Посмотреть стек

Тема в разделе "WASM.BEGINNERS", создана пользователем Magnet0, 22 июн 2020.

  1. Magnet0

    Magnet0 New Member

    Публикаций:
    0
    Регистрация:
    22 июн 2020
    Сообщения:
    2
    Вечер добрый!
    Умею пользоваться IDA, с большим трудом пытаюсь осваивать x32dbg.
    Начитался про расположение информации в стеке про адрес возврата который там лежит между параметрами вызываемой функции и локальными переменными и еще много про что.
    Товарищи шарящие, подскажите пожалуйста как в x32dbg (или не в нем, но чем проще софт - тем лучше) посмотреть непосредственно содержимое стека в каждый момент времени, что происходит с ним после выполнения очередной инструкции (не список из последних 5 переменных, а именно дамп всего стека) и как увидеть в реальном времени что с ним происходит при выходе за пределы массива (переполнении). Лучше в видео / скринах. Можно ссылку на какой-то хороший мануал. Я хочу увидеть где лежит тот адрес возврата и на каком этапе он затирается мусором.
     
  2. f13nd

    f13nd Well-Known Member

    Публикаций:
    0
    Регистрация:
    22 июн 2009
    Сообщения:
    1.995
    [​IMG]
    Регистр esp содержит адрес верхушки стека, если окна в правом нижнем углу тебе мало, можно в левом нижнем углу его в один из "дамп"ов вывести.
     
  3. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Magnet0,

    Ты не понимаешь что спрашиваешь. Тебе пройти отладчиком семпл в сурках для обучения или реальный, где место атаки не известно.

    Путь автоматики - это предел сложности, для подобных инструментов. Есть лишь теоретические наработки, они очень сложны, впрочем как и реализация - для этого нужно приложение запустить под визор, снимать трассу, строить таблицы маркеров(как минимум 2-хуровневые), закодить само наследование указателей и прочие многие вещи необходимые что бы однаружить загрузку шелла. Другое дело передача управления, её ситема многими путями отлично детектит. Но это следствие и не покажет саму загрузку шелла. RFG(теневой стек) и прочая фигня так же даст лишь событие передачи управления на оп-последовательность.

    Я эту задачу пытался решить очень давно и кучу времени на это потратил. Задача не разрешима из бага в формате исполняемых файлов - данные от кода не отличимы, процедуры не маркированы. Можешь поискать мои темы.

    Единственный простой путь решения - либо снимать трассу с выборкой, тогда можно пройти по графам и выйти на место загрузки шелла; иначе есть есчо проще метод, это самый эффективный всегда - повторный перезапуск приложения. Нашёл адрес, перезапустил нашёл ссылку и так пока не выйдешь на нужное место.

    Что касательно готовых инструментов - их нет, задача слишком сложна.
     
  4. TrashGen

    TrashGen ТрещГен

    Публикаций:
    0
    Регистрация:
    15 мар 2011
    Сообщения:
    1.186
    Адрес:
    подполье
    Трейсил визор через визор,-
    Дампит визор визор в визор.
    Я не говорил про визор?
    Визор-визор-визор-визор!
     
    q2e74, Mikl___ и Rel нравится это.
  5. Mikl___

    Mikl___ Супермодератор Команда форума

    Публикаций:
    14
    Регистрация:
    25 июн 2008
    Сообщения:
    3.792
    TrashGen, давайте я вам помогу ;)
    Пх’нглуи мглв’нафх Ктулху Р’льех вгах’нагл фхтагн
     
  6. TrashGen

    TrashGen ТрещГен

    Публикаций:
    0
    Регистрация:
    15 мар 2011
    Сообщения:
    1.186
    Адрес:
    подполье
    Mikl___, такой исходный код могут закомпилить только люди-грибы с Юггота,
    ну, или мож шогготы с антарктических хребтов безумия^^
     
    M0rg0t нравится это.
  7. fontbyself

    fontbyself New Member

    Публикаций:
    0
    Регистрация:
    16 июн 2017
    Сообщения:
    10
    Ахахах, человек спросил за стек и за адрес возврата, а ему за гипервизиры начали рассказывать и за shadow stack.
    facepalm
    Когда я в свое время интересовался этой темой, я особо в отладчик не смотрел. Я просто знал алгоритм. И мне нужно было только разве что иногда посматривать на три регистра !!! EIP, EBP, ESP всё. Пихаешь в уязвимую программу сгенерированную строку в виде патерна. Видишь что перезаписал EIP. Вычисляешь смещение до EIP, потом ищешь в модулях или в программе инструкцию jmp esp. Ложишь ее в EIP дальше срезка нопов и потом шеллкод. Всё. Готово.
     
