如何在不同的流程中更改EIP？

Question

我試圖通過改變它的EIP來破解另一個程序。有兩個程序正在運行，一個是目標，它告訴「核心函數」函數（例如接收密碼字符串作爲參數並返回true或false）的函數在內存中。 然後現在我知道核心函數在哪裏，我想用其他程序修改EIP，以便目標程序可以調用我的函數，並簡單地從它中獲得一個真實值，並打印出一個美麗的「訪問許可」。

我的代碼是現在這個樣子：

目標計劃：

#include <stdio.h> 
#include <string.h> 
#include <stdlib.h> 


int checkPwd(char *pwd) 
{ 
    printf("\nstill in the function\n"); 
    if(strcmp(pwd, "patrick") == 0) return true; 
    else return false; 
} 


int main() 
{ 
    char pwd[16]; 

    printf("%d", checkPwd); 
    scanf("%s", &pwd); 
    system("pause"); 
    if(checkPwd(pwd)) printf("Granted!\n"); 
    else printf("Not granted\n"); 
    system("pause"); 
} 

攻擊計劃：

#include <stdio.h> 
#include <stdlib.h> 
#include <string.h> 
#include <memory.h> 

int returnTrue() 
{ 
    return true; 
} 
int main() 
{ 
    int hex; 
    scanf("%d", &hex); 
    memcpy((void*)hex, (void*)returnTrue, sizeof(char)*8); 
    system("pause"); 
} 

我想補充一點，我想直接把十六進制代碼（不scanf部分）在攻擊者程序中，並沒有工作，它墜毀。

所以我想我在這裏錯過了理論的一部分。我很高興知道它是什麼。

在此先感謝。

Answer 1

這不起作用 - 進程佔用不同的內存空間！

現代操作系統旨在保護用戶程序免受這種類型的攻擊。一個進程無法訪問另一個進程的內存 - 實際上，數據的地址只在該進程內有效。

程序運行時，它有自己的內存視圖，只能看到內核指示memory management unit (MMU)映射的內存。

一些參考：

• Mapping of Virtual Address to Physical Address
• Printing same physical address in a c program
• Why are these two addresses not the same?

Answer 2

有可能注入的功能到另一個過程，但它是一個涉及多一點比你想象的。首先，您需要通過創建兩個函數來實現此功能的適當長度。

static int realFunction() { ... } 
static void realFunctionEnd() {} 

現在，當你複製功能在你做的長度：

realFunctionEnd - realFunction 

這會給你的尺寸。現在你不能僅僅調用其他函數，因爲如上所述他們不能保證在另一個進程中處於同一地址，但是你可以假設，我將假定windows，kernal32.dll在相同的地址，所以你可以實際上在創建遠程線程時將其傳遞給realFunction。

現在，至於你真正的問題。你需要做的是注入一個dll或者將一個函數複製到另一個進程中，然後掛鉤你需要改變的函數。您可以通過複製另一個函數並使該代碼可執行，然後使用跳轉到您的注入代碼覆蓋目標函數的前五個字節來完成此操作，或者可以執行適當的繞行類型掛接。無論哪種情況都應該起作用。或者，您可以在函數中找到偏移量，然後通過編寫適當的操作碼來代替實際代碼來修補它，例如返回true。

需要某種注射或修補才能完成此操作，您有基本的想法，但目前還有一點比您想象的還要多。我有工作代碼的窗口複製到另一個進程的功能，但我相信這是一個很好的學習經驗。