EXCEL 2000/XP表长度缓冲区溢出分析漏洞分析

最新推荐文章于 2024-07-24 20:55:11 发布
最新推荐文章于 2024-07-24 20:55:11 发布
阅读量1k 收藏
点赞数
文章标签: excel microsoft reference buffer hex c
Author: ilsy
Email:   ilsy@whitecell.org
Homepage: http://www.whitecell.org
Date:   2005-12-2

分析时间:2005-01-28

经测试发现,EXCEL在处理表长度时存在缓冲区溢出漏洞,可导致执行任意代码。
估计此漏洞为MS04-033所报告的漏洞,未证实。

漏洞原理:
手工建立一个.xls文件,用HEX编辑软件查看Sheet1表前面两个字节是其长度,
修改为FF FF,再用EXCEL打开,导致程序崩溃。经分析发现,这是一个整数溢出
导致的栈溢出。其处理过程如下:

:3003FBD3 8B400C             mov eax, dword ptr [eax+0C]
:3003FBD6 FF7008             push [eax+08]
:3003FBD9 8D8560FCFFFF         lea eax, dword ptr [ebp+FFFFFC60]
;通过Sheet1表长度计算得到的拷贝长度,因为整形溢出造成这个值错误
:3003FBDF 50               push eax
:3003FBE0 E85953FFFF         call 30034F3E


:30034F3E 55               push ebp
:30034F3F 8BEC             mov ebp, esp
:30034F41 81EC04020000         sub esp, 00000204 ;分配0x204字节的buffer
:30034F47 53               push ebx
:30034F48 56               push esi
:30034F49 8B7508             mov esi, dword ptr [ebp+08]
:30034F4C 57               push edi
:30034F4D 33FF             xor edi, edi
:30034F4F 3BF7             cmp esi, edi
:30034F51 897DFC             mov dword ptr [ebp-04], edi
:30034F54 742D             je 30034F83
:30034F56 8D85FCFDFFFF         lea eax, dword ptr [ebp+FFFFFDFC]
:30034F5C 8945FC             mov dword ptr [ebp-04], eax
:30034F5F 0FB706             movzx eax, word ptr [esi]
:30034F62 8D440002           lea eax, dword ptr [eax+eax+02]
:30034F66 50               push eax
:30034F67 8D85FCFDFFFF         lea eax, dword ptr [ebp+FFFFFDFC]
:30034F6D 56               push esi
:30034F6E 50               push eax

* Reference To: MSO9.Ordinal:03C0, Ord:03C0h
                      |
:30034F6F E8C4AEFDFF         Call MSO9.memmove
;调用MSO9.memmove拷贝字符串,由于长度错误,而导致覆盖函数返回地址

