доходит до 00 и прекращает читать строку! Как это забороть? Вообще, ссылкой на доходчивую статью по переполнению не поделитесь?
PS крякинг к теме всё таки где-то близко ;)

| Сообщение посчитали полезным:

Freecod, а ты опцайку в винде включил для обычных user mode прог?

| Сообщение посчитали полезным:

Да я не к тому что SP2 не помог, я к тому, что уязвимость до сих пор актуальна и надо бы её изучить

| Сообщение посчитали полезным:

make DEP on

-----
HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE

| Сообщение посчитали полезным:

OMG я не хочу лечить, я хочу убивать! (с)

| Сообщение посчитали полезным:

Freecod а если UNICODE? Или код на C только для примера?

| Сообщение посчитали полезным:

дадада. Мне интересен данный момент - в стеке на месте адреса возврата левые данные. Мне нужно вставить туда указатель на мой код в стеке, так же переданный в строке. Но адрес-то с 00h! Внятно статьях описывается только собстно баг перезаписи чужих ячеек стека у локальных переменных. Потом - "передав нужную строку, можно подменить адрес возврата указателем на свой код". Куда свой код помещать? Каким образом? Как быть, если в этом адресе есть 00h?

| Сообщение посчитали полезным:

Freecod
Какой компилер и с какими опциями? Под GCC собрал и все нормально переполняется, так что тут дело скорей всего в компилере.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Господи, убейте мой мозг тапком. Может у меня кодировка неправильная, и мои посты закорючками рисуются, вот меня никто и понять не может?
Пост от 13 мая 2008 10:51:11 - подробнее или понятнее я объяснить суть вопроса не могу.
Но постараюсь, т.к. очень хочется получить ответ.
Компилирую программу. Пишу офсет-независимый шелкод без 00h, т.е. можно передать в строке параметров.
Запускаю overflow.exe "1234567890FFFF[тут 4 байта, подменяющие адрес возврата][тут шелкод]"
Внимание, вопрос! 4 байта, подменяющие адрес возврата не должны содержать 00h, т.к. остальная часть строки не обработается. Но в стек растёт от 0012FFFCh. Следовательно передать управление на мой шелкод по возврату я не могу (т.к. 00h!). Как действовать дальше???

| Сообщение посчитали полезным:

[HEX], а какую строку подал на вход? У него же строка рубиться... А strcpy менять нельзя.

Чёрт. Не видел тапки оратора выше...

| Сообщение посчитали полезным:

Freecod
Во время переполнения под оллей посмотри какие регистры куда смотрят. Обычно ESP смотрит на вершину стека вот этим и воспользуйся! Прыгни на любой участок памяти содержащий опкод CALL ESP или JMP ESP. Тогда сможешь обойти свою проблему с 0x00 вначале адреса.

А вообще много статей на www.securitylab.ru
Например вот здесь с примерами нормально расматривается www.securitylab.ru/analytics/216312.php

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Freecod пишет:
Запускаю overflow.exe "1234567890FFFF[тут 4 байта, подменяющие адрес возврата][тут шелкод]"
Эээ, эта строка, и она в ASCII. Напиши ф-цию читающую "0x00,0x10,0x20..." что б скормить байты и это всё отладить.

И ещё вот - если ты используешь VC++ то отключи опцайку проверки стека.

| Сообщение посчитали полезным:

s0larian пишет:
И ещё вот - если ты используешь VC++ то отключи опцайку проверки стека.

Release версия вроде бы без нее да и кода меньше копать в отладчике =)

| Сообщение посчитали полезным:

Vitek, /GS eсть в Release, а /RTCx только в Debug.

| Сообщение посчитали полезным:

Freecod, получается, что если ты пользуешься уязвимостью обработки командной строки некой программы, перекомпилировать которую ты не можешь, ни хера не получиться... Если только не воспользоваться поиском кодов в пространстве библиотек системы, в адресе которого нет 0. Например, ищи опкод jmp esp - 4 (требуемый офсет) и кодируй в строке адрес этой команды.

| Сообщение посчитали полезным:

sss
О чем я выше и написал И даже статью привел в которой об этих проблемах расписано.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] сорри ..

Думаю, чтобы не запускать процесс с поиском опкода, если уже исследовал какую то программу на уязвимость, в ней и надо искать требуемый опкод.

| Сообщение посчитали полезным:

Друзья с ачата написали неплохую статью, сцылку лень искать, вот здесь всё что было:

fa72_15.05.2008_CRACKLAB.rU.tgz - !переполнение буфера by KEZ.rar

| Сообщение посчитали полезным:

UR-Shark
Что то подобное помоему давно видел на секлабе.

Вот попалось про брутально локальный сплоит www.securitylab.ru/analytics/216308.php

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Помнится поднимал я подобную тему года два назад
http://exelab.ru/f/action=vthread&forum=1&topic=6596&page= 0

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным: