盗墓笔记—阿里旺旺ActiveX控件imageMan.dll栈溢出漏洞研究

最新推荐文章于 2019-05-27 13:58:18 发布
最新推荐文章于 2019-05-27 13:58:18 发布
阅读量573 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoi123/article/details/79272539
版权

本文作者:i春秋作家——cq5f7a075d

也许现在还研究Activex就是挖坟,但是呢,笔者是摸金校尉,挖坟,呸!盗墓是笔者的本职工作。

额,不扯了,本次研究的是阿里旺旺ActiveX控件imageMan.dll栈溢出漏洞,来源于《漏洞战争》一书,书中简单介绍了漏洞情况,没有详述。笔者在研究过程中产生了很多疑问,比如为什么要在DispCallFunc函数处下段?为什么覆盖SEH,能不能使用覆盖返回地址的方式进行漏洞利用?

随着笔者研究的深入,愈发感觉此洞的精妙之处,真是恨不得立即和大家分享。

1. 前言

漏洞软件:阿里旺旺imageMan.dll(见附件)

分析环境:WinXP SP3

参考资料:

《漏洞战争:软件漏洞分析精要》

《0day安全:软件漏洞分析技术》

  https://www.cnblogs.com/qguohog/archive/2013/01/22/2871805.html

  http://blog.sina.com.cn/s/blog_6a5e54710102x2jt.html

  https://wenku.baidu.com/view/59a3229f172ded630b1cb6dc.html

2. ActiveX基础知识

2.1. 什么是ActiveX

2.1.1. 是一种插件简单的说 ActiveX是浏览器插件,它是一些软件组件或对象,可以将其插入到WEB网页或其他应用程序中。一般软件需要用户单独下载然后执行安装,而ActiveX插件是当用户浏览到特定的网页时,IE浏览器即可自动下载并提示用户安装。

正是有了插件,浏览器才能够用于阅读文档、观看电影、欣赏音乐、社交、网络购物等。

浏览器插件总体可以划分为两大阵营,即IE支持的插件以及非IE支持的插件。虽说Activex是微软的亲儿子,但是,现在win10默认安装的Edge浏览器已经不再支持Activex。再过几年还有多少人能记得Activex?

2.1.2. 是一种组件对象模型(COM)核心技术是COM,所以独立于语言开发。

既然使用的是COM技术,那么就会在注册表中注册CLSID:


注册COM命令: regsvr32  ***.dll

2.1.3. 查看已经安装的ActiveX插件

右键IE-Internet属性-程序-管理加载项:


3. ActiveX逆向分析基础

3.1. classid

每个ActiveX组件中可能包含多个class类,每个class类可能包含了多个接口,每个接口可能包含了多个函数。每个class类有一个自己的classid。在调用ActiveX中的某个函数的时候,会事先通过classid来引入class。

注册表 HKEY_CLASSES_ROOT\CLSID中记录的就是classid。每个 classid下面有个typelib,typelib记录的是所属com组件的id。组件id记录在注册表的HKEY_CLASSES_ROOT\TypeLib目录下。

3.2. 分发函数

ActiveX组件中调用函数的机制叫做分发。com组件在调用某个函数时,首先使用被调用函数的函数名来调用GetIDsOfNames函数,返回值是函数编号(DISPID,又名调度ID),再使用该函数编号和函数参数来调用Invoke函数。Invoke函数内部调用DispCallFunc(OLEAUT32!DispCallFunc(HWND ActiveX_instant, dispatchID id))获取函数地址。

分发接口其实就是存在两个数组,一个存放dispid与接口方法名称的对值(pair),一个存放的是dispid与接口方法指针(函数指针)的对值。先通过函数名来找函数编号,然后利用函数编号来调用函数。GetIDsOfNames函数和Invoke(OLEAUT32!DispCallFunc)函数中分别使用了函数名称表和函数地址表。

Idispatch接口如下:

