PWN

Question 1

PEB是什么

Answer 1

进程环境块

PEB是存放着进程信息的结构体

Question 2

怎样才能找到PEB

Answer 2

线程TEB结构体中，偏移0x30（fs:[0x30]）所指就是PEB

Question 3

如何用Windbg查看PEB结构

Answer 3

nt!_PEB

Question 4

TEB是什么

Answer 4

线程环境块，
每一个线程都有自己的TEB，
每个TEB都有自己的TIB（Thread Information Block）,即线程信息块

Question 5

TEB结构有什么特点

Answer 5

1. 一个进程中可能同时存在多个线程
   
   2. 每个线程都有一个线程环境块
   3. 第一个TEB开始于地址0x7FFDE000（WIN10看寄存器窗口EFLAGS的S标志位后面的FS:[0]地址如：2ff000,去OD中dd 2ff000）
   4. 之后新建线程的TEB将紧随前边的TEB，之间相隔0x1000字节，并相内存低地址方向增长
   5. 当线程退出时，对应TEB也被销毁，腾出的TEB空间可被新建的线程重复使用

Question 6

说说TIB结构都有什么

Answer 6

TTEB的0x0-0x18这段指针都是TIB
FS:[000]   指向SEH链指针      
FS:[004]   线程堆栈顶部
FS:[008]   线程堆栈底部
FS:[00C]   SubSystemTib
FS:[010]   FiberData
FS:[014]   ArbitraryUserPointer
FS:[018]   指向TEB自身

Question 7

Inter与AT＆T汇编区别举例：

操作方向相反

Answer 7

Intel：mov 目标 源
mov eax, 51h

AT＆T：mov 源 目标
movl $51h, %eax

Question 8

Inter与AT＆T汇编区别举例：

指令前缀

Answer 8

Intel：没有这方面的要求
mov eax, 51h

AT＆T：寄存器前边要加上％，立即数前要加上$
movl $51h, %eax

Question 9

Inter与AT＆T汇编区别举例：

内存单元操作数

Answer 9

Intel：基地址使用［］
mov eax,[ebx]

AT&T： 基地址使用（）
movl (%ebx),%eax

Question 10

Inter与AT＆T汇编区别举例：

操作码后缀

Answer 10

Intel在[ ]时需要在操作数前面加dword ptr, word ptr, byte ptr的格式
Intel：mov al,bl

AT&T中操作码后面有一个后缀字母:“l” 32位,“w” 16位,“b” 8位
AT&T：movb %bl %al

Question 11

Inter与AT＆T汇编区别举例：

跳转后缀（f,b）

Answer 11

AT＆T中跳转指令标号后的后缀 表示跳转方向

“f”表示向前，“b”表示向后

Question 12

Inter与AT＆T汇编区别举例：

注释符号不同

Answer 12

AT&T: #

Inter: ;

Question 13

jmp esp机器码是多少

Answer 13

ff e4

Question 14

retn机器码是多少

Answer 14

c3

Question 15

retn 8后，eip和esp分别怎么变化

Answer 15

EIP=esp，esp=esp+4+8

Question 16

从网上找到的shellcode怎样试验能不能用？

Answer 16

方法1:
采用注入的思想：
使用temp\教程\在学\小工具\代码注入器
把汇编代码写在里面，随便找一个进程双击，然后点注入远程代码

方法2:
直接od随便找个程序，把上面代码贴到里面，第一条shellcode指令右键，“设为eip”
然后运行。

Question 17

简述栈溢出覆盖返回地址流程

Answer 17

0、崩溃重现（搞一特别长串字符使其崩溃）
1、找个jmp esp（!mona find -s 0xe4ff）
2、生成pattern串（!mona pc 30000）
3、找EIP偏移（!mona findmsp）并替换成jmp esp地址
4、msf生成shellcode
5、填充字符（大小24）+jmp esp的地址（大小4，注意小端）+ 20个0x90 +shellcode

Question 18

什么是软件DEP

Answer 18

软件DEP就是SafeSEH，在调用异常处理函数之前，对调用的异常处理函数进行校验，如果发现异常处理函数不可靠（被覆盖，被篡改），则立即终止异常处理函数的调用

Question 19

什么是硬件DEP

Answer 19

会把需要保护的页面设置成不可执行页（把堆栈设置为不可执行属性），防止shellcode在堆栈中执行。

Question 20

windows中怎样通过rop绕过DEP

Answer 20

1、使用!mona pc 30000溢出，记下EIP的偏移
2、找小配件（!mona rop -m *.dll -cp nonull ）
3、去rop_chains找一个rop链
构造：
"A"*26081 + ROP + shellcode

Question 21

windows中利用SEH原理是什么

Answer 21

[填充字符] [nextSEH] [Handler] [Nop-Shellcode]

nextSEH = 跳转到Shellcode的指令码
Handler = pop,pop,ret指针

Question 22

windows中利用SEH流程是什么

Answer 22

1、触发异常（!mona pattern_create 20000）
2、搜索pop pop ret指针（!mona seh  ）
3、运行程序，程序崩溃会断下
!mona findmsp查看SEH链，发现handler位于612偏移处，
SEH前面就是next SEH指针，因此填充字符长度为612-4=608

