[原创]异想天开之文档格式漏洞ByPass ASLR+DEP-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]异想天开之文档格式漏洞ByPass ASLR+DEP

发表于: 2013-8-19 01:39 5167

[原创]异想天开之文档格式漏洞ByPass ASLR+DEP

仙果

2013-8-19 01:39

5167

N+M+1

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

444444444444.jpg （30.38kb，10次下载）
异想天开之文档格式漏洞ByPass ASLR+DEP.doc （64.00kb，62次下载）

收藏・14

免费・5

支持

最新回复 (18)
viphack 雪币： 219 活跃值： (783) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 2 楼仙果的充气娃娃~ 2013-8-19 02:38 0
sxpp 雪币： 231 活跃值： (2631) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 3 楼表示没看懂 2013-8-19 03:25 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 4 楼我喜欢异想天开的方式……一切都是从这里开始的。哈哈，没谱……仙果…… 2013-8-19 09:35 0
idhyt 雪币： 81 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 47 粉丝 2 关注私信	idhyt 5 楼火钳刘明 2013-8-19 09:42 0
topofall 雪币： 124 活跃值： (469) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 6 楼一切都是从异想天开开始的 2013-8-19 10:09 0
zhaohtao 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 106 粉丝 0 关注私信	zhaohtao 7 楼表示确实没看懂呀，你用构造文件去产生异常，程序处理异常后就么了呀！你是不是想通过产生异常，然后多次去访问某个地址，然后某个地址刚好可以进入rop链？但是如果是这样，这个程序里就算是藏着shellcode了吧，即使是这样，那你如何执行自己写的shellcode呢！ 2013-8-19 10:22 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 8 楼确实比较难懂，耗费脑细胞。我下来再思考下，能否有更简单的表述 2013-8-19 10:28 0
snowdbg 雪币： 3171 活跃值： (76) 能力值： (RANK：250 ) 在线值：发帖 13 回帖 129 粉丝 2 关注私信	snowdbg 6 9 楼顺着你这个思路有个难点我觉得还是ROP链的构造上，在IE和flash漏洞中我们可以通过JS和AS脚本来完成将基址+给ROP链的每个指令偏移。而文档类的没有这个中间脚本怎么实现呢？ 2013-8-19 18:11 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 10 楼我的思路是通过异常来实现，在构造ROP链之前确认是能够泄露出一个堆地址上虚函数表，这个地址是相对固定的，虚函数表中的函数是固定的。通过修改虚函数表来构造ROP链。虚函数表中的函数我们可以通过调试来得到，这样就可以取得它与VirtualProtect（）函数之间的偏移，这个偏移肯定也是固定的，通过异常来改写虚函数表使其成为VirtualProtect（）函数地址，接着再使用其他异常依次写入ROP剩余数据。 2013-8-19 18:29 0
yiyiguxing 雪币： 70 活跃值： (74) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 257 粉丝 0 关注私信	yiyiguxing 1 11 楼其实仙果说的东西，有一定可能实现。不过我觉得和漏洞类型关系比较大，没研究过。这个值得好好讨论 2013-8-20 20:15 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 12 楼欢迎大家积极讨论。。说不定就火了，兄弟们 2013-8-20 20:48 0
xue雪雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	xue雪 13 楼呵呵，水平太差，真心没看明白！ 2013-8-22 12:42 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 14 楼什么地方都没有看明白，都可以讨论的 2013-8-22 16:01 0
举剑问天雪币： 78 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 133 粉丝 0 关注私信	举剑问天 15 楼前不久看了袁哥的word漏洞利用的poc,服了在xp,win7 64通杀.. 没有泄露，自己构造啊 2013-9-28 00:21 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 16 楼可否私下共享一下？？？ 2013-9-30 11:02 0
关羽归来雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	关羽归来 17 楼仙果你果然是文科生啊，写的文章我看着真心觉得很好，这种方式写文章真的很受益 2013-10-8 22:01 0
举剑问天雪币： 78 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 133 粉丝 0 关注私信	举剑问天 18 楼 word漏洞可以构造内嵌flash或其他对象，就都不是问题了 2013-10-13 14:33 0
冰雪风谷雪币： 500 活跃值： (200) 能力值： ( LV13，RANK：270 ) 在线值：发帖 16 回帖 70 粉丝 2 关注私信	冰雪风谷 6 19 楼无聊翻帖子，word太灵活了。不用假设，可以通过各种方式绕过dep+aslr. 比如最新的office 2007,启动的时候，会加载一个二逼的模块，然后这个二逼模块会自动关掉dep. 比如word里可以内嵌各种东西，各种脚本, 各种宏。哈哈 2013-11-29 16:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

