[翻译]Exploit 编写系列教程第三篇_基于SEH的Exploit（+3b）-外文翻译-看雪-安全社区|安全招聘|kanxue.com

[翻译]Exploit 编写系列教程第三篇_基于SEH的Exploit（+3b）

发表于: 2009-11-26 23:13 50159

[翻译]Exploit 编写系列教程第三篇_基于SEH的Exploit（+3b）

moonife

2009-11-26 23:13

50159

又学到东西了

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

Exploit 编写系列教程第三篇_基于SEH的Exploit.rar （945.91kb，2023次下载）
Exploit编写教程第三篇b：基于SEH的Exploit-又一个实例.pdf （417.79kb，2051次下载）

收藏・15

免费・7

支持

最新回复 (33) 1 2 ▶
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 133 回帖 852 粉丝 5 关注私信	moonife 8 2 楼我写了一个简单的例子来演示文章作者所使用的关键技术，阅读本篇的朋友可以先用OD跟踪下下面代码出来的程序，用这个配合着阅读文章，就应该不会被作者翻来覆去的讲解弄晕了呵呵 .386 .model flat, stdcall option casemap :none ;==================================== include windows.inc include user32.inc includelib user32.lib include kernel32.inc includelib kernel32.lib ;==================================== .data szCap db "By:moonife",0 szInfo db "SEH Based Exploit Demo...",0 szMsg db "Nothing...",0 ;==================================== .code Start: ASSUME FS:NOTHING push offset SEH_Handler ;这里写这个纯粹是为了展示不然可以直接安装Fake_Handler push fs:[0] mov fs:[0],esp ;安装SEH ;==================================== ;下面模拟缓冲区覆盖过程 mov DWORD ptr[esp],909006EBh ;覆盖 “next SEH”为 jmp $+6 / nop / nop mov DWORD ptr[esp+4],offset Fake_Handler ;覆盖“SE Handler”为指向pop pop ret指令串的指针 mov BYTE ptr[esp+8],0E9h ;相当于向缓冲区中写入shellcode lea ebx,[esp+8] mov eax,offset FakeShellcode-5 sub eax,ebx mov DWORD ptr[esp+9],eax ;这里写入的“shellcode”为 jmp FakeShellcode ;==================================== xor eax,eax mov [eax],eax ;制造异常并跳到SEH_Handler进行处理 invoke MessageBox,NULL,addr szMsg,addr szCap,MB_OK ;这里不会被执行了 pop fs:[0] add esp,4 invoke ExitProcess,NULL ;==================================== SEH_Handler: invoke MessageBox,NULL,addr szMsg,addr szCap,MB_OK mov eax,1 ;ExceptionContinueSearch 不处理,需要其他例程或系统接着处理 ret ;==================================== Fake_Handler: ;pop pop ret 指令串 OD跟踪的时候在这里下个断，然后单步 pop edi pop esi ret ;==================================== FakeShellcode: invoke MessageBox,NULL,addr szInfo,addr szCap,MB_OK invoke ExitProcess,NULL ;==================================== end Start 2009-11-26 23:17 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 3 楼还是perl 明了简单啊，编写exploit，perl当属精品！ 2009-11-26 23:23 0
dge 雪币： 622 活跃值： (65) 能力值： ( LV13，RANK：290 ) 在线值：发帖 11 回帖 251 粉丝 3 关注私信	dge 6 4 楼太速度了，俺得加油了。 2009-11-27 11:01 0
