flash怎么强制gc_flash漏洞调试技巧

最新推荐文章于 2022-05-25 16:44:18 发布
最新推荐文章于 2022-05-25 16:44:18 发布
阅读量1.5k 收藏
点赞数
文章标签: flash怎么强制gc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39862794/article/details/112995436
版权

本周中心抓到一个在野的flash 0day(相关信息见此链接),于是又捡起了一年多的flash 漏洞的相关知识,遂总结一下。

普通的trace

调试flasher样本一般建议使用调试版的flash player,在调试版本下可以输出swf文件运行时的相关日志,便于进行相关的分析,安装之后会在家目录(C:\User\mm.cfg)生成该文件(早期的flash调试版本不会生成该文件,需要手动生成)。

28bafe36f5556401ec032563fdaf5604.png

文件中包含以下配置选项,手动生成的话红色框中的选项为必选项,用于告诉flash生成错误日志及trace日志(对应的日志文件保存在C:\Users\\AppData\Roaming\Macromedia\Flash Player\Logs目录下)。

a336218ae736e232b3230050de8b67a3.png

通过FFdec,可以直接往flash中打trace补丁,用于输出对应的参数,变量。

findpropstrict Qname(PackageNamespace(""),"trace")

pushstring "Hello World!"

callpropvoid Qname(PackageNamespace(""),"trace") 1

26e154d099ca44359bc8018c4c5b4037.png

Jit函数监控

但是大多数漏洞调试中,trace不够强大,这就需要通过调试器了,因为flash里的脚本在执行的时候会转为jit,因此调试非常不便,这也是早期flash很难搞的一个问题,但是可以通过以下断点解决。

29.r0.140  flash.ocx

.dvalloc /b 0x79990000 30;eb 0x79990000 5e;ew 0x79990001 c3

bp Flash32_29_0_0_140 + 0x8D03D2 ".printf \"the method_name is: %ma\\n\",poi(eax+8);.if(poi(esi+20)=0xFFFFFFFF){bp poi(esi+4}.else{gc}"

bp Flash32_29_0_0_140 + 0x8BA425 ".printf \"the method_index is:%p the method_info_pointer is:%p the jit code is:%p the method_body is:%p\\n\",poi(esi+20),esi,poi(esi+4),poi(esi+24);r ecx = esi;r $t0 = poi(esp);ed esp eip+1;r esp = esp - 4;ed esp @$t0;r esp = esp -4;ed esp 0x79990000;r eip = Flash32_29_0_0_140 + 0x8D03AF;g"

原理

fun_verifyMethod,该函数是flash引擎中用于对jit函数校验的地方,该函数返回的esi其实是一个jit method的对象,里面包含了具体生成的jit函数的index,method ,jit code等属性,其中index是引擎内部用于识别jit函数的标记(就一数字),jit code标记了生成的对应地址,但是对应正常人而言index这种数字明显没有意义,我们需要具体的函数名,这就引出之后的fun_getMethodName函数。

173da5cef113a9ec0fe3b02b830db754.png

fun_getMethodName,其ecx接受一个method的对象(即fun_verifyMethod返回的对象),结果会返回一个具体函数的函数名,但是该函数默认在flash运行时不会调用,因此需要在fun_verifyMethod调用后手动调用一下fun_getMethodName,既可以获得对应的函数名,此时结合fun_verifyMethod返回的地址,就能实现正常的调试。

140fcceb4811db69ab5d20c028ef7f89.png

使用

脚本中一共三条命令,第一条用于生成一段内存,主要用于在fun_verifyMethod后,改变程序流程去执行fun_getMethodName(你可以理解为hook),之后分别是这两个函数的断点。

