-
-
[原创]淘宝升级程序隐患分析
-
2014-9-15 15:54
-
测试程序 AliMiserUpdate.exe
首先不得不表扬一下淘宝开发人员的运气好
看如下代码
很多人以为这样写是正确的
我们伟大的旺旺客户端升级程序也是如此写的
看汇编代码
看到没有申请了一个0x208的buffer
再看下面如何操作
你和0x400比较是什么意思?
我猜测你自以为返回的Unicode字符串的长度吧
晕死
那么我们怎么触发这个问题啊 很简单我们给传入的参数长度小0x399 就溢出了
下面说一下 我说淘宝人家的运气好 是什么意思?
往下看
我们看一下内存结构
没有办法人家运气好,进入下面一个数组了
数组的初始化可以证明出来 那是二个buffer吧
溢出了吧
测试步骤:命令参数 一共有二个 第一个参数输入N 个1 主要大于0x208小于 0x400 就出现了 另外一个随便输入点
首先不得不表扬一下淘宝开发人员的运气好
看如下代码
char data[1015]={0};
WCHAR wPath[208]={0};
for (int i=0;i<1014;i++)
{
data[i]='1';
}
DWORD x=MultiByteToWideChar(0,0,data,-1,0,0);
if (x<0x400)
{
DWORD x=MultiByteToWideChar(0,0,data,-1,wPath,x);
}
很多人以为这样写是正确的
我们伟大的旺旺客户端升级程序也是如此写的
看汇编代码
看到没有申请了一个0x208的buffer
再看下面如何操作
你和0x400比较是什么意思?
我猜测你自以为返回的Unicode字符串的长度吧
晕死
那么我们怎么触发这个问题啊 很简单我们给传入的参数长度小0x399 就溢出了
下面说一下 我说淘宝人家的运气好 是什么意思?
往下看
我们看一下内存结构
没有办法人家运气好,进入下面一个数组了
数组的初始化可以证明出来 那是二个buffer吧
溢出了吧
测试步骤:命令参数 一共有二个 第一个参数输入N 个1 主要大于0x208小于 0x400 就出现了 另外一个随便输入点
[培训]《安卓高级研修班(网课)》月薪三万计划,掌 握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
输入是可控的……而且阿里这个程序处于所有安全软件的白名单
 还好运气好…… 
|
|
|
|
|
|
|
