智能ABC输入法溢出分析

最新推荐文章于 2022-10-10 19:51:34 发布
最新推荐文章于 2022-10-10 19:51:34 发布
阅读量7.7k 收藏 1
点赞数
分类专栏: 原创技术文章 文章标签: 输入法 byte c delete hook 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunwear/article/details/261523
版权
本文详细分析了智能ABC输入法的溢出机制,通过Ollydbg调试工具,发现当输入特定字符序列如v、delete、回车后,程序在处理ImeToAsciiEx函数时出现错误。关键代码段在0x7380AC95,当删除V后,DS:[73811F52]变量为0,但DS:[7381486C]未正确重置,导致后续拷贝操作可能溢出。此外,还存在另一个问题,与DS:[738155C0]的检查有关。这些问题可能导致IME所Hook的进程异常退出,影响到某些软件的运行,但不会对远程主机产生影响。
摘要由CSDN通过智能技术生成

作者:sunwear[E.S.T]
MAIL:shellcoder#163.com  shellcoder@hotmail.com
http://blog.csdn.net/sunwear
http://www.eviloctal.com/

感谢dancefire的帮忙 :)
   智能ABC输入法漏洞已经被人发现很久了,广泛用于网吧计费系统的破解。不过很少有人去研究他是怎么溢出的。所以我也是闲的无事分析一下他的溢出。
   需要的工具:ollydbg  哪都有下载的地方。
   首先用OD打开笔记本。然后切换输入法到智能ABC,输入v,左箭头delete ,回车(空格也可以)。然后立刻造成进程死掉,然后OD的信息会告诉你问题出在7380****.而7380****属于winabc.ime的地址。经过跟踪,确定出错指令为ImeToAsciiEx函数,此函数是用来处理输入的字符。每按一个键就会调用一次,当上面这个动作做完后又调用了 0x7380AC95函数。下面是这个函数的汇编代码
7380ACA1  |> 66:81FE 3D80   CMP SI,803D                      ;si为你按的那个键的hex值
7380ACA6  |. 75 26          JNZ SHORT WINABC.7380ACCE      
7380ACA8  |. 803D B0298173 >CMP BYTE PTR DS:[738129B0],3     ;3为输入中间阶段
7380ACA

