其实思路就是利用程序加载模块之外的内存地址,找到一个跳板指令绕过SafeSEH,flash9.2.124以前是没有SafeSEH的。
这一次试验因为涉及,mfc控件的构建,由于我虚拟机环境是vs 2008 express版本的,所以没有办法创建这种工程,直接拿别人做好的ocx文件用了。
1、第一步就是创建ActiveX mfc工程,创建一个test函数,函数中包含一个字符串覆盖的漏洞,同时注意使用的是Unicode和mfc静态库。
2、编译好这个ocx的控件后,cmd下输入:Regsvr32 路径\xx.ocx,注册。
3、写一个POC的html页面,页面中插入一个flash,让浏览器能够加载控件。页面中调用控件的test函数,并向其传递超长字符串,将异常地址覆盖为Flash控件中的跳板地址。
4、我们的调试环境一般没有flash,下载一个flash 9.0安装好。然后IE需要设置允许ActiveX运行。百度之如何开启ActiveX。
5、shellcode先给100个90,打开网页后,出现ActiveX 交互确认的对话框时,attach到od中,我们通过查看-内存-ocx文件,查找--参考字符串"aaaa",在这里下断点,F9。
6、运行到sprintf后,查看栈中,字符串离覆盖点有多远,我实验中末尾离SEH函数句柄,有24个字节,在第125-128字节覆盖我们寻找的跳板指令。
7、利用ollyfindaddr插件,查找jmp [ebp+n],这一步出现了大问题,只要一搜索我的od就闪退,不知道为什么