skini SoftICE pa probaj s njim...cim se bavis inace ?

Hmm probaj sa GetProcAddress ili tako nesto ima API fja....
Kod bi ovako nesto trebao da ide:

void *handler;
void *func;
handel = LoadLibray("user32.dll");
func = GetProcAddress(handler,"MessageBoxA");

ili je pak to GetProcAddr proveri u MSDN ;o)

Da, to sa GetProcAddress radi tako.

Inace pravim buffer overflow exploit pa hocu da napravim shell_code koji ce da prikazuje MessageBox (tek da bi video da exploit radi).

poz.

PS. koja je najnovija verzija SoftICE-a?

Nasao sam adresu MessageBoxA (0xBFF5412E)
i napravio shell_code:

55 8B EC 33 FF 57 C6 45 FC 48 C6 45 FD 69 C6 45 FE 21 BA
2E 41 F5 BF 52 57 8D 55 FC 52 52 57 FF 55 F8

u eip sam stavio jmp esp, koji sam nasao u kernel32.dll (0x8012F5CD), shell_code u stack. Tako da bi trebo da se pojavi MessageBox, pa da se program srusi. Ali desi se sledece:

Program se odmah srusi ne pojavi se MessageBox, onda ja u SoftICE pogledam stack:

55 8B EC 33 FF 57 C6 45 FC 48 C6 45 FD 69 C6 45 FE 21 BA
2E 41 F5 BF 52 05 00 00 C0 52 52 57 FF 55 F8
.........................^^^^^^^^ (tackice su zbog formatiranja)
ovo se razlikuje zasto?
sad ja adresu iz esp-a upisem u eip, i izadjem iz SoftICE, sada se pojavi MessageBox ali sa nekim potpuno bezveze tekstom!

Jos jedno pitanje u vezi SoftICE, da li je moguce da ja njemu zadajem asemblerske instrtukcije (recimo umesto sto sam adresu iz esp-a upisao u eip, kako mogu da izvrsim mov esp,eip)

poz.


[Ovu poruku je menjao kajla dana 07-24-2001 u 01:07 PM GMT]

Malo ti je cudan ceo shellcode.
Za stampanje stringa uopste nemoras da koristis ovako nesto.
Recimo call *MessageBoxA bi resilo probelme.
Naime na ebp - 8 ne znam da li uopste imas adresu ... logicinije bi bilo call *0xfffffff8(%esp)

+ da kazem da ne vidim nigde string koji ces da stampas ,a pripremanje frame pointera(ebp) ( push %ebp,movl %esp,%ebp) nije potrebno u shellcodeu ;o)

Pogledaj malo pazljivije:

movb $0x48,0xfffffffc(%ebp)
movb $0x69,0xfffffffd(%ebp)
movb $0x21,0xfffffffe(%ebp)

Shell_code inace stampa "Hi!" (bez navodnika), kao sto znas 0x48=H,
0x69=i,0x21=!. Inace resio sam problem, tako da sada exploit radi, dodao sam shell_cod-u da pozove exit(0).

Jos uvek stoje ona pitanja u vezi SoftICE-a.

poz.

Ali kod ti poziva -0x8(%ebp) a tamo se ne nalazi ova adresa od MessageBoxA to ja kazem ;o)

Kod zapravo ide ovako:



poz.

Opet sam se ja istripovao nesto,dobro je...ummm jebem ti mozak kad stane !!!

Ne vidim kako u gdb-u da uradim sledece:
$ gdb

(gdb) file main
Reading symbols from main...done.
(gdb) break overflow
Breakpoint 1 at 0x8048486
(gdb) run
Starting program: /home/trifold/main

Breakpoint 1, 0x08048486 in overflow ()
(gdb)nexti
(gdb)nexti

e sad ja hocu da izvrsim:

call 0x8048480

kako? tj kako da izvrsim bilo koju asm instrukciju?

poz.

Ako oces da izvrsis neku asm instrukciju onda moras da napravis program za to.Ja licno nisam video u gdb dokumentaciji da se tako nesto pominje.

Hoces da kazes da je to nemoguce uraditi iz gdb-a? Cudno jer mi to ponekad zatreba. Nego me zanima kako u gdb-u da ocitam vredonst sa neke momorijske lokacije (to je moglo u SoftICE da se uradi sa "d 0xBF70000" - pokazuje sadrzaj momerijske lokacije 0xBF7000), jos me zanima:
sa naredbom disassemble gdb pretvara "opcodes" sa zadate memorijske lokacije u asm instrukcije, da li je moduce uraditi suprotno?

poz.

Zaboravih da pitam: zanima me jos kako se iz gdb-a edituje neka memorijska lokacija kao i kako da editujem registre. (u SoftICE se to radilo "e 0xBFF7000" - edituje, "r eip" - edituje eip).

poz.

