Windows安全机制概述 微软提高内存安全性的改动： 使用GS编译技术，在返回地址之前加入了Security Cookie，在函数返回的时候先检查Security Cookie是否被覆盖，从而把针对操作系统的栈溢出漏洞变得非常困难 增加了对S.E.H的安全校验机制，能够有效地挫败绝大多数改写S.E.H而劫持进程的攻击 堆中加入了Heap Cookie，Safe Unlinking等一系列的安全机制，为原本就困难重重的堆溢出增加了更多的限制 DEP（Data Execution Protection 数据集执行保护…

基础知识 漏洞概述 bug与漏洞 bug：影响软件的正常功能，例如，执行结果错误，图标显示错误 。 漏洞：通常情况下不影响软件的正常功能，但被攻击者利用后，有可能引起软件去执行额外的恶意代码。 漏洞挖掘 漏洞分析 漏洞利用 漏洞挖掘 安全性的漏洞往往很难被QA工程师的功能性测试发现。从技术的角度讲，漏洞挖掘实际上是一种高级的测试。学术界一直热衷于静态分析的方法寻找源代码中的漏洞；而在工程界，普遍采用的漏洞挖掘方法是Fuzz。 漏洞分析 当fuzz捕捉到软件中一个严重的异常的时候，当你想要透过厂商公布的简单描述了解漏…

实验环境 推荐使用的环境 备注 操作系统 Windows XP SP3 虚拟机 Vmware 调试器 OD 反汇编器 IDA Pro 漏洞软件 Microsoft Office 2003 动态分析 打开POC，发现eip是0x41414141，向上最近的返回地址是0x275C8A0A MSCOMCTL.275C8A0A。 该返回地址在sub_275c89c7函数中。 打个断点重新运行。 call 275c876D执行完后，栈的数据变化了，猜测是从文件中获取了某个obj的长度。由于是文件中存的是hex的字符版本，所以…

实验环境 推荐使用的环境 备注 操作系统 Windows XP SP3 虚拟机 Vmware 调试器 OD 反汇编器 IDA Pro 漏洞软件 Windows Media Player 静态分析 MIDI文件格式 NIDI文件结构由若干个块（Chunk）组成，主要分为包头块（Header Chunk）和音轨块（Track Chunk）两部分，每个块由块标记，块长度和块数据组成，其中块标记和块长度均为4字节，其格式如下： MIDI文件头信息主要包含歌曲的MIDI格式类型，音轨数和时间计数器。 音轨块主要包含播放歌曲的…

实验环境 推荐使用的环境 备注 操作系统 Windows XP SP3 虚拟机 Vmware 调试器 OD 反汇编器 IDA Pro 漏洞软件 Microsoft Office 2003 动态分析 Windbg加载程序，打开exp。断点断在0x300e06f7。该地址在sub_300E05AD函数内。 OD打开execl，在0x300E05AD下一个断点，然后在栈顶下一个写入断点(返回地址处)。f9运行停止在0x300DE834。 该指令地址在函数sub_300DE7EC中。这里复制了0x300字节，大于栈大小，造…

实验环境 推荐使用的环境 备注 操作系统 Windows 7 虚拟机 Vmware 调试器 Windbg 反汇编器 IDA Pro 漏洞软件 IE 漏洞分析 由于系统已经安装了SP1补丁，导致漏洞失效，所以此处只进行静态分析。 首先查看Poc代码。（这个书附赠的文件居然没有） <html xmlns:t = "urn:schemas-microsoft-com:time"> <script language='javascript'> function Start() { alert("St…

实验环境 推荐使用的环境 备注 操作系统 Windows 7 SP1 虚拟机 Vmware 调试器 Windbg 反汇编器 IDA Pro 漏洞软件 Windows Fax Cvoer Page Editor 动态分析 栈回溯显然不正常，估计又是符号表和版本出的问题，所以不自己动态分析了，直接看书。 后续静态分析发现果然是SP1的补丁把漏洞修复了。。。 然后发现属性里面有个恢复旧版本，旧版本的果然正常了。 静态分析 书上的栈显然能看出是析构函数调用free出的问题。 补丁分析的时候也主要看CDrawDoc的函数就行…

实验环境 推荐使用的环境 备注 操作系统 Windows XP SP3 虚拟机 Vmware 调试器 OD 反汇编器 IDA Pro 漏洞软件 Microsoft Office 2003 动态分析 样本的获取可以通过msf构造。 search cve-2010-2883 use xxxxx info set target x exploit 打开winword，windbg附加进程，word打开msf.rtf。产生异常。 edi为130000。READONLY区域。 由于此时栈空间已被破坏，所以b 30e9eb88…

实验环境 推荐使用的环境 备注 操作系统 Windows XP SP3 虚拟机 Vmware 调试器 OD 反汇编器 IDA Pro 漏洞软件 Adobe Reader 版本号：9.3.4 静态分析 漏洞点来源于该函数，strcat处将uniqueName的数据复制过去，但没有进行长度校验。 通过PdfStreamDumper工具取出PDF样本中的TTf文件。 官方文档中TTF文件TableEntry的定义： typedef struct struct_SING{ char tag[4]; // 标签 "SING"…

实验环境 推荐使用的环境 备注 操作系统 Windows 7 虚拟机 Vmware 调试器 Windbg 反汇编器 IDA Pro 漏洞软件 IE 动态分析 打开poc.html，崩溃，kb回溯栈。 感觉可能是VGX.dll的版本或者符号表不同，导致触发点不同，所以就不动态分析了。 静态分析 IDA找到该函数。 src来自于上一个函数，但是上一个函数是OLEAUT32!DispCallFunc一般用于调用ActiveX控件中的函数。因此可以推断ORG::Get函数只是触发异常的函数，并不是漏洞函数。 分析PoC.h…