利用Adobe Flash Player ActiveX控件绕过SafeSEH

其实思路就是利用程序加载模块之外的内存地址，找到一个跳板指令绕过SafeSEH，flash9.2.124以前是没有SafeSEH的。

这一次试验因为涉及，mfc控件的构建，由于我虚拟机环境是vs 2008 express版本的，所以没有办法创建这种工程，直接拿别人做好的ocx文件用了。

1、第一步就是创建ActiveX mfc工程，创建一个test函数，函数中包含一个字符串覆盖的漏洞，同时注意使用的是Unicode和mfc静态库。

2、编译好这个ocx的控件后，cmd下输入：Regsvr32 路径\xx.ocx，注册。

3、写一个POC的html页面，页面中插入一个flash，让浏览器能够加载控件。页面中调用控件的test函数，并向其传递超长字符串，将异常地址覆盖为Flash控件中的跳板地址。

4、我们的调试环境一般没有flash，下载一个flash 9.0安装好。然后IE需要设置允许ActiveX运行。百度之如何开启ActiveX。

5、shellcode先给100个90，打开网页后，出现ActiveX 交互确认的对话框时，attach到od中，我们通过查看-内存-ocx文件，查找--参考字符串"aaaa"，在这里下断点，F9。

6、运行到sprintf后，查看栈中，字符串离覆盖点有多远，我实验中末尾离SEH函数句柄，有24个字节，在第125-128字节覆盖我们寻找的跳板指令。

7、利用ollyfindaddr插件，查找jmp [ebp+n]，这一步出现了大问题，只要一搜索我的od就闪退，不知道为什么