首页
社区
课程
招聘
调试CVE-2015-1641时,堆喷怎么都无法成功
发表于: 2018-8-3 16:28 3479

调试CVE-2015-1641时,堆喷怎么都无法成功

2018-8-3 16:28
3479
换过系统,换过office版本,关闭office的拼写检查等都没有成功
漏洞已经出发,可以执行到 0x7c376fc3,但是堆中的数据要么没有,要么是乱的

求大佬解惑

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 2
活跃值: (44)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
2
这个问题我刚刚也遇到了,解决的办法就是增大虚拟机内存,1G变2G
2018-8-3 17:11
0
雪    币: 84
活跃值: (59)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
3
@大晟 我虚拟机最开始都是2g,后面加到4g还是不行
2018-8-3 17:31
0
雪    币: 2
活跃值: (44)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
4
你单独运行样本的时候是不是能正常释放恶意文件?如果是这样那可能是调试态下堆的分配问题造成的,堆喷解压文件的堆喷数据中有ROP链的地址(7C3651eb)和ret链的地址(7c342404),你先用“sxe ld:msvcr71.dll”下模块断点,然后通过“uf 7C342304 ”命令来查看ret所在的模块地址:MSVCR71!calloc+0xb1,并在该处下断,执行后来到这个地址;接着你在ROP链的起始地址下断,然后禁用刚才的断点,这样就可以直接来到ROP链,你先试试
2018-8-3 18:03
0
雪    币: 84
活跃值: (59)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
5
不行,不调试状态打开样本,都提示“内存或者磁盘空间不足,无法完成操作”
2018-8-6 15:13
0
雪    币: 2
活跃值: (44)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
6
点击“确定”就行,在此之前要在7c342404处下好断点,稍等一会就可以来到该断点,多折腾一下,加油 
2018-8-7 13:53
0
游客
登录 | 注册 方可回帖
返回
//