首页
社区
课程
招聘
[讨论]超星阅读器漏洞在winXP sp3上的利用
发表于: 2010-9-3 14:31 8792

[讨论]超星阅读器漏洞在winXP sp3上的利用

2010-9-3 14:31
8792

软件:超星阅读器4
平台:winXP sp3
漏洞函数为pdg2组件中LoadPage(BSTR URL, long x, long y, single Zoom);
其中,第一个参数是我们要加载的pdg文件的路径,该字符串过长超过256字符将导致溢出!!
poc为:
<SCRIPT language=javascript>
function chaoxing()
{
    huihuiqi.LoadPage("256个以上字节的字符串", 1, 1, 0);
}
</script>
<object classid = "clsid:7F5E27CE-4A5C-11D3-9232-0000B48A05B2"
name="huihuiqi">
</object>
<script>javascript:chaoxing();</script>
用OD分析之后想在xp sp3下利用
我是写的exp脚本在metasploit中生成恶意文件,可总是利用不成功!
在win2k下可以成功
大家讨论下,是因为sp3加了更多的安全机制所致吗?如何绕过呢……
欢迎交流,目前正在尝试中!!


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (14)
雪    币: 1491
活跃值: (985)
能力值: (RANK:860 )
在线值:
发帖
回帖
粉丝
2
看你描述的情况,有可能引起的是堆溢出,
这样才能在WIN2K下可以利用,XP下则无法利用的出现
2010-9-3 16:00
0
雪    币: 275
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
调试发现,是超长字符串覆盖了函数返回地址,导致的异常,所以我想应该不是堆溢出~!
2010-9-6 08:47
0
雪    币: 1491
活跃值: (985)
能力值: (RANK:860 )
在线值:
发帖
回帖
粉丝
4
那你需要在WINXP下重新跟一遍了
应该是堆栈分配和WIN2K不一样
2010-9-6 09:44
0
雪    币: 181
活跃值: (27)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
是不是加入了安全cookie
2010-9-6 10:05
0
雪    币: 275
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
一直都是在winXP上跟的,也是根据winXP上的分析,写的利用脚本
返回地址处用的jmp esp地址,这个地址是在pdg2.dll中找的
所以生成的exploit.html文件无需修改放到win2k上成功利用……
在winXP上面还是不行
2010-9-6 10:33
0
雪    币: 275
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
如果加入了安全cookie,那么不等执行到返回地址,就应该出错退出了
本例子是执行到返回地址41414141出错的
所以我觉得没有安全cookie的问题
不知我的分析是否正确
2010-9-6 10:35
0
雪    币: 1491
活跃值: (985)
能力值: (RANK:860 )
在线值:
发帖
回帖
粉丝
8
41414141这个地址本来就是要出错的,
你把41手动修改成你shellcode的地址,看能否执行shellcode
如果可以,就是你EXP写的有问题了
2010-9-6 16:58
0
雪    币: 267
活跃值: (24)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
9
把dll放上来~
2010-9-7 21:10
0
雪    币: 4
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
今天终于成正式会员了···高兴啊 ···
2010-9-7 23:35
0
雪    币: 275
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
传上来啦!
上传的附件:
2010-9-8 15:03
0
雪    币: 275
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
谢谢哦!
我改用heapspray技术,利用成功咯……
至于为什么jmp esp方式在sp3下不成功,我还在思考!
2010-9-8 15:10
0
雪    币: 209
活跃值: (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
有个问题我一直不明白,为什么heapspray多是用于IE系列的?如果用于Firefox可以吗?Firefox的堆空间是不是不可以执行的?
2010-9-9 21:39
0
雪    币: 29
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
学习了!
2010-9-10 01:42
0
雪    币: 275
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
Firefox等和微软的IE实现机制有不同,可能在Firefox里面,变量分配空间不是像JS里面在堆上连续分配的,所以heapspray就不太灵验!我们可以研究下Firefox,或许能有所发现^_^
2010-9-10 13:47
0
游客
登录 | 注册 方可回帖
返回
//