首页
社区
课程
招聘
[原创]CVE-2008-4250 netapi32.dll组件函数NetpwPathCanonicalize()溢出问题
发表于: 2021-3-6 23:20 8591

[原创]CVE-2008-4250 netapi32.dll组件函数NetpwPathCanonicalize()溢出问题

2021-3-6 23:20
8591

netapi32.dll是Windows网络应用程序接口,用于支持访问微软网络。

Windows XP SP3

VC 6.0++

OD

我们首先使用如下代码做一个简单的测试

接下来,我们通过OD去打开编译好的程序,将程序执行到"LoadLibraryA"以后,用来加载动态链接库NETAPI32.DLL。

我们在"静态分析"的IDA分析中知道,出现问题的是wcscpy函数,且地址为"5FDDA2F3"那么我们直接跳过来。既然我们需要溢出,那么需要注意返回地址的位置。

下面我们着重关注一下,我们知道,在wcscpy函数之前的push 指令,真是传参。且"eax"为源地址,"edi"为目的地址。

我们来在内存中查看一下,并且确认一下边界值。

下面,我们执行完成wcscpy,这个时候我们发现已经被"简化"完成了。

我们继续单步执行,直到出现如下图位置,该位置是执行edi减2操作,因为是宽字节,所以减2向前推进。

在执行完"edi-0x2"并且将值存储到eax当中,紧接着在判断是否越界的时候,使用了cmp指令。这就意味着你的EAX值只有在等于边界值的情况才会判断不会继续向前检索且停住简化。关键是,执行完成之后eax=12f6c2< 边界值。这样的情况,是不会停止“简化”操作的。

我们继续执行代码,如下位置,代码再次发现了"\",与是停下来,准备"简化"操作。

我们定位到内存,了解到如下区域将会被覆盖

成功定位到覆盖区域之后,我们最终需要控制的是wcscpy这个位置的返回地址,在如下图位置找到。地址为"0X12f688"

接下来我们是需要在"简化"的过程中控制地址“12F688”的内容即可。首先我们知道缓存区的起始位置为“0X12F5A6”,详细覆盖方案如下:

效果如下:

了解汇编语言,使用IDA。

    通过IDA打开netapi32.dll,并且定位到NetpwPathCanonicalize函数当中。且该函数当中存在一个子函数sub_5FDDA180。它的作用是规范化路径字符串。溢出函数即存在当中。

    点击进入当中,我们来分析一下这个函数:

    1.1;首先我们先是进行基本的内容查看。详细如下图:

    1.2;基本的环境初始化结束之后,首先是进行判断是否为"\"。下面的图片当中,展现了定位"\"。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2021-3-8 09:05 被天象独行编辑 ,原因:
上传的附件:
收藏
免费 7
支持
分享
打赏 + 1.00雪花
打赏次数 1 雪花 + 1.00
 
赞赏  mb_foxmedjv   +1.00 2021/03/08
最新回复 (5)
雪    币: 15565
活跃值: (16922)
能力值: (RANK:730 )
在线值:
发帖
回帖
粉丝
2
师傅能把标题稍微优化下么?添加上涉及的组件这样看起来比较清晰
2021-3-8 09:00
0
雪    币: 1657
活跃值: (6833)
能力值: ( LV12,RANK:215 )
在线值:
发帖
回帖
粉丝
3
有毒 师傅能把标题稍微优化下么?添加上涉及的组件[em_78]这样看起来比较清晰
好的,我来操作一下。
2021-3-8 09:02
0
雪    币: 1657
活跃值: (6833)
能力值: ( LV12,RANK:215 )
在线值:
发帖
回帖
粉丝
4
天象独行 好的,我来操作一下。
修改好了,有什么需要再次修改的麻烦告知我。谢谢。
2021-3-8 09:05
0
雪    币: 15565
活跃值: (16922)
能力值: (RANK:730 )
在线值:
发帖
回帖
粉丝
5
天象独行 修改好了,有什么需要再次修改的麻烦告知我。谢谢。
后续的话可以是《CVE-xxxx-xxxx OS-组件-type-漏洞》这种格式,方便后期的合刊整理等师傅的下一篇,可以稍微搞几个近年的
2021-3-8 09:11
0
雪    币: 1657
活跃值: (6833)
能力值: ( LV12,RANK:215 )
在线值:
发帖
回帖
粉丝
6
有毒 后续的话可以是《CVE-xxxx-xxxx OS-组件-type-漏洞》这种格式,方便后期的合刊整理[em_84]等师傅的下一篇,可以稍微搞几个近年的
好的,谢谢提点
2021-3-8 10:01
0
游客
登录 | 注册 方可回帖
返回
//