漏洞利用:
经过分析发现,此漏洞与文件名长度有关系,当按照默认生成的
“新建 Microsoft Excel 工作表.xls”的时候,即经过MULTIBYTETOWIDECHAR转换
后的长度为44字节时,偏移0x344处的4字节会覆盖返回地址,而偏移0x33c需要是
一个可以读的地址局部变量。
在文件中建立一个内容为“AAAA....”,长度很长的注释,用于存放shellcode。
再打开文件发现从JMP ESP返回后,EBX+0xa30会指向shellcode,所以用add ebx,
a30h然后jmp ebx来跳转的shellcode。
iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
缓冲区溢出实例(一)--Windows
banacyo14206的博客
08-22 2287
一、基本概念 缓冲区溢出:当缓冲区边界限制不严格时,由于变量传入畸形数据或程序运行错误,导致缓冲区被填满从而覆盖了相邻内存区域的数据。可以修改内存数据,造成进程劫持,执行恶意代码,获取服务器控制权限等。 在Windows XP或2k3 server中的SLMail 5.5.0 Mail Server程序的POP3 PASS命令存在缓冲区溢出漏洞,无需身份验证实现远程代码执行。 ...
windows 缓冲区溢出 简单例子
ayangmax的博客
05-19 1095
#include //#define sz1 "hello" int main(int argc, char *argv[]) { //char sz1[8] = "hello"; //const char *sz1 = "hello"; char sz1[8]; char sz2[8]; memset(sz1,0x00,sizeof(sz1));
Windows 缓冲区溢出与数据执行保护DEP
热门推荐
MoreWindows Blog
10-19 2万+
缓冲区溢出与数据执行保护DEP介绍先看一个缓冲区溢出的C++实例程序,代码如下(VC6.0下编译通过): //by MoreWindows #include #include #include #include #include void foo(const char *input) { char buf[4]; //buf 占4字节,后4字节为ebp,再后4个字节为返回地址。
windows缓冲区溢出
weixin_33766168的博客
07-10 2509
写的不好多加指教 准备环境: 攻机:Kali 2.0 靶机:windows xp ,windows2003不能做这个实验,亲测好多次没成功。有兴趣可以试试 软件:SLMail、immunity debugger 、mona.py 需要软件的可以留言。 总体步骤: 1. 测试是否发生缓冲区溢出 2. 找到缓冲区溢出的位置的临界点并验证 3. 查找系统中固定分配的模块中,哪里有jmp esp,为了后...
文件下载时文件名过长导致截断的问题
fisher_y
05-05 2206
直接用URLEncoder.encode(fileName,"UTF-8"),得到的文件名长度会被截断。 解决方法: 文件名先用“GB2312”编码,然后用“ISO8859_1”解码. 代码例子: filename=URLEncoder.encode(filename,"GB2312"); filename=URLDecoder.decode(filename, "ISO...
基于源码分析缓冲区溢出漏洞检测方法
02-07
根据缓冲区溢出原因提出一种基于源码分析缓冲区溢出漏洞检测方法,该方法对源码预处理后进行静态分析并依次构造相应的抽象语法树、控制流图、函数调用图和变量,最后建立有限状态自动机检测模型.以容易出现溢出的C...
IDA逆向分析缓冲区溢出攻击漏洞实例.rar
03-12
很好的逆向分析的学习资料!!! https://blog.csdn.net/wlwdecs_dn/article/details/114708775
缓冲区溢出漏洞挖掘分析及利用的研究.pdf
10-29
VulAs是文中提到的漏洞挖掘分析系统,它是在Windows平台上实现的,旨在辅助进行缓冲区溢出漏洞的挖掘和分析工作。该系统结合了静态和动态分析方法,提高了发现漏洞的效率和准确性。通过实际应用,例如对微软Office...
缓冲区溢出漏洞实验报告(附带程序源码和被攻击程序)
04-18
3.缓冲区溢出演示 4.溢出攻击结果与危害 5.防御手段 适合人群: 具备一定编程基础,作业时间不够的学生,对缓冲区溢出原理不了解的初学者 环境: IDA pro7.6, vc++ ,x32dbg。 阅读建议: 有一点 x32dbg逆向工具...
PHP5.0 TIDY_PARSE_FILE缓冲区溢出漏洞的解决方案
12-19
PHP5.0版本中的TIDY_PARSE_FILE函数存在一个严重的缓冲区溢出漏洞,该漏洞源于PHP的tidy扩展,具体是在处理tidy_parse_file的第二个参数时,即文件绝对路径时,没有进行有效的长度控制和内容验证。当传入一个超出...
缓冲区溢出漏洞浅析
manok的专栏
10-01 2449
缓冲区是指内存中一段连续的地址空间,用来缓存数据。在大多数开发语言中,把数组和指针分配的空间作为缓冲区。缓冲区溢出是指读取或写入的范围超过数组或指针指向的缓冲区空间,导致程序运行期间发生异常。缓冲区溢出大多数情况下编译器无法给出错误信息,而只有当程序运行期间才会暴露出来,所以缓冲区溢出也归属于运行时缺陷。运行期间发生异常是由于缓冲区溢出数据(包括上界和下界),破坏了缓冲区上下边界外其它变...
Windows xp 系统常见进程
ma459238的专栏
10-27 554
<br />1、最基本的系统进程<br />这些进程是系统运行的基本条件,有了这些进程,系统才能正常运行。<br />smss.exe              Session Manager <br />csrss.exe             子系统服务器进程<br />winlogon.exe          管理用户登录<br />services.exe          包含很多系统服务<br />lsass.exe             管理IP安全策略以及启动ISAKMP/Oakley
缓冲区溢出实例(一)–Windows
weixin_41082546的博客
03-12 1513
一、基本概念 缓冲区溢出:当缓冲区边界限制不严格时,由于变量传入畸形数据或程序运行错误,导致缓冲区被填满从而覆盖了相邻内存区域的数据。可以修改内存数据,造成进程劫持,执行恶意代码,获取服务器控制权限等。 在Windows XP或2k3 server中的SLMail 5.5.0 Mail Server程序的POP3 PASS命令存在缓冲区溢出漏洞,无需身份验证实现远程代码执行。 注意,Wi...
Win32 缓冲区溢出实战 (转)
FreeXploiT
11-03 2355
Win32 缓冲区溢出实战 --------------------------------------------------------------------------------    原文:《Intro to Win32 Exploits》作者:Sergio Alvarez 2004.09.05译者:cloie#ph4nt0m.org 2004.10.30一、前序很多次被朋友邀请写
分析缓冲区溢出漏洞并编写shellcode进行简单攻击(OllyDbg+VC6.0+WindowsXP)
qq_43685399的博客
07-12 2297
测试环境 操作系统:WindowsXP 选用工具:VC6.0、OllyDbg 因为古旧的系统漏洞比较多,所以本人在VMware Workstation虚拟机上装了XP系统来测试,VC6.0是写代码用的,OllyDbg是测试用的,工具就自己去下载吧 具体测试步骤 一、编写缓冲区溢出的代码并执行 代码如下: #include <stdio.h> #include <string.h> char name[] = "ABCDEFGHIJKLMNOPQRST"; int main()
091、Python 写Excel文件(使用openpyxl库)
最新发布
不在同一频道上的呆子的博客
07-24 513
Python 写Excel文件(使用openpyxl库)
090、Python 写Excel文件及一些操作(使用xlwt库)
不在同一频道上的呆子的博客
07-23 519
Python 写Excel文件(使用xlwt库)
Excel下载模板文件和导入文件的步骤
懒羊羊懒羊羊
07-24 329
【代码】Excel下载模板文件和导入文件的步骤。
Linux C/C++ 缓冲区溢出详解与实例分析
缓冲区溢出漏洞常常被黑客用于执行攻击,例如通过精心构造的输入数据来改变栈或堆上的返回地址,实现代码注入。这种攻击手段被称为栈溢出或堆溢出。在防御这类攻击时,开发者可以采用以下策略: 1. 使用安全的编程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值