.dvalloc /b 0x79990000 30;eb 0x79990000 5e;ew 0x79990001 c3

bp Flash32_29_0_0_140 + 0x8D03D2 ".printf \"the method_name is: %ma\\n\",poi(eax+8);.if(poi(esi+20)=0xFFFFFFFF){bp poi(esi+4}.else{gc}"

bp Flash32_29_0_0_140 + 0x8BA425 ".printf \"the method_index is:%p the method_info_pointer is:%p the jit code is:%p the method_body is:%p\\n\",poi(esi+20),esi,poi(esi+4),poi(esi+24);r ecx = esi;r $t0 = poi(esp);ed esp eip+1;r esp = esp - 4;ed esp @$t0;r esp = esp -4;ed esp 0x79990000;r eip = Flash32_29_0_0_140 + 0x8D03AF;g"

调试的时候,下这两个断点,运行之后生成整个jit函数的信息,记下来,每个函数index很重要。

74bf95c16265a855764837fa56e26736.png

运行第二遍就可以正常调试了,此时只要将红字换成对应的函数index即可(对同一个swf,index是固定的),此时运行,即可在指定jit函数生成的时候断下。

bp Flash32_29_0_0_140 + 0x8D03D2 ".printf \"the method_name is: %ma\\n\",poi(eax+8);.if(poi(esi+20)=0xFFFFFFFF){bp poi(esi+4}.else{gc}"

此时针对replace的jit code地址下断点,及可以断下。

25e8a8d293f184772ef7bfc347abe92f.png

通用性

替换,该脚本是针对29.r0.140  flash.ocx,之后需要使用其他版本的时候需要改对应的地址,这就涉及到如何快速获取对应的fun_getMethodName和fun_verifyMethod函数。

fun_getMethodName,ida里找cinit字符,对应引用的函数。

fb1fcc0bcf7733e0c97e2c7182c427be.png

引用函数如下。

3af532f4e4fb9501815ae0db26830d32.png

再向上一层就是了。

092554cf495fec90d6eaa148fc0118c4.png

fun_verifyMethod函数,搜JIT failed字符。

ff832182f8312bf013cdab276ac259af.png

对应的引用。

aa04d34c8dd663041892e08e6198f271.png

对该函数的引用,第一个就是,不是就找找反正不多。

5a5f71c6f247af6600253ad4ba552808.png

需要修改以下三个值(蓝色部分根据你要跟的函数index自己替换),

第一个红色地址为fun_getMethodName返回的ret地址。

第二个红色地址为fun_verifyMethod返回前的pop esi的地址。

第三个红色地址为fun_getMethodName的起始地址减一(为啥减一是为了windbg中断点hook的需要)。

.dvalloc /b 0x79990000 30;eb 0x79990000 5e;ew 0x79990001 c3

bp Flash32_29_0_0_140 + 0x8D03D2 ".printf \"the method_name is: %ma\\n\",poi(eax+8);.if(poi(esi+20)=0xFFFFFFFF){bp poi(esi+4}.else{gc}"

bp Flash32_29_0_0_140 + 0x8BA425 ".printf \"the method_index is:%p the method_info_pointer is:%p the jit code is:%p the method_body is:%p\\n\",poi(esi+20),esi,poi(esi+4),poi(esi+24);r ecx = esi;r $t0 = poi(esp);ed esp eip+1;r esp = esp - 4;ed esp @$t0;r esp = esp -4;ed esp 0x79990000;r eip = Flash32_29_0_0_140 + 0x8D03AF;g"