Za sadrzaj neke promenljive korsti :
x/x adresaq

A za menjanje sadrzaja registra to ne znam.Za pretvaranje asm instrukcije u binarno mozes da koristis x/bx adresa pa koliko ti treba ili samo x/x za 4 byte-a ;o)

Napravio sam sledeci progy:


e sad ovaj MS VC se is3povo pa mi javlja kod ovog call "invalid operand type" , ne kapiram sto neradi ja sam meni je u A86 ovo radilo:

poz.

PS. treba mi opcodes za ovu instrukciju "call 0x1020AF90".



[Ovu poruku je menjao kajla dana 07-28-2001 u 02:44 PM GMT]

Posto samo call 0x0x1020af90 nesto se folira evo ti jedan drugi nacin koji je takodje veoma uspesan ;o)



sto u HEX izgleda vako :

Ma znam za taj nacin, prebacis adresu u neki registar, pa ona ides sa:


Ali kod je kraci kad ides sa:


poz.

samo kod za tu call instrukciju:

0xe8 0x8b 0xaf 0x20 0x10

ovako radi za svaki far call, pa prema tome

0xe8 na pocetak, pa adresa u little endian obliku...

Toliko.

Nije bre tako...evo ti sta gdb kaze za taj tvoj kod :



i

Ma nemoguce, pomocu NASM-a sam proverio.

Uostalom, pogledacu i instruction set reference od Intela, pa cu da budem siguran.

Ali, to malo kasnije.

Toliko.

U pravu si, znam zasto sam istripovao.

U pitanju je relativna adresa, pa ona moze uvek biti razlicita. Zbog toga, mislim da ova adresa zavisi od toga gde je kod ucitan. Nemam sad vremena time da se bakcem, pogledacu samo jos da nema neka far call instrukcija sa direktnim operandom, a ne relativnim.

Ma turis u register i cepas ;o) sta je to 7 instrukcija u odnosu na 5 instrukcija.mislim kod se moze optimizovati na mali milion mesta

Tabela bas i nije lepo poravnata, ali mislim da bi "FF /2 CALL r/m32 Call near, absolute indirect, address given in r/m32" bilo ono sto se trazi.

Prema tome, treba probati 0xff 0x10 0x10 0x10 0x10 da bi bio u pitanju call 0x10101010

Makar mislim, nisam ispitao ceo pricucnik.

A sto se optimizacije tice, predatorova tvrdnja stoji. Cak, zasto koristiti call kad se moze koristiti jmp. Call je sporiji i rizicniji (menja stack), pa bih predlozio jmp. Ali o tom, potom.

Toliko.

call je koristan kad treba neki string da pokupis koji se nalazi u kodu : "/bin/sh" najcesce mada moze sa push da se napravi nesto ali jmp-call je mnogo lepsa i elegantnija varijanta ;o)

Ovo poslednje nisam razumeo, pa ako mozes da mi objasnis, bio bih zahvalan.

Toliko.

Pa call sluzi da se nadje adresa necega u memoriji !

call offset
nesto
offset:
pop %ebx i sad u ebx imas adresu od nesto,to nesto je najcesce string "/bin/sh" mada sa push moze da se kreira string.http://www.hack.co.za hell code za Linux 22byte (ili za FreeBSD) pa pogledaj nasta mislim

Ok, shvatio sam (ili mi se makar cini).

call smesta EIP na stack kako bi mogao da se vrati sa ret, a to se naravno moze i rucno iscitati sa steka, kada ret bas i nece dobro raditi.

Ali, zar ne postoje jos neki nacini da se sazna adresa necega u kodu. Samo iscitavanje EIP sa mov npr. bi trebalo da uradi posao (ili movl :).
Jedino je problem sto tada treba dodati velicinu trenutne komande (mozda) na EIP. Mozda i ne ako procesor uveca EIP u trenutku izmedju ucitavanja komande i njenog izvrsavanja, ali to treba proveriti.

To je nesto kao caka, i koliko vidim korisno je zato sto je jednostavno, i najverovatnije manje mesta zauzima od jednog mov-a i add-a.

Toliko.

E pa ne mozes da citas EIP sa movl ;o) To je bre ne moguce...njega inkrementira procesor a puni se sa call / jmp instrukcijama ;o)

Nisam svatio sta je nemoguce: da se cita EIP sa mov ili je nemoguce da se cita EIP?
ovo drugo mora da je moguce jer kako debuger-i citaju CPU registre(izmedju ostalog i EIP)?

poz.

tOwk mozes da mi posaljes taj "Intel Software Developer's Manual" na [email protected], bio bi ti zahvalan...

poz.

