[分享][第一阶段第一题]ExploitMe.exe源代码-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[分享][第一阶段第一题]ExploitMe.exe源代码

发表于: 2010-10-21 08:12 9497

[分享][第一阶段第一题]ExploitMe.exe源代码

晕菜菜

2010-10-21 08:12

9497

#include <windows.h>

typedef int (WINAPI *FnMessageBoxA)(HWND hWnd , LPCSTR lpText, LPCSTR lpCaption, UINT uType);
typedef int (WINAPI *FnMessageBoxW)(HWND hWnd , LPCWSTR lpText, LPCWSTR lpCaption, UINT uType);

FnMessageBoxW        pfnMessageBoxW;
FnMessageBoxA        pfnMessageBoxA;

class A
{
public:
    virtual void fn()
    {
        Sleep(1);
    }

    char data[128];
};

class B
{
public:
    virtual void fn()
    {
        pfnMessageBoxW(NULL, L"Fail", L"ExploitMe", MB_OK);
    }

    char data[128];
};

int ExploitMe()
{
    volatile int         nResult = 0;
    HANDLE               hHeap;
    HANDLE               hFile;
    DWORD                NumberOfBytesRead = 0;
    A                    a;
    B                    b;
    char                 buf[512];
    LPVOID               pHeapBuf;

    hHeap = HeapCreate(0, 0x1000, 0x10000);
    pHeapBuf = HeapAlloc(hHeap, 0, sizeof(buf));
    hFile = CreateFile("exploit.dat", GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
    if (INVALID_HANDLE_VALUE != hFile)
    {
        DWORD dwFileSize = GetFileSize(hFile, NULL);
        if (dwFileSize <= sizeof(buf))
        {
            ReadFile(hFile, buf, dwFileSize, &NumberOfBytesRead, NULL);
            memcpy(pHeapBuf, buf, dwFileSize);
            ZeroMemory(buf, sizeof(buf));

            HMODULE hMod = LoadLibrary("user32.dll");
            pfnMessageBoxW = (FnMessageBoxW)GetProcAddress(hMod, "MessageBoxW");
            pfnMessageBoxA = (FnMessageBoxA)GetProcAddress(hMod, "MessageBoxA");

            if (dwFileSize <= sizeof(a))
                memcpy(&a.data, pHeapBuf, dwFileSize);
            HeapFree(hHeap, HEAP_NO_SERIALIZE, pHeapBuf);
            ZeroMemory(pHeapBuf, sizeof(a.data));

            if (dwFileSize <= sizeof(b))
                memcpy(&b.data, pHeapBuf, dwFileSize);

            A* pa = &a;
            B* pb = &b;
            pa->fn();
            pb->fn();
        }
        nResult = 1;
    }

    if (hFile)
        CloseHandle(hFile);
    if (pHeapBuf)
        HeapFree(hHeap, HEAP_NO_SERIALIZE, pHeapBuf);
    if (hHeap)
        HeapDestroy(hHeap);

    return nResult;
}

int main(int argc, char* argv[])
{
    if (ExploitMe())
        return 0;
    else
        return -1;
}

[课程]Linux pwn 探索篇！

#调试逆向

收藏・3

免费・7

支持

最新回复 (18)
龙在江湖雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 7 粉丝 0 关注私信	龙在江湖 2 楼学习..... 2010-10-21 08:55 0
tjszlqq 雪币： 1185 活跃值： (2041) 能力值： ( LV4，RANK：50 ) 在线值：发帖 46 回帖 876 粉丝 2 关注私信	tjszlqq 1 3 楼强大啊，这么快逆出源码了。 2010-10-21 09:21 0
钢仔雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	钢仔 4 楼 very good，学习了 2010-10-21 09:50 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 5 楼想不明白为什么 memcpy(&a.data, pHeapBuf, dwFileSize); 这个不会溢出。。也是就掉sleep不溢出而调用后面那个MessageBox的时候却可以谁来解释下啊。。。 2010-10-21 09:51 0
zphdebug 雪币： 95 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 62 粉丝 1 关注私信	zphdebug 1 6 楼太强悍了。。。 2010-10-21 09:56 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 7 楼和栈中的变量的布局有关，实际上都溢出的，A.data 溢出覆盖了B中的函数地址，B.data 溢出覆盖了buf[512] 2010-10-21 10:04 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 8 楼 [QUOTE=北极狐狸;875677]和栈中的变量的布局有关，实际上都溢出的，A.data 溢出覆盖了B中的函数地址，B.data 溢出覆盖了buf[512][/QUOTE] 谢谢北极狐狸。明白了。利用了堆栈数据覆盖。刚好把那个地址给覆盖了。 2010-10-21 10:37 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 9 楼前排学习。。。。很强大。 2010-10-21 10:44 0
gjden 雪币： 6790 活跃值： (4436) 能力值： (RANK：600 ) 在线值：发帖 33 回帖 447 粉丝 273 关注私信	gjden 14 10 楼逆得太好了... 2010-10-21 10:54 0
EvilKnight 雪币： 358 活跃值： (662) 能力值： ( LV9，RANK：170 ) 在线值：发帖 22 回帖 618 粉丝 16 关注私信	EvilKnight 4 11 楼不错不错,代码风格,变量命名都不错! 2010-10-21 11:20 0
Prochg 雪币： 14 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 66 粉丝 2 关注私信	Prochg 12 楼。。IDA F5一下就这样了。。。 2010-10-21 15:30 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 13 楼就是故意通过变量的布局创造这样一个环境。用类函数的形式也是特意的，从稳定性的角度上说，call [edx]如果变成call edx就少了一层难度了。 2010-10-22 02:29 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 14 楼竟然能逆成类风格,学习了 2010-10-22 09:35 0
梵听雪币： 28 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	梵听 1 15 楼膜拜代码。。。。我什么时候才能完全译成C++ 2010-10-23 23:29 0
叁毛雪币： 17 活跃值： (308) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 213 粉丝 2 关注私信	叁毛 1 16 楼是的，我之前在公司看了下，那时候没想过类的。这点我觉得他功底非常深厚。 2010-10-24 15:59 0
梵听雪币： 28 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	梵听 1 17 楼 http://www.cybertech.net/~sh0ksh0k/projects/unixheap99/heaptut-chinese.txt 刚刚好看到一个与此题目有关的分析…… 转过来…… 2010-10-25 14:47 0
柳逸安雪币： 21 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 53 粉丝 0 关注私信	柳逸安 18 楼太强了，一定要膜拜下 2010-11-21 21:51 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 19 楼膜拜加学习。 2010-11-24 06:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