最低0.47元/天 解锁文章
sunwear
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Qt开发经验总结
草上爬的博客
12-02 7952
增加了很多轮子,同时原有模块拆分的也更细致,估计为了方便拓展个管理。把一些过度封装的东西移除了(比如同样的功能有多个函数),保证了只有一个函数执行该功能。把一些Qt5中兼容Qt4的方法废弃了,必须用Qt5中对应的新的函数。跟随时代脚步,增加了不少新特性以满足日益增长的客户需求。对某些模块和类型及处理进行了革命性的重写,运行效率提高不少。有参数类型的变化,比如 long * 到 qintptr * 等,更加适应后续的拓展以及同时对32 64位不同系统的兼容。
java输入联想,支持汉字自动匹配
biaozhun90的博客
10-14 4342
简单的输入联想功能,使用jquery的autocomplete插件。 无标题文档 var datas = [ "Google","NetEase", "Sohu", "Sina", "Sogou", "我爱北京", "我爱你","Tencent", "Taobao", "Tom", "Yahoo", "JavaEye", "Csdn", "Alipa
智能ABC输入法的一个漏洞
iThinkstudio的专栏
07-30 1062
智能ABC输入V,再按方向键左键,然后按DELETE键,再按ENTER键 ~~~~你们看会有什么效果?  (*^__^*) 嘻嘻……  强行关闭当前运行的程序!
智能ABC漏洞
11-22 1219
在装有老版智能ABC输入法的电脑中在可以输入文字的地方,调出智能ABC依次按下"v","左箭头","delete键","Enter键"   当前进程会被关闭。             可以自己编写程序HOOK来解决这个问题。
智能ABC漏洞使用
weixin_30502157的博客
07-22 142
由“简单谈谈杀软的自我保护问题”引起,一试后果然v↑del enter轻松中止avpcc.exe,结果留下个avpm.exe 原文:http://www.cnhacker.cn/asp/list.asp?id=1279 [智能ABC漏洞使用及补充说明] 一般网吧上网都会有一个管理软件,在开机状态,屏幕中间有个对话框,要你输入会员帐户和密码,把输入法调成智能ABC,然后打一下V键,再按方向键的 ...
[ZT]智能ABC一严重Bug可使任意程序崩溃
matrix67的专栏
11-09 3673
    智能ABC是各种版本Windows都默认安装的输入法,因此使用极其广泛。除了输入文字之外,我发现它还另有玄机——程序必杀技。 程序“死”于非命     打开任意一个应用程序,如记事本或者一个程序对话框等(不管是否存在文本输入框均可),点击系统托盘上的输入法图标切换到“智能ABC”,或者按 “Ctrl+Shift”切换到“智能ABC”,依次按这些键:“V+↑+Del+Enter
警惕网吧输入法漏洞(转)
cuankuangzhong6373的博客
04-04 220
大家都知道,在网吧上网的时候必须输入会员卡号和密码,才能登录客户端的桌面,客户端的登录和注销是受服务器端所控制的。 笔者最近听说出现了智能ABC输入法漏洞,可以结束大多数网吧管理软件。笔者就做了一次实验。 做实验的网...
注册表知识and技巧大全
热门推荐
apeng_qm的专栏
05-02 2万+
注册表知识和技巧大全 注册表基础: ********系统文件夹:********* 名称 路径 含义 AppData C:\Windows\Application Data 应用程序 Cache C:\Windows\Temporary Internet Files 浏览器缓存 Cookies C:\Windows\Cookies Desktop Desk
世界观安全
hacckjacking
08-06 656
「第二篇」客户端脚本安全 批注 [……] 表示他人、自己、网络批注 参考资料来源于 * 书中批注 * CSDN * GitHub * Google * 维基百科 * YouTube * MDN Web Docs ...
紫光拼音输入法(正式版)
02-21
紫光拼音输入法和补丁 紫光输入法补丁简介: 微软的Windows2000有输入法漏洞,这已经是众人皆知的事情, 并且微软已经推出了输入法漏洞的补丁程序,确实弥补了微软的一 些输入法的漏洞,但是,如果安装了紫光拼音等输入法,微软的补丁 并不能起到真正的作用,其输入法漏洞仍然存在!本紫光输入法漏 洞补丁就是专门针对微软输入法漏洞补丁不能解决的问题而设计的, 安装本补丁程序后,即使你的系统没有安装微软的输入法漏洞补丁, 也仍然能够起到微软输入法补丁的功能,而且对所有的输入法均有 效果!不用再担心因为输入法的漏洞而被别人侵入你的计算机系统!
关于量子彩色图像加密论文
10-09
对量子彩色图像的简单加密方法,对于量子加密领域而言,比较新又比较简单。
再谈进程PID相同的深入探究
sunxuns
04-08 1547
  创建时间:2005-04-21 更新时间:2005-04-21文章属性:原创文章提交:sunwear (btwlu_at_163.com)再谈进程PID相同的深入探究作者:sunwear [E.S.T]shellcoder@163.comhttp://blog.csdn.net/s
软考:信息安全工程师3
最新发布
qq_43699776的博客
10-10 2760
检测的内容主要有入侵检测、系统脆弱性检测、数据完整性检测、攻击性检测等。Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。26.常见的误用检测方法:基于条件概率的误用检测方法、基于状态迁移的误用检测方法、基于键盘监控的误用检测方法、基于规则的误用检测方法。常见的异常检测方法:基于统计的异常检测方法、基于模式预测的异常检测方法、基于文本分类的异常检测方法、基于贝叶斯推理的异常检测方法。
终止进程的内幕
sunwear的专栏
03-29 3321
原文: http://www.blogcn.com/user17/pjf/blog/4213145.htmlpjf(jfpan20000@sina.com)    有来信询问进程结束的有关问题,下面就这个问题简单讨论一下(下面的讨论基于2000,其他NT系统也类似)。    首先看看一个应用程序想要强制结束另一个进程所要做的事:首先获得目标的进程ID,接着利用OpenProcess获取进程句柄(确
“3389端口+输入法漏洞”入侵经典案例
得峰的专栏 [网络收藏]
05-12 6001
本次黑客营系列选题,旨在带领大家认识一些主流技术。screen.width/2)this.style.width=screen.width/2;" border="0" alt="" />为了便于初学者研究和学习,我们为大家提供了一台服务器作为模拟攻击环境,只要你按照我们的步骤操作,就可以体验全新的黑客旅程。   为了保证本关活动的正常进行,小编真诚地希望参与者不要进行非法或损坏服务器系统的操作。
利用Windows2000中文输入法漏洞,增加管理员账户
weixin_42582241的博客
11-06 1401
实验准备 Windows2000 Windows远程访问(以Windows2003为例) Windows2003入侵 在Windows2003上远程连接Windows2000,连接上后,屏幕上显示Windows2000登录界面(简体中文): Windows2000上也显示被Windows2003远程连接: 用“Ctrl+Shift”键切换输入法至全拼: 右击状态条上的微软徽标,在弹出框中选择“帮助”,“操作指南”(若呈灰色说明对方已经修复该漏洞): 在弹出的页面中右键“基本操作”,选择“跳转至UR
浅析本机API[zt]
excuseser的专栏
05-20 1138
by sunwear [E.S.T]  2004/10/02   shellcoder@163.com此文只能说是一篇笔记,是关于本机API的.本机API是除了Win32 API,NT平台开放了另一个基本接口。本机API也被很多人所熟悉,因为内核模式模块位于更低的系统级别,在那个级别上环境子系统是不可见的。尽管如此,并不需要驱动级别去访问这个接口,普通的Win32程序可以在任何时候向下调用本机AP
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值