EIP ne mozes da diras sa movl instrukcije koje mogu da sacuvaju/promene eip su call,jmp,ret i srodne funkcije.
Za to kako radi debuger mozes da pogledas man ptrace,mada Intel ima debug registre koji su nama obicnim programerima nevidljivi...o njima znam malo mada u ovom Intel Developer Manualu mozes da nadjes opsirno o njima.

Probao sam i vidim da si u pravu. Cak ni push ne moze da ga iscita, pa sam morao da pogledam Intelovu dokumentaciju, a ono tamo stvarno kaze da je jedini nacin da se iscita EIP pomocu call-a i onda citanja sa steka.

Sto se tice izmena EIP-a jasno mi je da se to ne moze direktno uraditi, ali sam mislio da postoji neka mogucnost kao sto je za CS (moze da se cita, ne moze da se menja sa mov), ali ocigledno da sam pogresio.

U svakom slucaju, hvala na prosvetljenju.

Toliko. (Gotovo)

lcall moze da odradi posao sto se tice CS ;o)

ZAnima me jos sledece:
int i=0xFF;

while (i)
{
clrscr();
--i;
}

sad ovo kad sam sa kompajlirao sa tcc -S dobio sa asm kod ali nigde loop
instrukcije, vec idu sa cmp pa onda sa kondicionim jump-om (jne) za nebi moglo to ovako:


poz

kajla>
uputstva na developer.intel.com/design/PentiumII/manuals/, ima nekih i za optimizaciju i jos ponesto.

predatore> CS moze da se menja sa POP zar ne? naravno i JMP i CALL u FAR varijantama to isto rade.

A sto se tice tog primera koji si dao kajla jednostavno je objasniti. Moraces da se postavis u poziciju onog koji pravi kompajler.

while (uslov) { rad(); } ciklus se implementira u tom kompajleru najverovatnije uvek na isti nacin.

Na primer, prvo cemo staviti label na pocetak (kompajler naravno ne stavlja label posto ide preko adresa :).
Zatim ide testiranje uslova, kakav god on bio: jednostavan kakav si ti naveo, ili mozda ((i>5) && (p || q)). Kada implementiras while ciklus, ti ne zelis da proveravas kakve sve mogucnosti postoje, pa da svaku pojedinacno obradjujes. Jasno je da taj kompajler (tc zar ne) ima losu optimizaciju, i zato to tako radi.

U boljem slucaju bi bilo uradjeno sa AND i JNE, a ne CMP i JNE, posto je ovde bitno samo da li je jednako nuli.

Svaki uslov treba da bude moguce istestirati na samom pocetku, pa pretpostavljam da tc generise ovakav kod.



Mislim da je jasno da se na ovaj nacin moze implementirati bilo koji while ciklus, dok sa loop se retko koji moze (tvoj je jedan primer), pa se nadam da ti to objasnjava zasto je ko god je pravio tc izabrao taj nacin.

I samo da napomenem, vestacki sam se drzao "JNE" iako bi bilo bolje tu ubaciti "JE kraj" ili "JZ kraj", a onda sledeca JMP instrukcija ne bi bila potrebna. Naravno, sve ovo su samo pretpostavke, najverovatnije tc ne generise ovakav kod, ali ovako se dosta jednostavno implementira while(i) ciklus u asembleru (iako ne bas najbolje).

Toliko.

E da, zaboravio sam da se promenljive nalaze na steku, pa treba ubaciti esp, i citati sa adrese koju on sadrzi. U svakom slucaju, ideja je uopstena.

A sto se tice tvog primera kajla, moguce da moze. Medjutim, zasto nije tako, pokusao sam da objasnim u prethodnom postu.

Ali tvoj kod mi nesto cudno izgleda. Zar loop komanda ne koristi CX ili ECX registar? Mislim da bi onda bilo potrebno da negde u njega smestis vrednost sa steka, tj. promenljive.

Ziveli.

[Ovu poruku je menjao tOwk dana 08-05-2001 u 01:48 PM GMT]

Jeste ja sam se zajebo...treba ecx a ne esi znaci ovako:


u stvari loop lbl se moze zameniti sa:


poz.

Kad smo vec kod loop instrukcije, napravio sam program
koji vrti petlju 0xFFFFFFFF do 0x00, i pri svakom prolasku poziva
printf("%xn",index_petlje); , e problem je sada sto program lepo
stampa sve od 0xFFFFFFFF pa stane na 0xFFFF0280, i tu mi javi
stack overflow ili se win "blokira".
Evo kod-a sa komentarima:



poz.

PS. ovo isto pitanje je postovano i u C forumu pod nazivom LOOP

Odgovor na ove blokadu sam dao u C/C++ pod temom LOOP