转载请注明出处

weixin_39862794
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
flash怎么强制gc_浅谈Flash的垃圾回收机制
weixin_39631370的博客
12-20 3291
Flash Player的garbage collection(GC)分两种运行方式,一种是“引用计数法”(Reference Counting),一种是“标记-清除法”(Mark Sweeping)。引用计数法是通过计算指向某个对象的引用的数量来确定是否清除该对象。如果一个对象的引用数量为0,表示程序无法再访问到该对象,则清除该对象;如果引用计数不为0,则不清除。这种方法运行代价较小,但是这种方...
手把手教程9: F460 flash调试
childboy的博客
03-22 487
手把手教程8: F460 flash调试 目录 手把手教程8: F460 flash调试 FLASH的主要特征: FLASH读取数据: FLASH编程跟擦除: 操作步骤 ​擦除操作的步骤: 从flash中分出一部分来用作数据存储 制作scatter文件 FLASH的主要特征: 1、512k容量 分为64个扇区 每个扇区为8K byte 2、编程单位4byte 擦除单位为8Kbyte 3、OTP区域一共1020byte 分为960byte数据区、60bytes锁存区 FLAS.
flash怎么强制gc_Adode Flash初级教程
weixin_42511373的博客
12-30 1万+
AdodeFlash初级教程(湖南信息职业技术学院xxgc.hniu.cn教务处,湖南长沙410200)第一章入门一、概述1、定义:矢量二维动画2、适用范围:1.针对与网页2.动漫3、特点:a矢量动画制作模式,文件容量小b支持多类型文件导入(图片、视频、音频)c支持流媒体技术d交互动画4、网页四剑客简介adobedreamweaver:是一个网页排版软件,不是设计软件,唯一体现设计软件的地方是c...
java 程序执行后 强制gc_啥操作?阿里专家12张图就让女朋友搞懂了GC全过程?
weixin_39573287的博客
11-05 1万+
转至架构师进阶之路最近有些读者反应:看了很多网上关于JVM的文章,但是大部分文章不够通俗易懂,看不太明白。希望笔者能写几篇关于JVM的文章,刚好我也有这方面的打算。从本文开始推出JVM系列原创文章!GC-垃圾回收,是Java程序员常聊的话题,理解JVM垃圾回收的原理和过程,不但有助于写出高质量高性能的代码,也可以帮你在面试官面前侃侃而谈!读完本文,对垃圾回收过程、以及回收算法在垃圾回收中的应用,将...
flash怎么强制gc_Flash高性能开发-内存篇
weixin_39715460的博客
12-20 382
文档从互联网中收集,已重新修正排版,word格式支持编辑,如有帮助欢迎下载支持。1如有帮助欢迎下载支持内存优化在项目是一个重要的环节,如果不合理的利用和回收内存会合你的程序整体大大下降.合理使用对象创建不同对象一般所消耗的内存是不一样的。如:Number消耗8个字节,int消耗4个字节,uint消耗4个字节.下面我举一些例子:1.int类可使用表示为32位带符号整数的数据类型。int类表示...
flash怎么强制gc_[转载]AS3强制内存回收的方法
weixin_39733943的博客
12-20 3755
注:AVM的GC机制确实有些诡异,不象CLR可以通过GC.Collect()显示调用,中午在天地会闲逛时,发现了下面的这二个方法,转载一下方法1:function GC():void{try{(new LocalConnection).connect("foo");(new LocalConnection).connect("foo");}catch(e){trace(System.totalMe...
CADI_GC_Setup_310.rar
06-28
电梯行业的现代化离不开先进的调试工具,而"CADI_GC_Setup_310.rar"就是一个专为迅达电梯设计的调试软件。这款软件的核心功能是帮助技术人员更有效地与电梯系统进行通信,以便进行各种调试和故障排查工作。以下是...
gc_solution操作指南.pdf
02-23
gc_solution操作指南
GC.rar_GC Algorithm _genetic
09-21
GC.rar:MATLAB实现的遗传算法解析》 在计算机科学和优化技术领域,遗传算法(Genetic Algorithm,简称GA)是一种模拟生物进化过程的全局优化算法,它以自然选择、遗传、突变等生物进化原理为基础,通过迭代寻找...
gc.zip_GC matlab_cut_gc_graph Segmentation_graph image
09-21
【标题】"gc.zip_GC matlab_cut_gc_graph Segmentation_graph image" 涉及的主要知识点是图像分割中的图割(Graph Cut)方法,以及在MATLAB环境中实现这一算法。图割是一种优化技术,常用于计算机视觉和图像处理领域...
java 强制gc_如何强制GC回收垃圾
热门推荐