宋梅雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	宋梅 5 楼学习中呀，总觉得好难 2009-11-27 12:03 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 6 楼回复dge:你那篇是本专题的精华所在，也是内容最长的一篇，慢慢翻译，保证质量，呵呵… 2009-11-27 13:17 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 7 楼请教一个问题，这个是异常的过程 _SEHHandler proc _lpExceptionRecord,_lpSEH,_lpContext,_lpDispatcherContext pushad mov esi,_lpExceptionRecord mov edi,_lpContext assume esi:ptr EXCEPTION_RECORD,edi:ptr CONTEXT mov eax,_lpSEH push [eax + 0ch] pop [edi].regEbp push [eax + 8] pop [edi].regEip push eax pop [edi].regEsp assume esi:nothing,edi:nothing popad mov eax,ExceptionContinueExecution ret _SEHHandler endp 下面是安装的： assume fs:nothing push ebp lea eax,[ebx + offset _Error] push eax lea eax,[ebx + offset _SEHHandler] push eax push fs:[0] mov fs:[0],esp ;******** t调试的时候红体字部分总是 mov eax，FFFFFFF 00401041 \|. 8B45 0C MOV EAX,DWORD PTR SS:[EBP+C] 有可能出现的问题在哪呢？，异常处理程序自己异常了在此感谢lz的热心翻译及帮助 2009-11-27 13:29 0
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 133 回帖 852 粉丝 5 关注私信	moonife 8 8 楼我没看出什么你这样写是做什么呢？ 2009-11-28 13:54 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 9 楼就是一个堆栈本来的应是有数据的，但是现在变成了FFFFFFFF，可能有哪些原因呢，像这个提问的 mov eax,_lpSEH 应该是：_lpSEH应该是指向一个结构的地址的 MOV EAX,DWORD PTR SS:[EBP+C]（反汇编中的mov eax,_lpSEH的表示）但是DWORD PTR SS:[EBP+C]传递的却是FFFFFFFF 2009-11-28 13:59 0
笨l笨雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 99 粉丝 0 关注私信	笨l笨 10 楼楼主太负责了，支持@@@ 2009-12-5 09:07 0
疯子鱼雪币： 358 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 259 粉丝 0 关注私信	疯子鱼 11 楼感谢辛勤劳动的楼主 2009-12-9 10:43 0
atmitnick 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 15 粉丝 0 关注私信	atmitnick 12 楼 [QUOTE=instruder;718857]就是一个堆栈本来的应是有数据的，但是现在变成了FFFFFFFF，可能有哪些原因呢，像这个提问的 mov eax,_lpSEH 应该是：_lpSEH应该是指向一个结构的地址的 MOV EAX,DWORD PTR SS:[EBP+C]（反汇编中的mov eax,_lpSEH的表示） ...[/QUOTE] 你跟过头了吧，怎么变成值了。 2009-12-11 03:44 0
痞子陈雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	痞子陈 13 楼感谢楼主，正在学习这一段 2009-12-12 13:41 0
醉罪雪币： 249 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 58 粉丝 0 关注私信	醉罪 14 楼支持下嘿嘿 2010-4-22 17:20 0
醉罪雪币： 249 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 58 粉丝 0 关注私信	醉罪 15 楼纠正个错别字..P15 “在windows xp sp1之前，为了执行shellcode你可以直接跳到寄存器。但sp1和更搞版本系统 ” 是“更高”吧.... 2010-4-22 18:42 0
linquid 雪币： 154 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	linquid 16 楼从第三篇开始难度略微增加了 2010-4-27 13:59 0
YagerM 雪币： 233 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 34 粉丝 0 关注私信	YagerM 1 17 楼始终没弄明白为什么就刚好需要pop/pop/ret呢？有人能稍微详细的讲一下吗，文章里讲的比较少，-moonife兄的例子也调试了下，但是始终没搞懂为什么。 2010-11-6 23:07 0