  8. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Так весь смысл жизни белорусских аверов, ну канеш помимо поедания картофеля, сводится к написанию визоров. Они там у себя в топовых белорусских антивирусных компаниях визорами меряются, а не писюнами.
     
  9. q2e74

    q2e74 Active Member

    Публикаций:
    0
    Регистрация:
    18 окт 2018
    Сообщения:
    999
    Видимо давно было, до ASLR.
    --- Сообщение объединено, 31 июл 2020 ---
    Может дело в запятой?
    Умею пользоваться IDA с большим трудом, пытаюсь осваивать x32dbg.
     
    fontbyself нравится это.
  10. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    fontbyself,

    > Видишь что перезаписал EIP.
    > ищешь в модулях или в программе инструкцию jmp esp.

    И где в каком же апп ты найдёшь(толку от этого защита зарубит) передачу управления на стек. Могут быть косвенные в виде OP, но вручную ты это не найдёшь. Это задача исключительно автоматики. Откуда ты вылез, старик ?

    Для тебя новость, отладчики давно deprecated, их заменили dbi.

    > Ложишь ее в EIP дальше срезка нопов и потом шеллкод. Всё. Готово.

    Пример в студию!
     
    Последнее редактирование: 1 авг 2020
  11. fontbyself

    fontbyself New Member

    Публикаций:
    0
    Регистрация:
    16 июн 2017
    Сообщения:
    10
    Ну вот не так давно в стим находили баф оверлоу выплаты были на хакерван. В тех же SCADA и даже в циско strcpy() как встречалась функция было вот как то.
    Такой класс уязвимостей до сих пор встречается.
    Загугли сам увидишь. DBI не dbi отладчик никто не отменял.
     
  12. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Воу, ты сам то понимаешь, о чем говоришь? Какой отладчик? Только визоры решают.
     
  13. fontbyself

    fontbyself New Member

    Публикаций:
    0
    Регистрация:
    16 июн 2017
    Сообщения:
    10
    Да у меня тоже "телевизор" есть. Ага даа ...
     
  14. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    fontbyself,

    Так ты совсем нуби если думаешь что OP-атаки и уязвимости соотв это тупо jmp esp.

    Эти ошибки трудно найти, они находятся почти всегда после самой ошибки, те когда апп слетит на некоторой последовательности данных.

    И гуглить мне дружок не нужно, у меня свой такого типа инструмент уже очень давно есть. Обкатанный на огромном числе апп.
     
  15. fontbyself

    fontbyself New Member

    Публикаций:
    0
    Регистрация:
    16 июн 2017
    Сообщения:
    10
    Я не понимаю твой оркский язык. Изначально хотел показать, что оно не так трудно, как кажется на первый взгляд. Ну гаджет тут в виде jmp esp (Ret2Reg) - хардкод адреса и все такое. Что за ОР? ROP ?
     
  16. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    fontbyself,

    Какой хардкод ?

    OP - orien. att, группа атак. COP/ROP/JOP. Давно был разработан теор механизм для обнаружения этих атак, до реализации не дошло механизм весьма сложен https://wasm.in/threads/antiinzhekt-otlovit-smenu-konteksta.32315/#post-392808

    > Я не понимаю твой оркский язык.

    Ты же новорег(> Сообщения: 5), почитай тут некоторое время, прежде чем что либо утверждать.
     
  17. fontbyself

    fontbyself New Member

    Публикаций:
    0
    Регистрация:
    16 июн 2017
    Сообщения:
    10
    Короче с тобой всё ясно, ты из мухи слона делаешь. Речь вообще не об атаках была и не митигейшенах. Ты как будто сам с собой разговариваешь теряя суть разговора. Новорег не новорег. Ничего не меняет. Вообще будь хоть трастовый аккаунт. Рега 2017 года какой новорег? лол. Не важно, что было ноль сообщений.
     
  18. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    fontbyself,

    Не волнует никого у кого ты акк взял, сразу видно что ты тут растерялся не понимая привычный всем диалог. Ты пришёл сюда и какой то бред затираешь, чувак ты ошибся ресурсом.
     
  19. fontbyself

    fontbyself New Member

    Публикаций:
    0
    Регистрация:
    16 июн 2017
    Сообщения:
    10
    Аккаунт мой, не чей другой. Ага конечно. Я вижу кто тут бред несет. Отмазывайся давай. Просто ты не вывозишь . Слабый ты .
     
  20. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    fontbyself,

    Тоесть ты не можешь техническое обсуждение продолжать, сразу слив и негатив. Тебя забанят.