[原创]第一阶段[第四题]我也发一下我做的吧。-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]第一阶段[第四题]我也发一下我做的吧。

发表于: 2008-10-14 16:56 8235

[原创]第一阶段[第四题]我也发一下我做的吧。

沙金

2008-10-14 16:56

8235

一、程序BUG

代码:

77EFB0A3   .  57            push    edi
77EFB0A4   .  8D45 D8       lea     eax, dword ptr [ebp-28]
77EFB0A7   .  50            push    eax
77EFB0A8   .  FF75 34       push    dword ptr [ebp+34]
77EFB0AB   .  56            push    esi
77EFB0AC   .  E8 2FE6FFFF   call    <pbmiConvertInfo(x,x,x,x)>
77EFB0B1   .  3BC7          cmp     eax, edi
77EFB0B3   .  8945 F0       mov     dword ptr [ebp-10], eax
77EFB0B6   .  0F84 C7150100 je      <loc_77F0C683>
77EFB0BC   .  8B75 F0       mov     esi, dword ptr [ebp-10]
77EFB0BF   .  56            push    esi
77EFB0C0   .  E8 3AFBFFFF   call    <cjBitmapBitsSize(x)>
77EFB0C5   .  8945 D4       mov     dword ptr [ebp-2C], eax
77EFB0C8 > >  64:A1 1800000>mov     eax, dword ptr fs:[18]
77EFB0CE   .  F645 2C 03    test    byte ptr [ebp+2C], 3
77EFB0D2   .  89B8 D0060000 mov     dword ptr [eax+6D0], edi
77EFB0D8   .  0F85 46150100 jnz     <loc_77F0C624>