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 133 回帖 852 粉丝 5 关注私信	moonife 8 18 楼 pop 弹出Ntdll模块中调用SEH回调函数时压入的返回地址 pop 弹出SEH回调函数参数一：lpExceptionRecord ret 把参数二lpSEH弹到EIP中这个参数就是前面我们注册的EXCEPTION_REGISTRATION结构地址了可以看下罗云彬的win32汇编的14章讲得比较细的 ; SEH Handler 异常处理程序 ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> _Handler proc C _lpExceptionRecord,_lpSEH,_lpContext,_lpDispatcherContext local @szBuffer[256]:byte pushad mov esi,_lpExceptionRecord mov edi,_lpContext assume esi:ptr EXCEPTION_RECORD,edi:ptr CONTEXT invoke wsprintf,addr @szBuffer,addr szMsg,\ [edi].regEip,[esi].ExceptionCode,[esi].ExceptionFlags invoke MessageBox,NULL,addr @szBuffer,NULL,MB_OK mov [edi].regEip,offset _SafePlace assume esi:nothing,edi:nothing popad mov eax,ExceptionContinueExecution ret _Handler endp ; 在堆栈中构造一个 EXCEPTION_REGISTRATION 结构 ;******************************************************************** assume fs:nothing push offset _Handler push fs:[0] mov fs:[0],esp 2010-11-7 00:23 0
wingdbg 雪币： 393 活跃值： (150) 能力值： (RANK：110 ) 在线值：发帖 10 回帖 153 粉丝 9 关注私信	wingdbg 2 19 楼哪位大虾能提供一下Millenium MP3 Studio 1.0的安装文件啊，为了做学Expoit编写3，找遍了网络。都是2.0的版本。 2010-12-6 08:45 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 20 楼直接上作者网站上下载： http://www.corelan.be:8800/index.php/2009/07/28/seh-based-exploit-writing-tutorial-continued-just-another-example-part-3b/ 不过要注册后才能下载 2010-12-6 13:06 0
wufenjack 雪币： 219 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 76 粉丝 0 关注私信	wufenjack 21 楼请问谁研究教程三b后面的练习题了 http://www.corelan.be:8800/index.php/forum/writing-exploits/exploit-for-m3u-file-eip-overwrite-additional-excercise-of-tutorial-3-part-b/ 好像给出了答案，但是没太分析明白，请大牛帮忙解答下？没看明白是覆盖EIP还是SEH法 2010-12-15 15:55 0
wufenjack 雪币： 219 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 76 粉丝 0 关注私信	wufenjack 22 楼刚刚又调了调，赶紧跟贴，呵呵我用了2064个0x61填充(2064包含http://)，运行没有异常，而是EIP直接被覆盖了，而刚才是用了大概2300个0x61填充就会报异常，这两个漏洞直接有联系吗？被整迷糊了，向大牛求解 2010-12-15 16:17 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 23 楼具体要用多少个垃圾字符去填充，视你自己的系统环境而定，并不是像教程上面那样固定不变的，教程上面的exploit在中文的系统上很多情况下是不能用的，你得自己编写出属于自己系统的exploit。 2010-12-15 17:33 0
wufenjack 雪币： 219 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 76 粉丝 0 关注私信	wufenjack 24 楼嗯，后面的调试就是我自己填数据测试的，也写出exploit了！但是我如果再多填写一些数据就会出现跟教程3b一样的情况了，是覆盖SEH了。不知道这两种情况之间有没有啥联系？ 2010-12-16 16:05 0
lwtpla 雪币： 129 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 27 粉丝 0 关注私信	lwtpla 25 楼我就纳闷了我在SP3的环境下找到了溢出点SEH HANDLE 然后用POP POP RET地址填充，其中POP POP RET的地址是程序自带的xaudio.dll，而且还是用OD插件OllySSeh查找的。其它都是垃圾字节，但是断下来之后为什么那个POP POP RET地址会被修改了呢？？ 2010-12-16 16:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