仙果

发帖

1507

回帖

860

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
viphack 雪币： 219 活跃值： (783) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 2 楼仙果的充气娃娃~ 2013-8-19 02:38 0
sxpp 雪币： 231 活跃值： (2631) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 3 楼表示没看懂 2013-8-19 03:25 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 4 楼我喜欢异想天开的方式……一切都是从这里开始的。哈哈，没谱……仙果…… 2013-8-19 09:35 0
idhyt 雪币： 81 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 47 粉丝 2 关注私信	idhyt 5 楼火钳刘明 2013-8-19 09:42 0
topofall 雪币： 124 活跃值： (469) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 6 楼一切都是从异想天开开始的 2013-8-19 10:09 0
zhaohtao 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 106 粉丝 0 关注私信	zhaohtao 7 楼表示确实没看懂呀，你用构造文件去产生异常，程序处理异常后就么了呀！你是不是想通过产生异常，然后多次去访问某个地址，然后某个地址刚好可以进入rop链？但是如果是这样，这个程序里就算是藏着shellcode了吧，即使是这样，那你如何执行自己写的shellcode呢！ 2013-8-19 10:22 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 8 楼确实比较难懂，耗费脑细胞。我下来再思考下，能否有更简单的表述 2013-8-19 10:28 0
snowdbg 雪币： 3171 活跃值： (76) 能力值： (RANK：250 ) 在线值：发帖 13 回帖 129 粉丝 2 关注私信	snowdbg 6 9 楼顺着你这个思路有个难点我觉得还是ROP链的构造上，在IE和flash漏洞中我们可以通过JS和AS脚本来完成将基址+给ROP链的每个指令偏移。而文档类的没有这个中间脚本怎么实现呢？ 2013-8-19 18:11 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 10 楼我的思路是通过异常来实现，在构造ROP链之前确认是能够泄露出一个堆地址上虚函数表，这个地址是相对固定的，虚函数表中的函数是固定的。通过修改虚函数表来构造ROP链。虚函数表中的函数我们可以通过调试来得到，这样就可以取得它与VirtualProtect（）函数之间的偏移，这个偏移肯定也是固定的，通过异常来改写虚函数表使其成为VirtualProtect（）函数地址，接着再使用其他异常依次写入ROP剩余数据。 2013-8-19 18:29 0
yiyiguxing 雪币： 70 活跃值： (74) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 257 粉丝 0 关注私信	yiyiguxing 1 11 楼其实仙果说的东西，有一定可能实现。不过我觉得和漏洞类型关系比较大，没研究过。这个值得好好讨论 2013-8-20 20:15 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 12 楼欢迎大家积极讨论。。说不定就火了，兄弟们 2013-8-20 20:48 0
xue雪雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	xue雪 13 楼呵呵，水平太差，真心没看明白！ 2013-8-22 12:42 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 14 楼什么地方都没有看明白，都可以讨论的 2013-8-22 16:01 0
举剑问天雪币： 78 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 133 粉丝 0 关注私信	举剑问天 15 楼前不久看了袁哥的word漏洞利用的poc,服了在xp,win7 64通杀.. 没有泄露，自己构造啊 2013-9-28 00:21 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 16 楼可否私下共享一下？？？ 2013-9-30 11:02 0
关羽归来雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	关羽归来 17 楼仙果你果然是文科生啊，写的文章我看着真心觉得很好，这种方式写文章真的很受益 2013-10-8 22:01 0
举剑问天雪币： 78 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 133 粉丝 0 关注私信	举剑问天 18 楼 word漏洞可以构造内嵌flash或其他对象，就都不是问题了 2013-10-13 14:33 0
冰雪风谷雪币： 500 活跃值： (200) 能力值： ( LV13，RANK：270 ) 在线值：发帖 16 回帖 70 粉丝 2 关注私信	冰雪风谷 6 19 楼无聊翻帖子，word太灵活了。不用假设，可以通过各种方式绕过dep+aslr. 比如最新的office 2007,启动的时候，会加载一个二逼的模块，然后这个二逼模块会自动关掉dep. 比如word里可以内嵌各种东西，各种脚本, 各种宏。哈哈 2013-11-29 16:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复