论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
漏洞
[12782] 2018-06-03_Windows漏洞利用开发教程Part5:返回导向编程(ROP)
文档创建者:
s7ckTeam
浏览次数:
11
最后更新:
2025-01-18
漏洞
11 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-54
6万
主题
-6万
回帖
-54
积分
管理员
积分
-54
发消息
2018-06-03_Windows漏洞利用开发教程Part5:返回导向编程(ROP)
W
i
n
d
o
w
s
漏
洞
利
用
开
发
教
程
P
a
r
t
5
:
返
回
导
向
编
程
(
R
O
P
)
z
u
s
h
e
n
g
F
r
e
e
B
u
f
2
0
1
8
-
0
6
-
0
3
*
本
文
作
者
:
z
u
s
h
e
n
g
,
本
文
属
F
r
e
e
B
u
f
原
创
奖
励
计
划
,
未
经
许
可
禁
止
转
载
一
、
前
言
一
、
前
言
漏
洞
—
—
信
息
安
全
界
最
常
见
的
词
汇
,
在
百
度
百
科
是
这
样
描
述
的
:
漏
洞
是
在
硬
件
、
软
件
、
协
议
的
具
体
实
现
或
系
统
安
全
策
略
上
存
在
的
缺
陷
,
从
而
可
以
使
攻
击
者
能
够
在
未
授
权
的
情
况
下
访
问
或
破
坏
系
统
。
本
文
主
要
介
绍
的
是
本
文
主
要
介
绍
的
是
W
i
n
d
o
w
s
软
件
漏
洞
的
利
用
开
发
教
程
。
我
花
了
大
量
的
时
间
来
研
究
了
计
算
机
安
全
领
域
软
件
漏
洞
的
利
用
开
发
教
程
。
我
花
了
大
量
的
时
间
来
研
究
了
计
算
机
安
全
领
域
W
i
n
d
o
w
s
漏
漏
洞
利
用
开
发
,
希
望
能
和
大
家
分
享
一
下
,
能
帮
助
到
对
这
方
面
感
兴
趣
的
朋
友
,
如
有
不
足
,
还
请
见
谅
。
洞
利
用
开
发
,
希
望
能
和
大
家
分
享
一
下
,
能
帮
助
到
对
这
方
面
感
兴
趣
的
朋
友
,
如
有
不
足
,
还
请
见
谅
。
前
文
回
顾
W
i
n
d
o
w
s
漏
洞
利
用
开
发
教
程
P
a
r
t
1
W
i
n
d
o
w
s
漏
洞
利
用
开
发
教
程
P
a
r
t
2
:
S
h
o
r
t
J
u
m
p
W
i
n
d
o
w
s
漏
洞
利
用
开
发
教
程
P
a
r
t
3
:
E
g
g
h
u
n
t
e
r
W
i
n
d
o
w
s
漏
洞
利
用
开
发
教
程
P
a
r
t
4
:
S
E
H
二
、
准
备
阶
段
二
、
准
备
阶
段
欢
迎
来
到
W
i
n
d
o
w
s
漏
洞
利
用
开
发
的
第
五
篇
文
章
,
今
天
我
们
将
讨
论
一
种
返
回
导
向
编
程
(
R
O
P
)
技
术
,
该
技
术
通
常
用
于
解
决
被
称
为
数
据
执
行
保
护
(
D
E
P
)
的
安
全
措
施
。
D
E
P
是
数
据
执
行
保
护
的
英
文
缩
写
,
全
称
为
D
a
t
a
E
x
e
c
u
t
i
o
n
P
r
e
v
e
n
t
i
o
n
。
数
据
执
行
保
护
(
D
E
P
)
是
一
套
软
硬
件
技
术
,
能
够
在
内
存
上
执
行
额
外
检
查
以
防
止
在
系
统
上
运
行
恶
意
代
码
。
到
目
前
为
止
,
我
们
一
直
在
使
用
W
i
n
d
o
w
s
X
P
系
统
环
境
来
学
习
如
何
攻
击
具
有
较
少
安
全
机
制
的
操
作
系
统
。
经
过
前
面
的
几
篇
文
章
,
我
们
是
时
候
换
一
套
新
的
系
统
环
境
啦
,
对
于
本
教
程
,
我
们
将
使
用
W
i
n
d
o
w
s
7
系
统
环
境
。
接
下
来
我
们
再
次
在
虚
拟
机
中
安
装
I
m
m
u
n
i
t
y
D
e
b
u
g
g
e
r
,
P
y
t
h
o
n
和
m
o
n
a
.
