[原创]CVE-2012-0158分析-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
地狱怪客雪币： 341 活跃值： (138) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1126 粉丝 10 关注私信	地狱怪客 2 2 楼谢谢分享。 2016-2-4 19:50 0
dirge 雪币： 893 活跃值： (382) 能力值： ( LV13，RANK：600 ) 在线值：发帖 17 回帖 67 粉丝 9 关注私信	dirge 14 3 楼感谢分享~ 2016-2-5 01:17 0
stalker 雪币： 399 活跃值： (38) 能力值： (RANK：350 ) 在线值：发帖 70 回帖 1064 粉丝 3 关注私信	stalker 8 4 楼这段shellcode最近还很流行啊:) 2016-2-5 09:14 0
Netfairy 雪币： 191 活跃值： (848) 能力值： ( LV12，RANK：530 ) 在线值：发帖 29 回帖 242 粉丝 40 关注私信	Netfairy 11 5 楼感谢分享 2016-2-7 13:00 0
lihaiyanz 雪币： 166 活跃值： (2526) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 24 粉丝 10 关注私信	lihaiyanz 6 楼谢谢分享 2016-2-10 20:37 0
lcbrain 雪币： 1211 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	lcbrain 7 楼现在好像有CVE-2012-1856 听说这个比0158强大 2016-2-11 23:51 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 8 楼这个问题的本质就在于sub_B中新建堆的数据是可控的，sub_A函数中的dwBytes也是可控的。 int __stdcall sub_A(int a1, BSTR bstrString) { ....... int v5; // [bp-14h] SIZE_T dwBytes; //[bp-Ch] int v7; // [bp-8h] int v8; // [bp-4h] v2 = bstrString; result = sub_B((int)&v5, bstrString, 0xCu); (1) if ( result >= 0 ) { if ( v5 == 1784835907 && dwBytes >= 8 ) { v4 = sub_B((int)&v7, v2, dwBytes); (2) .... } } } 执行（1）复制12个字节，这样可以控制dwBytes，执行(2)就可以把堆中指定大小的shellcode复制到堆栈. 2016-2-14 23:15 0
Ox9A82 雪币： 799 活跃值： (457) 能力值： ( LV12，RANK：280 ) 在线值：发帖 18 回帖 116 粉丝 27 关注私信	Ox9A82 3 9 楼对栈没有必要下写入断点，那样会不断的中断。其实下一个记录断点就可以了 2016-8-11 00:12 0
nohackxu 雪币： 5049 活跃值： (2161) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 128 粉丝 0 关注私信	nohackxu 10 楼谢谢分享，资源拿走！ 2016-8-20 18:29 0
范小贩雪币： 67 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 53 粉丝 0 关注私信	范小贩 11 楼请教一下，sxn ‐c "r eip;dd 00121700 l1" sse ，这个指令里面的值是怎么来的？调试的时候不断的断下，F5了几百次了，依然还无法载入poc 2016-12-6 16:31 0
YP星星雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 23 粉丝 0 关注私信	YP星星 12 楼在分析这个漏洞时有一个疑问，为什么要申请堆空间，从样本拷贝数据到堆，然后再从堆中将数据拷贝到栈中进行溢出？直接从样本拷贝数据到栈上进行溢出不行吗 2017-2-10 16:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
地狱怪客雪币： 341 活跃值： (138) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1126 粉丝 10 关注私信	地狱怪客 2 2 楼谢谢分享。 2016-2-4 19:50 0
dirge 雪币： 893 活跃值： (382) 能力值： ( LV13，RANK：600 ) 在线值：发帖 17 回帖 67 粉丝 9 关注私信	dirge 14 3 楼感谢分享~ 2016-2-5 01:17 0
stalker 雪币： 399 活跃值： (38) 能力值： (RANK：350 ) 在线值：发帖 70 回帖 1064 粉丝 3 关注私信	stalker 8 4 楼这段shellcode最近还很流行啊:) 2016-2-5 09:14 0
Netfairy 雪币： 191 活跃值： (848) 能力值： ( LV12，RANK：530 ) 在线值：发帖 29 回帖 242 粉丝 40 关注私信	Netfairy 11 5 楼感谢分享 2016-2-7 13:00 0
lihaiyanz 雪币： 166 活跃值： (2526) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 24 粉丝 10 关注私信	lihaiyanz 6 楼谢谢分享 2016-2-10 20:37 0
lcbrain 雪币： 1211 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	lcbrain 7 楼现在好像有CVE-2012-1856 听说这个比0158强大 2016-2-11 23:51 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 8 楼这个问题的本质就在于sub_B中新建堆的数据是可控的，sub_A函数中的dwBytes也是可控的。 int __stdcall sub_A(int a1, BSTR bstrString) { ....... int v5; // [bp-14h] SIZE_T dwBytes; //[bp-Ch] int v7; // [bp-8h] int v8; // [bp-4h] v2 = bstrString; result = sub_B((int)&v5, bstrString, 0xCu); (1) if ( result >= 0 ) { if ( v5 == 1784835907 && dwBytes >= 8 ) { v4 = sub_B((int)&v7, v2, dwBytes); (2) .... } } } 执行（1）复制12个字节，这样可以控制dwBytes，执行(2)就可以把堆中指定大小的shellcode复制到堆栈. 2016-2-14 23:15 0
Ox9A82 雪币： 799 活跃值： (457) 能力值： ( LV12，RANK：280 ) 在线值：发帖 18 回帖 116 粉丝 27 关注私信	Ox9A82 3 9 楼对栈没有必要下写入断点，那样会不断的中断。其实下一个记录断点就可以了 2016-8-11 00:12 0
nohackxu 雪币： 5049 活跃值： (2161) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 128 粉丝 0 关注私信	nohackxu 10 楼谢谢分享，资源拿走！ 2016-8-20 18:29 0
范小贩雪币： 67 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 53 粉丝 0 关注私信	范小贩 11 楼请教一下，sxn ‐c "r eip;dd 00121700 l1" sse ，这个指令里面的值是怎么来的？调试的时候不断的断下，F5了几百次了，依然还无法载入poc 2016-12-6 16:31 0
YP星星雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 23 粉丝 0 关注私信	YP星星 12 楼在分析这个漏洞时有一个疑问，为什么要申请堆空间，从样本拷贝数据到堆，然后再从堆中将数据拷贝到栈中进行溢出？直接从样本拷贝数据到栈上进行溢出不行吗 2017-2-10 16:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复