moonife

133

发帖

852

回帖

350

RANK

关注

私信

他的文章

[注意]邀请码发放公布（06.15~07.14） 7206

关于我们

联系我们

企业服务

看雪公众号

最新回复 (33) 1 2 ▶
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 133 回帖 852 粉丝 5 关注私信	moonife 8 2 楼我写了一个简单的例子来演示文章作者所使用的关键技术，阅读本篇的朋友可以先用OD跟踪下下面代码出来的程序，用这个配合着阅读文章，就应该不会被作者翻来覆去的讲解弄晕了呵呵 .386 .model flat, stdcall option casemap :none ;==================================== include windows.inc include user32.inc includelib user32.lib include kernel32.inc includelib kernel32.lib ;==================================== .data szCap db "By:moonife",0 szInfo db "SEH Based Exploit Demo...",0 szMsg db "Nothing...",0 ;==================================== .code Start: ASSUME FS:NOTHING push offset SEH_Handler ;这里写这个纯粹是为了展示不然可以直接安装Fake_Handler push fs:[0] mov fs:[0],esp ;安装SEH ;==================================== ;下面模拟缓冲区覆盖过程 mov DWORD ptr[esp],909006EBh ;覆盖 “next SEH”为 jmp $+6 / nop / nop mov DWORD ptr[esp+4],offset Fake_Handler ;覆盖“SE Handler”为指向pop pop ret指令串的指针 mov BYTE ptr[esp+8],0E9h ;相当于向缓冲区中写入shellcode lea ebx,[esp+8] mov eax,offset FakeShellcode-5 sub eax,ebx mov DWORD ptr[esp+9],eax ;这里写入的“shellcode”为 jmp FakeShellcode ;==================================== xor eax,eax mov [eax],eax ;制造异常并跳到SEH_Handler进行处理 invoke MessageBox,NULL,addr szMsg,addr szCap,MB_OK ;这里不会被执行了 pop fs:[0] add esp,4 invoke ExitProcess,NULL ;==================================== SEH_Handler: invoke MessageBox,NULL,addr szMsg,addr szCap,MB_OK mov eax,1 ;ExceptionContinueSearch 不处理,需要其他例程或系统接着处理 ret ;==================================== Fake_Handler: ;pop pop ret 指令串 OD跟踪的时候在这里下个断，然后单步 pop edi pop esi ret ;==================================== FakeShellcode: invoke MessageBox,NULL,addr szInfo,addr szCap,MB_OK invoke ExitProcess,NULL ;==================================== end Start 2009-11-26 23:17 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 3 楼还是perl 明了简单啊，编写exploit，perl当属精品！ 2009-11-26 23:23 0
dge 雪币： 622 活跃值： (65) 能力值： ( LV13，RANK：290 ) 在线值：发帖 11 回帖 251 粉丝 3 关注私信	dge 6 4 楼太速度了，俺得加油了。 2009-11-27 11:01 0
宋梅雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	宋梅 5 楼学习中呀，总觉得好难 2009-11-27 12:03 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 6 楼回复dge:你那篇是本专题的精华所在，也是内容最长的一篇，慢慢翻译，保证质量，呵呵… 2009-11-27 13:17 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 7 楼请教一个问题，这个是异常的过程 _SEHHandler proc _lpExceptionRecord,_lpSEH,_lpContext,_lpDispatcherContext pushad mov esi,_lpExceptionRecord mov edi,_lpContext assume esi:ptr EXCEPTION_RECORD,edi:ptr CONTEXT mov eax,_lpSEH push [eax + 0ch] pop [edi].regEbp push [eax + 8] pop [edi].regEip push eax pop [edi].regEsp assume esi:nothing,edi:nothing popad mov eax,ExceptionContinueExecution ret _SEHHandler endp 下面是安装的： assume fs:nothing push ebp lea eax,[ebx + offset _Error] push eax lea eax,[ebx + offset _SEHHandler] push eax push fs:[0] mov fs:[0],esp ;******** t调试的时候红体字部分总是 mov eax，FFFFFFF 00401041 \|. 8B45 0C MOV EAX,DWORD PTR SS:[EBP+C] 有可能出现的问题在哪呢？，异常处理程序自己异常了在此感谢lz的热心翻译及帮助 2009-11-27 13:29 0
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 133 回帖 852 粉丝 5 关注私信	moonife 8 8 楼我没看出什么你这样写是做什么呢？ 2009-11-28 13:54 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 9 楼就是一个堆栈本来的应是有数据的，但是现在变成了FFFFFFFF，可能有哪些原因呢，像这个提问的 mov eax,_lpSEH 应该是：_lpSEH应该是指向一个结构的地址的 MOV EAX,DWORD PTR SS:[EBP+C]（反汇编中的mov eax,_lpSEH的表示）但是DWORD PTR SS:[EBP+C]传递的却是FFFFFFFF 2009-11-28 13:59 0
笨l笨雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 99 粉丝 0 关注私信	笨l笨 10 楼楼主太负责了，支持@@@ 2009-12-5 09:07 0
疯子鱼雪币： 358 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 259 粉丝 0 关注私信	疯子鱼 11 楼感谢辛勤劳动的楼主 2009-12-9 10:43 0
