-
-
[原创]bughoho的A题提交
-
发表于: 2007-12-29 22:38
-
看雪辞旧迎新exploit me 挑战赛 A 题 答题卷
提交者看雪ID:bughoho
职业:(学生、程序员、安全专家、黑客技术爱好者、其他?)
其他
PE分析:
exploit_me_A.exe是一个网络服务端程序,将客户端传过来的字符串显示出来。
漏洞描述:
服务端收到数据后调用00401000的function,参数是收到以0结束的字符串,函数中的strcpy函数(应该是release版被优化掉的strcpy函数)执行前没有对参数的长度做判断导致栈缓冲区被overflow,于是可以编写一个客户端程序发送一段畸形的shellcode,将返回地址覆盖为0x7C961EED(jmp esp)执行自己的shellcode。
shellcode描述:
请注明shellcode来源:原创,修改,引用。
原创请给出开发说明
修改请给出修改说明,并注明出处,附加被引用代码
引用请给出功能描述,并注明出处,附加被引用代码
shellcode来源:修改failwest的shellcode
修改说明:把其中的failwest字样修改为bughoho。。咳咳。。
“用的方法大概如下:通过FS[0]定位TEB,通过TEB找到PEB,进而找到PE的导入导出表,再定位kerner32.dll的位置,顺藤摸瓜定位到LoadLibraryA,之后就是康庄大道了 ……”
exploit运行截图
稳定性与通用性论证
这段shellcode算是比较稳定的,但是因为引用了系统空间的地址而不一定通用。
每个版本的地址不一定一样,所以作为跳板的地址应该先判断对方操作系统,才能寻找跳板。
创新性论证(可选)
创新?没有创新。
程序和代码
exploitA.rar
答题卷
A_答题卷.rar
提交者看雪ID:bughoho
职业:(学生、程序员、安全专家、黑客技术爱好者、其他?)
其他
PE分析:
exploit_me_A.exe是一个网络服务端程序,将客户端传过来的字符串显示出来。
漏洞描述:
服务端收到数据后调用00401000的function,参数是收到以0结束的字符串,函数中的strcpy函数(应该是release版被优化掉的strcpy函数)执行前没有对参数的长度做判断导致栈缓冲区被overflow,于是可以编写一个客户端程序发送一段畸形的shellcode,将返回地址覆盖为0x7C961EED(jmp esp)执行自己的shellcode。
shellcode描述:
请注明shellcode来源:原创,修改,引用。
原创请给出开发说明
修改请给出修改说明,并注明出处,附加被引用代码
引用请给出功能描述,并注明出处,附加被引用代码
shellcode来源:修改failwest的shellcode
修改说明:把其中的failwest字样修改为bughoho。。咳咳。。
“用的方法大概如下:通过FS[0]定位TEB,通过TEB找到PEB,进而找到PE的导入导出表,再定位kerner32.dll的位置,顺藤摸瓜定位到LoadLibraryA,之后就是康庄大道了 ……”
exploit运行截图
稳定性与通用性论证
这段shellcode算是比较稳定的,但是因为引用了系统空间的地址而不一定通用。
每个版本的地址不一定一样,所以作为跳板的地址应该先判断对方操作系统,才能寻找跳板。
创新性论证(可选)
创新?没有创新。
程序和代码
exploitA.rar
答题卷
A_答题卷.rar
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
