看雪辭舊迎新exploitme挑戰(zhàn)賽B題答題卷

1、看雪辭舊迎新exploit me 挑戰(zhàn)賽 B 題 答題卷基本分，共70分得分點分值描述實際得分漏洞定位請介紹自己定位漏洞的思路與方法，以及所使用的軟件或工具，如自己獨立開發(fā)工具請注名，20分漏洞描述及危害分析通過逆向和調(diào)試，分析給出PE文件中的漏洞原理 。給出能夠想到的利用此漏洞的所有方法（可以只實現(xiàn)其中一種或幾種），給出攻擊場景和攻擊步驟的描述。15分shellcode請描述shellcode的功能及其中所使用的相關(guān)技術(shù)，10分exploit截圖shellcode運行成功時的屏幕截圖，10分穩(wěn)定性與通用性論證介紹自己exploit代碼中各個關(guān)鍵點的解決方案，從穩(wěn)定性，通用性兩方面進行對exp

2、loit進行論證和評價，10分exploit代碼運行提交的exploit將在XP SP2虛擬機中試運行，用于檢驗exploit的通用性與穩(wěn)定性。如在驗證環(huán)境下能夠通過，得5分（本項得分可能存在一定隨機性，評委會擁有最終裁決權(quán)）加分加分點分值描述實得加分分析速度 加分本題前五名提交者將獲得5分加分。提交時間按照比賽過程中最后一次編輯修改的時間計算。shellcode 原創(chuàng)加分shellcode如果是自己獨立開發(fā)完成，請附上詳細的開發(fā)文檔，并描述其中關(guān)鍵問題的解決方法，根據(jù)質(zhì)量給予最高5分的加分。若A，B兩題使用同樣的shellcode，不重復加分。分析報告文字質(zhì)量根據(jù)分析報告的行文質(zhì)量，思路，層

3、次，敘述方式等，發(fā)現(xiàn)特別優(yōu)秀的給出13分的加分整個過程中使用的其他創(chuàng)新性技術(shù)請在分析報告中明確指出，此項加分不定注意：比賽結(jié)束前，嚴禁在提交版面以外以任何形式討論賽題，否則立刻取消資格。提交者看雪ID：nop職業(yè)：（學生、程序員、安全專家、黑客技術(shù)愛好者、其他？）IT民工漏洞定位：1. 先用COM Explorer v2.0的Register DLL Server功能在本機注冊測試用的activex控件: 2. 打開Comraider對該控件進行fuzz:3. 很快就fuzz出其中的一個bug:4. 然后選”Launch in Olly”,在ollydbg中繼續(xù)分析漏洞.漏洞描述及危害分析：接

4、上 :-)在od中輸入at oleaut32.DispCallFunc,定位到DispCallFunc函數(shù),然后在函數(shù)體內(nèi)找到call ecx,F2設斷點,F9運行.如上圖所示,這樣就定位到了存在溢出的LoadPage()方法.然后,啟動IDA Pro,分析exploit_me_B.dll,因為我們已經(jīng)知道導致溢出的是LoadPage方法的第一個參數(shù),所以我們著重跟蹤第一個參數(shù)的數(shù)據(jù)流.最終我們來到這里,紫色標注的部分,函數(shù)體內(nèi)部如下圖所示:如圖所示,注釋的那段代碼是strcpy的inline版本,str_src是由用戶提供的, str_dst是棧內(nèi)臨時變量,其大小為256字節(jié),所以只要用戶提

5、供(256+4)字節(jié)長度的字符串即可導致溢出,溢出buffer可以如下構(gòu)造:|str_padding|256字節(jié)padding數(shù)據(jù)|jmp_addr|跳轉(zhuǎn)地址因為這個activex溢出是在ie瀏覽器里發(fā)生,所以可以充分利用瀏覽器環(huán)境,而不是采用傳統(tǒng)的bounce address來跳到我們的shellcode.這里我們用0x0c0c0c0c作為跳轉(zhuǎn)地址,然后采用heap spray堆噴射技術(shù)使得流程落入shellcode中.另外,因為走到紫色流程的不僅僅只有LoadPage()一個方法,如果進行回溯分析,應可以發(fā)現(xiàn)更多存在溢出的控件方法.其他溢出點的分析:1.DownLoad(URL, file

6、name) 如下圖C偽代碼所示,分配的堆為固定的516字節(jié),但是兩個strcpy(inline)都沒有檢查用戶輸入的str_URL和str_filename長度,直接復制入堆中導致后續(xù)發(fā)生溢出.因此這個方法兩個參數(shù)超長都可以導致溢出.2. GetRemoteFileTime(filename)繼續(xù)看c偽代碼,堆分配的還是516字節(jié),但是對用戶輸入的str_filename_依然沒做長度檢查,直接復制入棧導致后續(xù)的溢出.3. Sub LoadSifPage ( ByVal URL As String , ByVal x As Long , ByVal y As Long , ByVal Zoom

7、 As Single , ByVal PageNum As Long )看流程圖,URL字符串導致溢出的原因還是sub_10015AD0和LoadPage的那個原因一樣,不再贅述.4. Sub Print ( ByVal URL As String , ByVal PageNum As Long , ByVal b2in1 As Long , ByVal isdoubleside As Long , ByVal Zoom As Long )還是看偽代碼,-_-,str_URL_被復制到大小為300字節(jié)的堆中,但是沒檢測用戶輸入的長度,導致堆溢出,從而導致后續(xù)的虛函數(shù)調(diào)用得到控制.5. Sub

8、SetUserAuth ( ByVal UserName As String , ByVal Password As String )Sub_1001B360是存在問題的函數(shù),看代碼,這個是一個類的成員函數(shù),將str_UserName_和str_Password_復制到類實力的數(shù)據(jù)成員中.可以從圖中看出這個類的數(shù)據(jù)結(jié)構(gòu):+0x000|.|<- this+0x214|UserName|/256字節(jié),見下圖綠色部分+0x314|Password|/估計也為256字節(jié),見下圖黃色部分+0x414|.|但是這兩個inline的strcpy都沒有檢查用戶輸入的長度,所以導致堆溢出.6. Sub S

9、etBookAuth ( ByVal bookauth As Long )看這段代碼,很搞笑,sub_10013CE0把用戶輸入的bookauth當做字符串的指針來把字符串復制到類實例里:+0x000|.|+0x164|str|/ strcpy(obj.str, bookauth_);沒有檢測用戶輸入,照樣溢.攻擊場景和危害分析:因為這個控件是safe的,所以可以不需要用戶交互即可運行惡意代碼.在ie瀏覽器用iframe標簽嵌入惡意頁面,并騙取用戶訪問含有惡意頁面的網(wǎng)頁即可完成攻擊.shellcode描述請注明shellcode來源：原創(chuàng)，修改，引用。原創(chuàng)請給出開發(fā)說明修改請給出修改說明，并注明出處，附加被引用代碼引用請給出功能描述，并注明出處，附加被引用代碼來源:原創(chuàng),shellcode代碼見附件messagebox.c功能說明:彈出MessageBox 顯示” 很女子,很弓雖大,很禾口讠皆!”窗口.開發(fā)說明:見shellcode源碼,因為此shellcode構(gòu)建在通用模板上,非常簡單.exploit運行截圖測試代碼: 附件 exploit_me_B_LoadPage().html,其他的不測試了,雷同.穩(wěn)定性與通用性論證通用性:因為采用heap spray,所以