p
y
。
详
情
请
看
第
一
篇
文
章
。
准
备
就
绪
后
我
们
开
始
学
习
R
O
P
,
目
标
软
件
是
V
U
P
l
a
y
e
r
,
查
看
漏
洞
详
情
或
下
载
存
在
漏
洞
的
软
件
请
看
下
述
链
接
:
在
开
始
之
前
,
我
们
还
需
要
确
保
W
i
n
d
o
w
s
7
虚
拟
机
的
D
E
P
已
打
开
。
打
开
控
制
面
板
,
系
统
和
安
全
-
>
系
统
,
然
后
点
击
高
级
系
统
设
置
点
击
设
置
,
设
置
数
据
执
行
保
护
为
下
图
所
示
三
、
漏
洞
利
用
开
发
分
析
三
、
漏
洞
利
用
开
发
分
析
开
始
和
之
前
是
差
不
多
的
步
骤
,
这
也
是
漏
洞
利
用
开
发
必
不
可
少
的
步
骤
,
所
以
我
们
不
再
做
详
细
介
绍
了
,
只
是
大
致
演
示
一
下
怎
么
分
析
获
取
到
一
些
必
需
的
数
据
。
确
认
漏
洞
确
认
漏
洞
首
先
我
们
肯
定
需
要
编
写
一
个
脚
本
来
生
成
p
a
y
l
o
a
d
测
试
漏
洞
,
这
个
漏
洞
在
之
前
文
章
有
介
绍
过
。
我
们
是
怎
么
简
单
怎
么
来
,
主
要
生
成
一
个
3
0
0
0
字
符
的
测
试
文
件
t
e
s
t
.
m
3
u
使
用
I
m
m
u
n
i
t
y
D
e
b
u
g
g
e
r
打
开
软
件
V
U
P
l
a
y
e
r
.
e
x
e
,
在
打
开
的
对
话
框
中
点
击
f
i
l
e
-
o
p
e
n
p
l
a
y
l
i
s
t
打
开
测
试
文
件
t
e
s
t
.
m
3
u
或
者
将
测
试
文
件
t
e
s
t
.
m
3
u
拖
拽
到
V
U
P
l
a
y
e
r
对
话
框
,
可
以
发
现
E
I
P
被
A
字
符
串
覆
盖
。
E
I
P
o
f
f
s
e
t
接
下
来
就
是
寻
找
E
I
P
的
偏
移
量
,
很
简
单
,
我
们
使
用
m
o
n
a
来
寻
找
生
成
测
试
字
符
:
继
续
上
面
步
骤
后
,
查
看
E
I
P
被
覆
盖
的
值
使
用
m
o
n
a
找
到
偏
移
量
1
0
1
2
J
M
P
E
S
P
接
下
来
就
寻
找
一
个
J
M
P
E
S
P
,
为
什
么
要
寻
找
它
,
前
面
也
介
绍
过
了
,
通
过
将
E
I
P
覆
盖
为
它
的
地
址
跳
出
这
样
就
可
以
非
常
方
便
的
布
局
堆
栈
,
确
保
s
h
e
l
l
c
o
d
e
顺
利
执
行
。
寻
找
J
M
P
E
S
P
的
m
o
n
a
指
令
大
家
还
记
得
吧
这
样
我
们
就
得
到
了
E
I
P
要
覆
盖
的
地
址
0
x
1
0
1
0
5
3
9
f
测
试
代
码
测
试
代
码
现
在
可
以
加
入
模
拟
s
h
e
l
l
c
o
d
e
来
测
试
一
下
是
否
会
顺
利
执
行
s
h
e
l
l
c
o
d
e
使
用
I
m
m
u
n
i
t
y
D
e
b
u
g
g
e
r
打
开
软
件
V
U
P
l
a
y
e
r
.
e
x
e
,
在
打
开
的
对
话
框
中
点
击
f
i
l
e
-
o
p
e
n
p
l
a
y
l
i
s
t
打
开
测
试
文
件
t
e
s
t
.
m
3
u
或
者
将
测
试
文
件
t
e
s
t
.