weixin_39528994的博客
02-12 4万+
Java垃圾回收机制(GC)详解简介:垃圾回收GC(Garbage Collection)是Java语言的核心技术之一,之前我们曾专门探讨过Java 7新增的垃圾回收器G1的新特性,但在JVM的内部运行机制上看,Java的垃圾回收原理与机制并未改变。垃圾收集的目的在于清除不再使用的对象。GC通过确定对象是否被活动对象引用来确定是否收集该对象。GC首先要判断该对象是否是时候可以收集。两种常用的方法是...
flash怎么强制gc_求助一下内存和flash的问题,困扰很久了...
weixin_30768925的博客
01-12 692
内存模块的编号与内存的芯片编号不一样,内存模块编号即内存条的标识,芯片编号是单个内存集成块的标识。内存常有PC133 2-2-2的标识,其中2-2-2的含义分别是CAS(Column Address Strobe,列地址控制器)、CAS到RAS、RAS(Row Address Strobe,行地址控制器)的反应周期。Hyundai的内存分为HY开头的Ichon Site和GM开头的Cheong-j...
C# 强制GC垃圾回收
小小的熊的博客
05-25 872
public static void ClearMemory() { GC.Collect(); GC.WaitForPendingFinalizers(); if (Environment.OSVersion.Platform == PlatformID.Win32NT) { SetProcessWorkingSetSize(Process.GetCurrentProcess().Handle, -1, -1); } } [DllImport(.
第十七章:运行时特性-gc:垃圾回收器-强制垃圾回收
编程菜鸟iglesias的博客
07-31 228
17.6.2 强制垃圾回收 尽管解释器执行一个程序时会自动运行垃圾回收器,但是如果需要释放大量对象,或者如果当时没有太多工作,那么相应地回收器在不影响应用性能的情况下也可以触发垃圾回收站,让它在一个特定的时间运行。可以使用collect()触发垃圾回收。 import gc import pprint class Graph: def __init__(self,name): ...
Android 强制GC?
Water_Marking的博客
08-22 1万+
今天看 E:\folder\vendor\rockchip\xxxxx\apps\SystemUI\src\com\android\systemui\recents\RecentsActivity.java,发现: // Force a gc to attempt to clean up bitmap references more quickly (b/38258699) ...
(转载)GC调用时机,特殊内存回收时机,及调试强制GC
weixin_33985679的博客
09-21 1443
---------------------我只是个搬运工-------------------------- 还有人在用以下方法强制调用GC吗?你out了。 try { new LocalConnection().connect('foo'); new LocalConnection().connect('foo'); } catch (e:*) {} 网上能查到的帖...
详细介绍Java垃圾回收机制
weixin_30401605的博客
08-21 424
垃圾收集GC(Garbage Collection)是Java语言的核心技术之一,之前我们曾专门探讨过Java 7新增的垃圾回收器G1的新特性,但在JVM的内部运行机制上看,Java的垃圾回收原理与机制并未改变。垃圾收集的目的在于清除不再使用的对象。GC通过确定对象是否被活动对象引用来确定是否收集该对象。GC首先要判断该对象是否是时候可以收集。两种常用的方法是引用计数和对象引用遍历。 引用计数收...
java 强制gc,Java:你如何使用JVMTI的ForceGargabeCollection强制GC
weixin_36478447的博客
02-12 3515
I'm not looking for the usual "you can only hint the GC in Java using System.gc()" answers, this is not at all what this question is about.My questions is not subjective and is based on a reality: GC ...
go_memstats_gc_cpu_fraction
最新发布
05-11
go_memstats_gc_cpu_fraction是Go语言中的一个环境变量,用于控制垃圾回收器(GC)的CPU利用率。默认情况下,Go的垃圾回收器使用所有可用的CPU资源。但是,如果您需要控制GC的CPU利用率,可以使用go_memstats_gc_cpu...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值