晕菜菜

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
龙在江湖雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 7 粉丝 0 关注私信	龙在江湖 2 楼学习..... 2010-10-21 08:55 0
tjszlqq 雪币： 1185 活跃值： (2041) 能力值： ( LV4，RANK：50 ) 在线值：发帖 46 回帖 876 粉丝 2 关注私信	tjszlqq 1 3 楼强大啊，这么快逆出源码了。 2010-10-21 09:21 0
钢仔雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	钢仔 4 楼 very good，学习了 2010-10-21 09:50 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 5 楼想不明白为什么 memcpy(&a.data, pHeapBuf, dwFileSize); 这个不会溢出。。也是就掉sleep不溢出而调用后面那个MessageBox的时候却可以谁来解释下啊。。。 2010-10-21 09:51 0
zphdebug 雪币： 95 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 62 粉丝 1 关注私信	zphdebug 1 6 楼太强悍了。。。 2010-10-21 09:56 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 7 楼和栈中的变量的布局有关，实际上都溢出的，A.data 溢出覆盖了B中的函数地址，B.data 溢出覆盖了buf[512] 2010-10-21 10:04 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 8 楼 [QUOTE=北极狐狸;875677]和栈中的变量的布局有关，实际上都溢出的，A.data 溢出覆盖了B中的函数地址，B.data 溢出覆盖了buf[512][/QUOTE] 谢谢北极狐狸。明白了。利用了堆栈数据覆盖。刚好把那个地址给覆盖了。 2010-10-21 10:37 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 9 楼前排学习。。。。很强大。 2010-10-21 10:44 0
gjden 雪币： 6790 活跃值： (4436) 能力值： (RANK：600 ) 在线值：发帖 33 回帖 447 粉丝 273 关注私信	gjden 14 10 楼逆得太好了... 2010-10-21 10:54 0
EvilKnight 雪币： 358 活跃值： (662) 能力值： ( LV9，RANK：170 ) 在线值：发帖 22 回帖 618 粉丝 16 关注私信	EvilKnight 4 11 楼不错不错,代码风格,变量命名都不错! 2010-10-21 11:20 0
Prochg 雪币： 14 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 66 粉丝 2 关注私信	Prochg 12 楼。。IDA F5一下就这样了。。。 2010-10-21 15:30 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 13 楼就是故意通过变量的布局创造这样一个环境。用类函数的形式也是特意的，从稳定性的角度上说，call [edx]如果变成call edx就少了一层难度了。 2010-10-22 02:29 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 14 楼竟然能逆成类风格,学习了 2010-10-22 09:35 0
梵听雪币： 28 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	梵听 1 15 楼膜拜代码。。。。我什么时候才能完全译成C++ 2010-10-23 23:29 0
叁毛雪币： 17 活跃值： (308) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 213 粉丝 2 关注私信	叁毛 1 16 楼是的，我之前在公司看了下，那时候没想过类的。这点我觉得他功底非常深厚。 2010-10-24 15:59 0
梵听雪币： 28 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	梵听 1 17 楼 http://www.cybertech.net/~sh0ksh0k/projects/unixheap99/heaptut-chinese.txt 刚刚好看到一个与此题目有关的分析…… 转过来…… 2010-10-25 14:47 0
柳逸安雪币： 21 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 53 粉丝 0 关注私信	柳逸安 18 楼太强了，一定要膜拜下 2010-11-21 21:51 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 19 楼膜拜加学习。 2010-11-24 06:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[分享][第一阶段 第一题]ExploitMe.exe源代码

[分享][第一阶段第一题]ExploitMe.exe源代码