m
3
u
拖
拽
到
V
U
P
l
a
y
e
r
对
话
框
你
可
以
发
现
我
们
的
s
h
e
l
l
c
o
d
e
并
没
有
执
行
,
如
果
继
续
下
去
程
序
就
会
崩
溃
,
这
是
因
为
数
据
执
行
保
护
(
D
E
P
)
阻
止
了
我
们
s
h
e
l
l
c
o
d
e
的
执
行
从
而
导
致
了
程
序
的
崩
溃
。
但
是
,
我
们
发
现
J
M
P
E
S
P
是
执
行
了
,
所
以
说
我
们
可
以
执
行
一
些
代
码
,
但
这
条
代
码
必
须
是
现
有
的
,
就
像
我
们
之
前
可
以
运
行
的
J
M
P
E
S
P
一
样
,
它
存
在
被
允
许
执
行
的
代
码
段
中
。
这
也
正
是
R
O
P
技
术
的
关
键
所
在
。
四
、
四
、
R
O
P
分
析
及
构
建
分
析
及
构
建
现
在
我
们
来
看
一
下
问
题
的
核
心
是
什
么
,
D
E
P
阻
止
了
操
作
系
统
将
我
们
的
0
x
C
C
解
释
为
I
N
T
指
令
,
而
不
是
它
不
知
道
0
x
C
C
是
什
么
东
西
。
如
果
没
有
D
E
P
,
操
作
系
统
就
会
知
道
0
x
C
C
是
个
I
N
T
指
令
,
然
后
继
续
执
行
这
个
指
令
。
启
用
D
E
P
后
,
某
些
内
存
段
就
会
被
标
记
为
N
O
N
-
E
X
E
C
U
T
A
B
L
E
(
N
X
)
,
意
思
就
是
操
作
系
统
不
会
再
将
数
据
解
释
为
指
令
。
但
是
D
E
P
没
有
说
我
们
不
能
执
行
标
记
为
可
执
行
的
现
有
程
序
指
令
,
比
如
组
成
V
U
P
l
a
y
e
r
程
序
的
代
码
,
这
在
前
面
我
们
可
以
执
行
J
M
P
E
S
P
代
码
就
可
以
看
出
了
,
因
为
该
指
令
是
在
程
序
本
身
中
找
到
的
,
被
标
记
为
可
执
行
,
因
此
程
序
可
以
运
行
。
然
而
我
们
加
入
的
s
h
e
l
l
c
o
d
e
是
新
的
,
所
以
它
被
放
在
了
一
个
标
记
为
不
可
执
行
的
内
存
段
。
R
O
P
思
想
思
想
现
在
我
们
已
经
接
触
到
R
O
P
技
术
的
核
心
了
,
就
是
一
个
面
向
返
回
编
程
技
术
。
核
心
思
想
就
是
收
集
一
些
现
有
的
程
序
汇
编
指
令
,
这
些
指
令
没
有
被
D
E
P
标
记
为
不
可
执
行
,
然
后
将
它
们
链
接
在
一
起
,
告
诉
操
作
系
统
让
我
们
的
s
h
e
l
l
c
o
d
e
区
域
可
执
行
。
我
们
收
集
的
这
些
汇
编
指
令
被
称
为
小
配
件
(
g
a
d
g
e
t
s
)
,
这
些
小
工
具
通
常
是
一
堆
地
址
的
形
式
,
这
些
地
址
指
向
有
用
的
汇
编
指
令
,
然
后
是
返
回
或
R
E
T
指
令
,
以
开
始
执
行
链
中
的
下
一
个
小
配
件
。
这
就
是
为
什
么
它
被
称
为
面
向
返
回
编
程
。
我
们
怎
么
才
能
将
s
h
e
l
l
c
o
d
e
区
域
标
记
为
可
执
行
呢
?