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

TestGdi.rar （1.02kb，61次下载）

收藏・4

免费・7

支持

最新回复 (20)
sskey 雪币： 216 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 152 粉丝 0 关注私信	sskey 1 2 楼我要sf, 学习了.......... 2008-10-14 17:00 0
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 866 粉丝 4 关注私信	mstwugui 6 3 楼强悍，我都没试ico，膜拜一下 2008-10-14 17:02 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 4 楼沙金，强... 2008-10-14 17:02 0
沙金雪币： 136 活跃值： (20) 能力值： ( LV10，RANK：170 ) 在线值：发帖 10 回帖 124 粉丝 0 关注私信	沙金 4 5 楼老李，别损我了。 2008-10-14 17:04 0
沙金雪币： 136 活跃值： (20) 能力值： ( LV10，RANK：170 ) 在线值：发帖 10 回帖 124 粉丝 0 关注私信	沙金 4 6 楼开始分析时，想的就是缩位图，没想过PE格式。所以做了个ICO的 2008-10-14 17:06 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 7 楼，你想到了兼容OS/2的图标格式，做题的时候我试着想了尝试了两次，失败了各有所长.... 2008-10-14 17:11 0
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 866 粉丝 4 关注私信	mstwugui 6 8 楼是啊，还考虑到os2 v1的格式，还是沙金考虑的全面 2008-10-14 17:12 0
沙金雪币： 136 活跃值： (20) 能力值： ( LV10，RANK：170 ) 在线值：发帖 10 回帖 124 粉丝 0 关注私信	沙金 4 9 楼逼出来的…… BMP格式除非在PE里改资源表让其错位。我从图片格式如手的，实在没办法，才用的OS/2 2008-10-14 17:15 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 10 楼看你这个才看明白怎么回事了，请问你怎么找到 test byte ptr [ebp+2C], 3 这个地方引发错误的呢？静态研究IDA还是有别的什么技巧？我这里修改最后一个跳转可以让其崩溃，但却不是结果需要的地方： cmp ecx, dword ptr [ebp+30] jnz 77F13740 2008-10-14 17:41 0
沙金雪币： 136 活跃值： (20) 能力值： ( LV10，RANK：170 ) 在线值：发帖 10 回帖 124 粉丝 0 关注私信	沙金 4 11 楼我使用OD跟的。在pbmiConvertInfo函数里，看见有对BITMAPINFOHEADER里的size进行比较。看见 77EF96FF . 83F8 0C cmp eax, 0C 于是google了下BITMAPINFOHEADER 知道0C是os/2的图片格式。 test byte ptr [ebp+2C], 3 [ebp+2C] 是图片数据的地址，这里有对地址进行判断。由于这题是溢出，那么有关数据来源的指针，应该是重点关注的地方（个人猜想）。所以，在je的地方，按了下回车，看见了 rep movs dword ptr es:[edi], dword ptr [esi] 所以，就猜这里可能是突破点。 2008-10-14 17:53 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 12 楼谢谢，学习了。技术难点的攻破源于日常经验的积累，看来要更加努力增加经验 2008-10-14 19:05 0
方圆科技雪币： 86 活跃值： (34) 能力值： ( LV2，RANK：150 ) 在线值：发帖 11 回帖 54 粉丝 3 关注私信	方圆科技 3 13 楼沙师弟实在是太强大拉。。。。膜拜 2008-10-14 21:50 0
edigar 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 76 粉丝 0 关注私信	edigar 14 楼看来这个才是关键，学习 2008-10-14 22:10 0
沙金雪币： 136 活跃值： (20) 能力值： ( LV10，RANK：170 ) 在线值：发帖 10 回帖 124 粉丝 0 关注私信	沙金 4 15 楼这道题这里不是关键的地方。开始我也以为是个突破点，可惜错了。不过，我运气不错。OS/2的图片格式，刚好满足了不是4字节对齐的条件。 2008-10-14 22:18 0
dragonyjd 雪币： 207 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 47 粉丝 1 关注私信	dragonyjd 1 16 楼强人，来学习了。 2008-10-15 00:03 0
疯子鱼雪币： 358 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 259 粉丝 0 关注私信	疯子鱼 17 楼请问楼主在科锐学了几天啊想不到科锐培养的学生的都这么厉害啊我也想去学了 2008-10-15 00:47 0
wangshy 雪币： 446 活跃值： (758) 能力值： ( LV7，RANK：100 ) 在线值：发帖 39 回帖 614 粉丝 1 关注私信	wangshy 2 18 楼 2003 En SP2 下没有任何效果 2008-10-15 09:04 0
edigar 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 76 粉丝 0 关注私信	edigar 19 楼谢谢楼主，我是说怎么找到这个bug的关键，这个题完全没有思路，这下以后类似的问题可以找找看突破点了 2008-10-15 09:59 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 20 楼追码经验.. 2008-10-15 12:16 0
vxasm 雪币： 2056 活跃值： (13) 能力值： ( LV13，RANK：250 ) 在线值：发帖 22 回帖 310 粉丝 1 关注私信	vxasm 6 21 楼学习到了ICON格式。 2008-10-15 15:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