构造
[608个填充字符] [\xEB\x06\x90\x90 ] [pop,pop,ret指针] [Nop+Shellcode]

Question 23

windows中GS保护机制是什么

Answer 23

当编译的时候，如果开启GS选项，则会在函数的开头和结尾添加代码来阻止典型栈溢出（字符串缓冲区）的利用。

当程序启动后时，会随机一个4字节的cookie保存在.data节中，在函数开始时cookie被拷贝到EBP和返回地址的正前方。

Question 24

windows中ALSR是什么

Answer 24

每次重启会发现模块的基地址都是变化的，就是ASLR造成的。

Question 25

一个由C/C++编译的程序占用的内存分哪几个部分

Answer 25

``` 栈区（stack） 堆区（heap） 静态区 文字常量区 代码区 ```

Question 26

``` 解释函数： HeapAlloc HeapCreate HeapDestroy HeapFree ```

Answer 26

HeapAlloc：在堆中申请内存空间 HeapCreate：创建一个新的堆对象 HeapDestroy：销毁一个堆对象 HeapFree：释放申请的内存

Question 27

``` 解释函数： HeapWalk GetProcessHeap GetProcessHeaps LocalAlloc GlobalAlloc ```

Answer 27

``` HeapWalk：枚举堆对象的所有内存块 GetProcessHeap ：取得进程的默认堆对象 GetProcessHeaps：取得进程所有的堆对象 LocalAlloc ：从堆分配内存 GlobalAlloc ：从堆分配内存 ```

Question 28

回忆一下一个堆区里面都有啥

Answer 28

堆区里面的开头有一个堆表，后面有很多个堆块，堆块里面有块首和块身

Question 29

一个堆单位是多少个字节

Answer 29

8个字节

Question 30

堆块的分配过程—— | 快表分配过程：

Answer 30

1. 寻找大小匹配的空闲堆块 2. 将其状态改为占用 3. 把它从堆表中卸下 4. 返回堆块指针给程序使用

Question 31

堆块的分配过程—— | 普通空表分配过程：

Answer 31

1、寻找最优空闲块分配 | 2、若失败，寻找次优空闲块分配（即最小的能满足要求的空闲块）

Question 32

堆块的分配过程—— | 零号空表分配过程：

Answer 32

1、零号空表中按照大小升序，所以分配时先看最后的块看看能不能满足（最大的都不满足，那就拉JB倒了） | 2、如果能满足，再正向从小到大搜索最优/次优的空闲块。

Question 33

堆块的分配时， | 空表的‘找零钱’是啥意思

Answer 33

当发生次优解时，会先从大块中精确地割出一块来分配，剩下的部分重新标注块首，链入空表。（找零钱，绝不玩大方）

Question 34

堆块的释放过程是怎样的

Answer 34

说白了就是将堆块链入空表 1、堆块状态改为空闲 2、链入堆表末尾，再分配时也是先从末尾拿

Question 35

堆块合并过程是怎样的

Answer 35

``` 反复申请与释放，堆区有很多碎片，系统发现两个空闲堆块彼此相邻时，就会合并 1、将两个堆块从空表卸下 2、合并 3、调整合并块的块首信息（如大小等） 4、将新块链入空表 ```

Question 36

Egg Hunter原理

Answer 36

有时候可用的内存放不下shellcode，这时候需要先使用一小段代码（寻蛋代码），通过这小段代码找到真正的shellcode。这技术叫寻蛋技术

Question 37

Egg Hunter流程

Answer 37

1. !mona pc 2000 用这段字符使程序崩溃 2. !mona findmsp 找到EIP偏移 3. 构造Stage1 【515*'A'】 #这里面放寻蛋指令 【jmp esp地址】 #注意：不能是坏字符 【jmp \xEB】 #跳转到寻蛋指令 4. !mona egg –t b33f 生成寻蛋指令，这条指令32个字节，515-32=483 5. 构造Stage1： 【478个nop】 【寻蛋指令】 【5个nop】 【jmp esp地址】 【jmp eb指令】 向上跳60字节，32+5<60，所以是可以的 6. 查看该程序应该还有其他参数可以写进内存，比如说‘User-Agent’,把这个参数值使用： 【'b33fb33f'】 【shellcode】

Question 38

怎样获得api函数地址

Answer 38

插件-常用api下断点-查看断点地址

Question 39

Windbg： | 查看反汇编代码怎么看

Answer 39

u 地址

Question 40

Windbg： | 查看数据结构

Answer 40

nt | nt!_PEB

Question 41

Windbg： | 继续执行

Answer 41

g

Question 42

Windbg： | 查看eax寄存器

Answer 42

reax

Question 43

Windbg： | 显示所有加载模块

Answer 43

lm

Question 44

Windbg： | 显示模块DSPrivateData64详细信息

Answer 44

显示指定模块的详细信息