由于本人水平较低 虽然目前在学习一些新型的漏洞比如 UAF 漏洞 但现在的我还只能分析一些经典的缓冲区溢出漏洞 等我哪天调试好了一个UAF漏洞定会第一时间分享给大家 也希望大牛能传授一些调试UAF漏洞的 技巧或者分享一些好的文章 下文大牛可以直接无视 这次我分析的软件的名字是Stud_PE.exe 其功能是分析PE 文件格式 和 PEID 工具类似 本次漏洞的成因是 该程序在处理PE文件导出表的函数名时 使用 wsprintf 这个函数 而这个函数 也是一个容易产生缓冲区溢出漏洞的函数 该程序在使用 wsprintf 函数来将导出表中的函数名写入缓冲区时使用了“%s” 格式控制符 而且未对函数名的长度做限制 导致过长数据写入定长的缓冲区中造成缓冲区溢出。 实验环境: windows xp sp3 + od +IDA 文中涉及的漏洞程序 exp代码 验证程序 以及本文的WORD形式都会在附件中打包 调试 分析 过程 既然我们已经知道是 PE文件的导出表中的函数名处理不当 造成的漏洞 那我们就把导出表中的函数名给他搞大点 在这里我用了许多A来填充导出表的函数名部分
测试的PE 文件 在附件中的名称为 1.exe .
接下来该怎么办呢? 自然是用OD 附加程序 然后用程序打开 1.exe 这时我们就会看到程序的 EIP 寄存器已经被我们给 控制了
接下来就是定位溢出字段了 定位函数的返回地址的方法网上有很多在这里我就不说了 定位到函数的返回地址之后 可以看到此时 ESP寄存器中的值指向的是栈区 于是我就用 jmp esp 的地址0x7dd352a7(这个值需要在你的系统上另外确定确定后把它字节反序替换 附件中的 exp.py 文件中 "\xa7\x52\xd3\x7d"# 0x7dd352a7 JMP ESP 这一行的值 之后运行脚本即可) 覆盖了函数的返回地址 这样 最终 触发漏洞的文件的内容布局为
PE文件必须具备的头部 大量的无用的填充字段 jmp esp的地址 shellcode代码
这里我用了一个弹出计算机的 shellcode 在 虚拟机中的测试通过 .
测试成功之后该做的事就是 定位那个使缓冲区发生溢出的操作或者是函数 我感觉这一步才是最重要的 因为通过这样做 我们不仅能提升我们的 调试技能还能提升我们的逆向技能
下面咱们开始分析 打开程序-> 附加调试器 -> 打开1.exe文件进行测试 这时我发现此时地址为0012F3CC附近分布着大量的我填充的A
我们可以在这下一个硬件写入断点 监控看是哪条代码往这里写数据 进而定位函数 但是如果你直接就下一个硬件断点便开始调试 你会被断到崩溃的。。。于是我又在栈上看了看 发现了一个可疑的地址 0040905C 于是我先在这下了一个断点 待程序在此断下后我发现此时0012F3CC 地址周围的数据全部都是00 于是我判断此时漏洞代码还没有触发 于是我在这下了硬件写入断点 希望能顺利在程序发生溢出的现场把程序断下
然后 f8 单步走 程序成功的被断下了
这时我们可以确定触发漏洞的函数就是00420DDB 接下来载入ida
发现触发漏洞的函数名为 wsprintf 我们看这里 它用了 %s 这个格式控制符 而且往该处代码的上方看我并没有发现任何检验 字符串长度的 代码 于是可以确定程序溢出的原因 : 使用了危险的wsprintf 函数 而且没有 对字符串长度进行验证 导致缓冲区溢出漏洞
本文到此为止。
本人文笔不好 敬请谅解。
谢谢!
|