沙金

发帖

124

回帖

170

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
sskey 雪币： 216 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 152 粉丝 0 关注私信	sskey 1 2 楼我要sf, 学习了.......... 2008-10-14 17:00 0
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 866 粉丝 4 关注私信	mstwugui 6 3 楼强悍，我都没试ico，膜拜一下 2008-10-14 17:02 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 4 楼沙金，强... 2008-10-14 17:02 0
沙金雪币： 136 活跃值： (20) 能力值： ( LV10，RANK：170 ) 在线值：发帖 10 回帖 124 粉丝 0 关注私信	沙金 4 5 楼老李，别损我了。 2008-10-14 17:04 0
沙金雪币： 136 活跃值： (20) 能力值： ( LV10，RANK：170 ) 在线值：发帖 10 回帖 124 粉丝 0 关注私信	沙金 4 6 楼开始分析时，想的就是缩位图，没想过PE格式。所以做了个ICO的 2008-10-14 17:06 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 7 楼，你想到了兼容OS/2的图标格式，做题的时候我试着想了尝试了两次，失败了各有所长.... 2008-10-14 17:11 0
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 866 粉丝 4 关注私信	mstwugui 6 8 楼是啊，还考虑到os2 v1的格式，还是沙金考虑的全面 2008-10-14 17:12 0
沙金雪币： 136 活跃值： (20) 能力值： ( LV10，RANK：170 ) 在线值：发帖 10 回帖 124 粉丝 0 关注私信	沙金 4 9 楼逼出来的…… BMP格式除非在PE里改资源表让其错位。我从图片格式如手的，实在没办法，才用的OS/2 2008-10-14 17:15 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 10 楼看你这个才看明白怎么回事了，请问你怎么找到 test byte ptr [ebp+2C], 3 这个地方引发错误的呢？静态研究IDA还是有别的什么技巧？我这里修改最后一个跳转可以让其崩溃，但却不是结果需要的地方： cmp ecx, dword ptr [ebp+30] jnz 77F13740 2008-10-14 17:41 0
沙金雪币： 136 活跃值： (20) 能力值： ( LV10，RANK：170 ) 在线值：发帖 10 回帖 124 粉丝 0 关注私信	沙金 4 11 楼我使用OD跟的。在pbmiConvertInfo函数里，看见有对BITMAPINFOHEADER里的size进行比较。看见 77EF96FF . 83F8 0C cmp eax, 0C 于是google了下BITMAPINFOHEADER 知道0C是os/2的图片格式。 test byte ptr [ebp+2C], 3 [ebp+2C] 是图片数据的地址，这里有对地址进行判断。由于这题是溢出，那么有关数据来源的指针，应该是重点关注的地方（个人猜想）。所以，在je的地方，按了下回车，看见了 rep movs dword ptr es:[edi], dword ptr [esi] 所以，就猜这里可能是突破点。 2008-10-14 17:53 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 12 楼谢谢，学习了。技术难点的攻破源于日常经验的积累，看来要更加努力增加经验 2008-10-14 19:05 0
方圆科技雪币： 86 活跃值： (34) 能力值： ( LV2，RANK：150 ) 在线值：发帖 11 回帖 54 粉丝 3 关注私信	方圆科技 3 13 楼沙师弟实在是太强大拉。。。。膜拜 2008-10-14 21:50 0
edigar 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 76 粉丝 0 关注私信	edigar 14 楼看来这个才是关键，学习 2008-10-14 22:10 0
沙金雪币： 136 活跃值： (20) 能力值： ( LV10，RANK：170 ) 在线值：发帖 10 回帖 124 粉丝 0 关注私信	沙金 4 15 楼这道题这里不是关键的地方。开始我也以为是个突破点，可惜错了。不过，我运气不错。OS/2的图片格式，刚好满足了不是4字节对齐的条件。 2008-10-14 22:18 0
dragonyjd 雪币： 207 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 47 粉丝 1 关注私信	dragonyjd 1 16 楼强人，来学习了。 2008-10-15 00:03 0
疯子鱼雪币： 358 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 259 粉丝 0 关注私信	疯子鱼 17 楼请问楼主在科锐学了几天啊想不到科锐培养的学生的都这么厉害啊我也想去学了 2008-10-15 00:47 0
wangshy 雪币： 446 活跃值： (758) 能力值： ( LV7，RANK：100 ) 在线值：发帖 39 回帖 614 粉丝 1 关注私信	wangshy 2 18 楼 2003 En SP2 下没有任何效果 2008-10-15 09:04 0
edigar 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 76 粉丝 0 关注私信	edigar 19 楼谢谢楼主，我是说怎么找到这个bug的关键，这个题完全没有思路，这下以后类似的问题可以找找看突破点了 2008-10-15 09:59 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 20 楼追码经验.. 2008-10-15 12:16 0
vxasm 雪币： 2056 活跃值： (13) 能力值： ( LV13，RANK：250 ) 在线值：发帖 22 回帖 310 粉丝 1 关注私信	vxasm 6 21 楼学习到了ICON格式。 2008-10-15 15:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复