在
W
i
n
d
o
w
s
操
作
有
很
多
办
法
,
本
文
我
们
将
使
用
V
i
r
t
u
a
l
P
r
o
t
e
c
t
(
)
函
数
,
想
详
细
了
解
这
个
函
数
请
看
下
述
链
接
:
介
绍
完
理
论
,
现
在
我
们
就
要
来
实
战
构
建
。
构
建
构
建
R
O
P
C
h
a
i
n
首
先
,
我
们
来
看
看
想
成
功
执
行
V
i
r
t
u
a
l
P
r
o
t
e
c
t
(
)
函
数
,
需
要
哪
些
参
数
:
了
解
完
参
数
,
我
们
分
析
看
看
这
些
参
数
怎
么
设
置
,
l
p
A
d
d
r
e
s
s
参
数
肯
定
设
置
为
我
们
s
h
e
l
l
c
o
d
e
,
d
w
S
i
z
e
设
置
为
0
x
2
0
1
,
f
l
N
e
w
P
r
o
t
e
c
t
设
置
为
0
x
4
0
(
常
数
,
具
体
看
下
述
链
接
)
,
最
后
设
置
l
p
f
l
O
l
d
P
r
o
t
e
c
t
为
任
何
静
态
可
写
的
位
置
。
接
下
来
调
用
我
们
刚
刚
设
置
的
V
i
r
t
u
a
l
P
r
o
t
e
c
t
(
)
函
数
就
行
了
。
首
先
,
让
我
们
找
到
小
配
件
来
构
建
V
i
r
t
u
a
l
P
r
o
t
e
c
t
(
)
函
数
所
需
的
参
数
,
点
击
e
来
获
取
属
于
V
U
P
l
a
y
e
r
的
可
执
行
模
块
。
要
从
我
们
选
择
的
模
块
找
到
可
用
小
配
件
列
表
,
您
可
以
在
M
o
n
a
中
使
用
以
下
命
令
:
查
看
M
o
n
a
生
成
的
r
o
p
_
s
u
g
g
e
s
t
i
o
n
s
.
t
x
t
和
r
o
p
.
t
x
t
文
件
让
我
们
来
构
建
R
O
P
c
h
a
i
n
首
先
,
让
我
们
出
栈
一
个
值
到
E
B
P
中
,
后
面
调
用
P
U
S
H
A
D
:
通
过
取
反
得
到
值
0
x
2
0
1
,
然
后
将
值
放
入
到
E
B
X
寄
存
器
,
作
为
参
数
d
w
S
i
z
e
的
值
接
下
来
,
同
样
道
理
得
到
值
0
x
4
0
,
然
后
将
值
放
入
到
E
D
X
寄
存
器
,
作
为
参
数
f
l
N
e
w
P
r
o
t
e
c
t
的
值
然
后
我
们
需
要
找
到
一
个
可
写
位
置
地
址
,
然
后
将
值
放
入
寄
存
器
E
C
X
中
,
作
为
参
数
l
p
f
l
O
l
d
P
r
o
t
e
c
t
的
值
为
了
等
下
调
用
调
用
P
U
S
H
A
D
,
我
们
将
一
些
值
放
入
到
E
D
I
和
E
S
I
寄
存
器
中
最
后
,
我
们
放
入
函
数
V
i
r
t
u
a
l
P
r
o
t
e
c
t
(
)
的
地
址
来
进
行
调
用
,
E
A
X
寄
存
器
的
值
就
是
0
x
1
0
6
0
e
2
5
c
接
下
来
就
很
简
单
了
,
将
我
们
设
置
的
V
i
r
t
u
a
l
P
r
o
t
e
c
t
(
)
的
寄
存
器
压
入
堆
栈
,
直
接
用
了
P
U
S
H
A
D
和
J
M
P
E
S
P
,
P
U
S
H
A
D
压
入
堆
栈
,
J
M
P
E
S
P
转
到
执
行
。
P
U
S
H
A
D
将
按
以
下
顺
序
将
寄
存
器
值
放
在
堆
栈
上
:
E
A
X
、
E
C
X
、
E
D
X
、
E
B
X
、
E
S
P
,
E
B
P
,
E
S
I
,
E
D
I
。
P
y
t
h
o
n
:
五
、
漏
洞
利
用
开
发
实
现
五
、
漏
洞
利
用
开
发
实
现
再
写
脚
本
之
前
,
我
们
要
注
意
一
下
,
现
在
我
们
要
覆
盖
的
E
I
P
地
址
只
需
要
跳
转
过
去
马
上
回
来
就
行
了
,
所
以
我
们
直
接
找
个
R
E
T
N
指
令
地
址
就
行
啦
。
经
过
上
面
的
分
析
,
实
现
起
来
就
很
简
单
了
,
具
体
请
看
下
面
代
码
和
注
释
:
使
用
I
m
m
u
n
i
t
y
D
e
b
u
g
g
e
r
打
开
软
件
V
U
P
l
a
y
e
r
.
e
x
e
,
在
打
开
的
对
话
框
中
点
击
f
i
l
e
-
o
p
e
n
p
l
a
y
l
i
s
t
打
开
测
试
文
件
t
e
s
t
.
m
3
u
或
者
将
测
试
文
件
t
e
s
t
.
m
3
u
拖
拽
到
V
U
P
l
a
y
e
r
对
话
框
,
s
h
e
l
l
c
o
d
e
成
功
执
行
。
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
漏洞