首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 经典问答
    3. 发新帖
调试CVE-2013-3906POC遇到的问题
发表于: 2013-11-12 16:07 5934

调试CVE-2013-3906POC遇到的问题

kenjidaye 活跃值
2013-11-12 16:07
5934
请问大牛们怎么才能断进SHELLCODE里面,还有就是SHELLCODE存放在文件中的什么地方?

我用MDebug工具忽略软件异常下断点GetTempPathA,结果提示0x3BDFA567 处的指令引用内存 0x08080808 ,该内存不能为读

附CVE-2013-3906的POC链接:
http://bbs.pediy.com/showthread.php?p=1238524#post1238524

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (8)
whnet
雪    币: 185
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
shellcode 你爱放哪放哪。  断是断不过去的。 因一般情况下是临时copy过去的。

但可以单步跟过去。
2013-11-12 16:33
0
kenjidaye
雪    币: 64
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
可不可以针对这个样本回答呢?这样讲对于我这种菜鸟理解有难度啊~
2013-11-12 16:51
0
inception
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
docx解压,里面word目录下的activex目录里的activex1.bin里就有shellcode。
2013-11-12 20:54
0
kenjidaye
雪    币: 64
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
谢谢楼上的解答,再问细一点,如果直接调试WINWORD进程,再打开POC,应该怎么调到shellcode里面呢,我看了论坛里的分析教程,自己试的时候先下断到OLG.DLL的入口,然后单步,但是调不到shellcode那里,跟着跟着就冒出内存不能读的错误了,应该用什么工具,下什么断点进去呢?
2013-11-12 22:07
0
幽谷翠竹
雪    币: 48
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
2013-11-14 13:35
0
清新阳光
雪    币: 95
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
你那个情况应该是 堆喷的时候 没弄对 我也是一直无法完整复现过整个过程  只是崩溃
2013-11-14 13:37
0
llongwei
雪    币: 45
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
我也想问下 他是怎么喷射的,是跟docx的文件格式有关吗
2013-11-14 14:47
0
小吴
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
分析完bin文件里面的shellcode后,如何就样本poc,做出有效的利用呢 ?
2013-11-17 16:52
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//