首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 二进制漏洞
    3. 发新帖
[求助]漏洞战争 CVE-2010-2883调试分析时中途退出
发表于: 2017-5-9 16:01 5257

[求助]漏洞战争 CVE-2010-2883调试分析时中途退出

elecs 活跃值
2
2017-5-9 16:01
5257

近日根据漏洞战争第2章,调试分析CVE-2010-2883时OD中途退出,无法继续跟踪。

环境:windows XP SP3; OD v1.1;VMware workstation 9.0.1; Adobe Reader 9.3.4

首先,用OD attach到Adobe reader,在0803DDAB处设置断点,F9执行,然后在adobe reader中打开样本文件msf.pdf,断点断下。

然而,F8执行到0803DEAF call 0816BDE时,程序退出。

退出现场为

有谁能告诉我是什么原因造成的吗?谢谢。



[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (5)
elecs
雪    币: 4357
活跃值: (979)
能力值: ( LV8,RANK:142 )
在线值:
发帖
回帖
粉丝
私信
2
明白原因了,后续ROP链的调用其实都是从0803DEAF  call    8016BDE引起的。由于执行内存访问断点一直到不了
0808B308        FF10                        call        dword  ptr  [eax]                                    ;  icucnv36.4A80CB38
索性用最笨且最有效的办法,不断F8,F8  到程序退出,就记下该处地址,然后重启程序再F7步入该函数。
调试结果记录如下:
0803DEAF    call  8016BDE    --> 
08016C56        E8  C64E0000          call        0801BB21  -->
0801BB41        FF10                        call        dword  ptr  [eax]                                    ;  CoolType.0808B116    -->
0808B308        FF10                        call        dword  ptr  [eax]                                    ;  icucnv36.4A80CB38
最终到达4A80CB38。
2017-5-10 11:42
0
自由的翅膀
雪    币: 30
活跃值: (216)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
楼主,你的adobe  reader  9.3.4是在配套资料里的还是自己下的?我在网上搜的漏洞战争的配套资料里没有这个,自己下了个adobe  reader  9.3.0的
2017-5-23 15:21
0
Beta猫
雪    币: 229
活跃值: (130)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
配套资料没有这些,只能在网上下
2017-7-30 18:43
0
wx_Mars_929995
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
楼主,劳烦能把Adobe  Reader  9.3.4的包发一份吗?我找了一早上硬是没找到个能下载的网站,邮箱947062514@qq.com
2017-7-31 10:08
0
北海松果
雪    币: 333
活跃值: (37)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
6
wx_Mars_929995 楼主,劳烦能把Adobe Reader 9.3.4的包发一份吗?我找了一早上硬是没找到个能下载的网站[em_5],邮箱947062514@qq.com
adobe  reader  9.3.0就可以重现,刚刚试过了。
2017-8-1 20:07
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//