|
|
|---|---|
|
|
|
|
|
呵呵,谢谢小聪指点。立本贴的目的就是把爱迪生最先的那个小板凳拿出来让大家批判。至于得精不得精倒是小事,能引起大家讨论才好,仅仅怀疑论的回帖倒不如,直接对文中思路进行批判来得猛烈。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
啊,第一次溢出成功啊,很去有趣的啦
我的WIN7下地址是0012FC44  |
|
|
|
|
|
|
|
|
LuckyG会员
你知道你这样的回帖  Программное обеспечение выпуска и Windows Crack Обучение |
|
|
|
|
|
我个人还是觉得,在发现了利用的原理并完成了像这样的POC之后,进一步考虑的,应该是如何抛弃对栈地址的硬编码,利用系统dll中已存在的指令稳定地跳到堆栈的shellcode中,从而使得在所有XP SP3系统都能基本实现正常触发。
但是现在大家贴出来的讨论好像大多数集中在怎么优化shellcode的内容使之更短小上,我是觉得如果正常触发的适用性无法保证的话,就很可能连前五十分都拿不到。 为了避免依赖具体堆栈范围,我当时想过一个思路,但是没有完全做成: 我是从后推到前面。 首先假设我们可以指挥call [edx]跳到我们想要的地址。 这样我们首先考虑要跳到哪个地址,即call进去的第一条指令要干嘛。 注意我这里不能直接跳到堆栈里的shellcode,因为我假设不知道堆栈的范围。这样就必须利用对esp的操作指令。 注意到call [edx]进入后,此时esp+28h开始就是原exploitme.dat文件的内容,即我们可以控制的。 因此,我想到,我们可以找到系统dll中的这样一个命令序列: add esp, xx retn yy 其中xx不小于28h,xx+yy+4-28h不大于7Eh。 找到了这样一条指令作为call [edx]的目标,则我们就可以在exploitme.dat的相应位置(xx-28h处)指定该指令retn的地址。 只要这个retn的目标指定为一条jmp esp指令,则这样retn之后经过jmp esp就进入了exploitme.dat相应位置(xx+yy+4)使该位置的shellcode指令得到执行的机会。 这两种需要的指令都可以找到,前者在USP10.DLL有好几个add esp 28, retn yy的指令,刚好满足要求,后者jmp esp指令则是大家在漏洞利用中很常用的,自然也有。因此这部分问题都有可能解决。 于是剩下的是要进入这个流程,即要找到一个可以填充进[esp+A4]的地址(不能是在堆栈,只能是在进程模块空间找一个已存在的),使得[[esp+A4]]的值刚好是前面所说的add esp 28, retn yy指令的地址。这样就可以实现整个流程: [esp+A4](可控制)进入edx->[edx]为add esp 28, retn yy指令->执行add esp 28, retn yy(用于retn的返回地址可控制)->retn到jmp esp指令->jmp esp指令执行,最终进入堆栈中的shellcode。 以上是我想的思路。 实际过程中,当时我是20日半夜才看到这题目,花了一些时间找了一下,我找到了USP10.DLL中的几条add esp 28, retn yy的指令和user32.dll中的jmp esp指令,但是搜索了一下,在可执行模块中没有找到能够刚好保存有那几条add esp 28, retn yy指令的地址的可用指针。 到此我没有在继续找下去,因此我最终没有完成实现这个思路。 因为我当时时间有限,也不是奔着比赛来的,就只是想一想,一时没有完全搞通,就没有在搞下去了,不知道类似这样的思路是否有人实现了。我也很想知道有没有其他的思路能够更容易地实现,因为我这个思路毕竟跳板用得多了点,还要多少靠点运气来碰上。 我把自己不成熟的想法分享出来,也是希望大家能像楼主希望的那样讨论起来。 对我自己而言,漏洞分析过几个,但是着重于漏洞产生原因,而并没有把重点放在怎么应用上,所以这些跳板地址也是从没有储备,都是临时找的,这样在时效和稳定性上肯定要吃亏,毕竟不是成熟的漏洞利用者啊。
|
|
|
|
|
|
|