atmitnick 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 15 粉丝 0 关注私信	atmitnick 12 楼 [QUOTE=instruder;718857]就是一个堆栈本来的应是有数据的，但是现在变成了FFFFFFFF，可能有哪些原因呢，像这个提问的 mov eax,_lpSEH 应该是：_lpSEH应该是指向一个结构的地址的 MOV EAX,DWORD PTR SS:[EBP+C]（反汇编中的mov eax,_lpSEH的表示） ...[/QUOTE] 你跟过头了吧，怎么变成值了。 2009-12-11 03:44 0
痞子陈雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	痞子陈 13 楼感谢楼主，正在学习这一段 2009-12-12 13:41 0
醉罪雪币： 249 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 58 粉丝 0 关注私信	醉罪 14 楼支持下嘿嘿 2010-4-22 17:20 0
醉罪雪币： 249 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 58 粉丝 0 关注私信	醉罪 15 楼纠正个错别字..P15 “在windows xp sp1之前，为了执行shellcode你可以直接跳到寄存器。但sp1和更搞版本系统 ” 是“更高”吧.... 2010-4-22 18:42 0
linquid 雪币： 154 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	linquid 16 楼从第三篇开始难度略微增加了 2010-4-27 13:59 0
YagerM 雪币： 233 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 34 粉丝 0 关注私信	YagerM 1 17 楼始终没弄明白为什么就刚好需要pop/pop/ret呢？有人能稍微详细的讲一下吗，文章里讲的比较少，-moonife兄的例子也调试了下，但是始终没搞懂为什么。 2010-11-6 23:07 0
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 133 回帖 852 粉丝 5 关注私信	moonife 8 18 楼 pop 弹出Ntdll模块中调用SEH回调函数时压入的返回地址 pop 弹出SEH回调函数参数一：lpExceptionRecord ret 把参数二lpSEH弹到EIP中这个参数就是前面我们注册的EXCEPTION_REGISTRATION结构地址了可以看下罗云彬的win32汇编的14章讲得比较细的 ; SEH Handler 异常处理程序 ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> _Handler proc C _lpExceptionRecord,_lpSEH,_lpContext,_lpDispatcherContext local @szBuffer[256]:byte pushad mov esi,_lpExceptionRecord mov edi,_lpContext assume esi:ptr EXCEPTION_RECORD,edi:ptr CONTEXT invoke wsprintf,addr @szBuffer,addr szMsg,\ [edi].regEip,[esi].ExceptionCode,[esi].ExceptionFlags invoke MessageBox,NULL,addr @szBuffer,NULL,MB_OK mov [edi].regEip,offset _SafePlace assume esi:nothing,edi:nothing popad mov eax,ExceptionContinueExecution ret _Handler endp ; 在堆栈中构造一个 EXCEPTION_REGISTRATION 结构 ;******************************************************************** assume fs:nothing push offset _Handler push fs:[0] mov fs:[0],esp 2010-11-7 00:23 0
wingdbg 雪币： 393 活跃值： (150) 能力值： (RANK：110 ) 在线值：发帖 10 回帖 153 粉丝 9 关注私信	wingdbg 2 19 楼哪位大虾能提供一下Millenium MP3 Studio 1.0的安装文件啊，为了做学Expoit编写3，找遍了网络。都是2.0的版本。 2010-12-6 08:45 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 20 楼直接上作者网站上下载： http://www.corelan.be:8800/index.php/2009/07/28/seh-based-exploit-writing-tutorial-continued-just-another-example-part-3b/ 不过要注册后才能下载 2010-12-6 13:06 0
wufenjack 雪币： 219 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 76 粉丝 0 关注私信	wufenjack 21 楼请问谁研究教程三b后面的练习题了 http://www.corelan.be:8800/index.php/forum/writing-exploits/exploit-for-m3u-file-eip-overwrite-additional-excercise-of-tutorial-3-part-b/ 好像给出了答案，但是没太分析明白，请大牛帮忙解答下？没看明白是覆盖EIP还是SEH法 2010-12-15 15:55 0
wufenjack 雪币： 219 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 76 粉丝 0 关注私信	wufenjack 22 楼刚刚又调了调，赶紧跟贴，呵呵我用了2064个0x61填充(2064包含http://)，运行没有异常，而是EIP直接被覆盖了，而刚才是用了大概2300个0x61填充就会报异常，这两个漏洞直接有联系吗？被整迷糊了，向大牛求解 2010-12-15 16:17 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 23 楼具体要用多少个垃圾字符去填充，视你自己的系统环境而定，并不是像教程上面那样固定不变的，教程上面的exploit在中文的系统上很多情况下是不能用的，你得自己编写出属于自己系统的exploit。 2010-12-15 17:33 0
wufenjack 雪币： 219 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 76 粉丝 0 关注私信	wufenjack 24 楼嗯，后面的调试就是我自己填数据测试的，也写出exploit了！但是我如果再多填写一些数据就会出现跟教程3b一样的情况了，是覆盖SEH了。不知道这两种情况之间有没有啥联系？ 2010-12-16 16:05 0
lwtpla 雪币： 129 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 27 粉丝 0 关注私信	lwtpla 25 楼我就纳闷了我在SP3的环境下找到了溢出点SEH HANDLE 然后用POP POP RET地址填充，其中POP POP RET的地址是程序自带的xaudio.dll，而且还是用OD插件OllySSeh查找的。其它都是垃圾字节，但是断下来之后为什么那个POP POP RET地址会被修改了呢？？ 2010-12-16 16:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复