Cuando controlo EIP, ¿cómo descubro cuáles son los próximos pasos?

Navega tus respuestas
1

Digamos que puedo controlar el registro de CPU EIP, y quiero saltar a una función específica de la que conozco la dirección de memoria correcta. Esta dirección está dentro de la misma página de memoria. No tenemos habilitadas las mitigaciones de exploits. ¿Puedo pasar la dirección de memoria de la función a jmp y cargarla en EIP?

    
pregunta Dirk 15.05.2014 - 20:50
fuente

1 respuesta

2

Sí, pero ten cuidado:

  • Todas las funciones obtienen sus parámetros en la pila o, a veces, en los registros. Probablemente usted no sabe, qué parámetros y dónde conseguirá. Tal vez necesite un poco de juego si no lo hace y un choque temprano al principio.
  • El retorno de una función está en la pila, pero a veces están en registros. Es muy seguro que el proceso morirá después del código enganchado.

Si estás trabajando en un gancho, asegúrate de que ESP y los registros se retrasarán después de tu gancho.

Tal vez pueda tener un problema si hay alguna característica similar a la aleatorización del espacio de direcciones, lo que hace que sea más difícil encontrar la dirección de la función.

    
respondido por el peterh 16.05.2014 - 19:28
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo determinar el cifrado S / MIME utilizado? Brute force cracking cracking con una GPU