interface IDispatch : IUnknown 
{ 
 virtual HRESULT GetTypeInfoCount(UINT* pctinfo) = 0; 
//GetTypeInfoCount用于获取自动化组件支持的ITypeInfo接口的数目
         virtual HRESULT GetTypeInfo(UINT itinfo, LCID lcid, ITypeInfo** pptinfo) = 0; 
//GetTypeInfo用于获取ITypeInfo接口的指针,通过该指针将能够判断自动化服务程序所提供的自动化支持
virtual HRESULT GetIDsOfNames (REFIID riid, LPOLESTR* rgszNames, UINT cNames, LCID lcid, DISPID* rgdispid) = 0; 
//GetIDsOfNames读取一个函
最低0.47元/天 解锁文章
张悠悠66
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
阿里旺旺ActiveX控件ImageMan溢出 漏洞分析
weixin_50287973的博客
09-05 279
用ComRaider模糊测试 针对ActiveX控件漏洞分析方法 poc <html> <body> <object classid="clsid:128D0E38-1FF4-47C3-B0F7-0BAF90F568BF" id="target"></object> <script> var buffer = ''; while (buffer.length < 1111) buffer+="A"; target.AutoP
WebBroswer2 事件处理
caslwzgks的专栏
12-10 2171
 这两天写一个辅助工具,用到了WebBrowser2控件,需要对DIID_DWebBrowserEvents2事件、DIID_HTMLDocumentEvents2进行处理ATL提供了IDispEventSimpleImpl模板来简化事件处理,但是这个模板只能绑定一个事件,google了半天也没有找到好的解决方案,索性参考IDispEventSimpleImpl DIY了一个EasyDispEve
ImageMan是一个很棒的图象格式显示/转换控件。支持JPEG、 Photo
02-23
ImageMan是一个很棒的图象格式显示/转换控件。支持JPEG、 Photo CD、PNG、 TIFF*`、 PCX、DCX、WMF、 IMG、 WPG、 BMP、 DIB、 RLE、 EPS、 GIF* 和Targa格式和这些格式之间的任意转换和存盘,是每个Visual程序员都想得到的好东西) 还支持TWAIN扫描仪技术。(*表示要获得对应公司的许可) (4568KB)
ActiveX溢出漏洞实践分析
w4y2'blog
04-12 2282
我对于ActiveX控件漏洞久仰已久,今天终于腾出时间学习一下,看了《0day》和《软件漏洞发掘》关于ActiveX这部分内容的讲解,以及网上一些博客的讲解,有了一定的了解。 总结了ActiveX漏洞挖掘的步骤: 1).判断是否属于远程类型的ActiveX控件      2).获得该控件的唯一标识。      3).找出该控件的向外提供的所有接口。                 Act
ImageMan ActiveX Suite试用版:一款ActiveX形式的图片浏览和处理控件
07-17
ImageMan ActiveX Suite:registered:是一套32位的ActiveX控件,可用于为Windows的应用程序添加复杂图像的处理以及扫描支持。其控制项已经为Windows平台进行了优化,包括高性能支持以常见的光栅以及向量格式进行图片...
ImageMan.Net Twain试用版:一款用于Twain兼容的相机与扫描仪中扫描及捕获图像的.NET控件
07-16
ImageMan.Net Twain 试用版 试用版 开发语言: .NET 可用平台: Visual Studio 2005/2008/2010/2012/2013 当前版本: v3.2.4 Twain:registered: 工具包是一套100%受控于 .Net WinForms控件与类库,用于创建从Twain...
ImageMan DLL Suite试用版:是一款32位的动态链接库,可以为您的Windows应用程序增加更精细的图像处理和扫描功能
07-17
ImageMan DLL Suite 试用版 试用版 开发语言: DLL 可用平台: VC++ 当前版本: v8.84 ImageMan DLL Suite是一个32位的动态链接库,它可以为您的Windows应用程序增加精细的图像处理和扫描功能。ImageMan可对Windows...
Imageman7.o 使用
02-26
学习Imageman好帮手,这个软件方便你做出好看漂亮的软件界面.
ImageMan.Net试用版:一款功能强大的图片浏览,处理,修改,打印等的控件
07-16
ImageMan.Net 试用版 试用版 开发语言: .NET 可用平台: Visual Studio 2005/2008/2010/2012 当前版本: v3.2 是一款功能强大的图片处理控件,可以进行超过30多种光栅和矢量图片的加载、浏览、显示、修改、打印、...
非常强大的汉字转拼音的类(带音调)
热门推荐
小贺的专栏
02-23 1万+
今天学习了一下这个类,学到了不少东西。贴出来收藏***************************************************************************** MODULE NAME: HzToPy* AUTHOR & DATE: tt.t* 03 Apirl 2007*
汇编呼叫函数的调用方法
sundaylover的专栏
09-22 797
用汇编呼叫函数的样例,大家要注意的是呼叫后恢复堆栈(esp栈顶指针的值)现场的方法,没有恢复,或者恢复不正确,会有大大的error报出来! //呼叫无参数的函数 DWORD dwRet; void CallFunc0(LPVOID lpFunc) {
如何去除My97 DatePicker控件上右键弹出官网的链接 - 如何debug混淆过的代码
weixin_34010949的博客
08-31 260
概述   http://my97.net/是一个web浏览器的日期选择控件,非常好用,做得非常棒,各种API等事件等都很方便,但是使用了4.8beta3之后,在控件上面右击会出现官网链接 ,这个是PM以及客户不能容忍的,必须干掉,但是不付费的代码是经过混淆的,现在记录一下第一次调试混淆了源代码的JS的过程。 问题描述   如下图所示:本来此处应该是快速选择日期的提示,但是。。。     ...
阿里云-进程监控与告警
weixin_34151004的博客
11-18 547
1.背景 我在阿里云ECS上部署了个人网站,用到了mysql与tomcat,所以想要分钟级监控这两个进程是否alive。 2.安装监控agent 安装说明:https://help.aliyun.com/knowledge_detail/38859.html 进入阿里云控制台,产品与服务|监控与管理|云监控|云服务监控|云服务器ECS|单击实例ID,...
漏洞战争》学习笔记·2 CVE-2010-3333
黑夜黎明
05-27 683
知识补充   RTF格式是为文本和图像信息格式的交换制定的一种文件格式,使用与不同设备,操作环境和系统。RTF文件基本元素:正文、控制字、控制符号、群组   控制字: RTF用来标记打印控制字符和管理文档信息的一种特殊格式的命令,RTF用它做正文格式的控制代码,每个控制字均以一个 反斜杠\开头 ,由a~z小写字母组成,通常不应该包含任何大写字母,而每个分隔符标志着控制字名称的结束。使用格式:\字母...
利用IDL进行以下操作1、读取 ASCII 数据; 2、读取 FY -2 的 9210AWX 文件, FY -2C 的卫星黑体亮度温度产品。 3、读取三种格式图片文件。
最新发布
05-24
要读取三种格式图片文件,可以使用IDL中的IMAGEMAN库。具体命令如下: ``` file_type = FILE_WHICH(filename) IF file_type EQ 'GIF' THEN BEGIN data = READ_GIF(filename) ENDIF ELSE IF file_type EQ 'JPEG' ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值