Exploit编写教程第三篇b：基于SEH的.pdfVIP

Exploit 编写教程第三篇 b ：基于 SEH 的 Exploit-又一个实例 原：Peter Van Eeckhoutte 2009-7-28 译：看雪论坛-moonife-2009-11-29 在上一篇教程中，我已经讲述了基于SEH 的Exploit。我提到在最简单的基于SEH exploit 的 情形中，payload 的构造如下所示： [Junk][next SEH][SEH][Shellcode] 我已经展示了用指向pop pop ret指令串的指针覆盖SE Hanler域和用跳过6 bytes 的jumpcode 覆 盖next SEH域来跳过SE Handler...当然，这样的构造是基于多数SEH based 漏洞的特征以及 存在于Easy RMto MP3 Player （这里作者笔误，应该是上一篇中的soritong MP3 Player ）上漏 洞的特殊性。因此它只是一个基于SEH类型漏洞下的例子。你确实需要用断点等来查看所有 寄存器，去找到你payload/shellcode所在的位置...根据栈来构造你的payload...只要想到！ 有时候你会很幸运，轻松加愉快的就写出了payload 。有时候你会很不走运，但你依然可以 在有难度的漏洞利用中写出跨平台的稳定Exploit 。有时候你必须要硬编码一个地址，因为没 有其他可行方法了。无论是那种方法，大多数的Exploit都不尽相同。在特殊的漏洞利用中为 了找到有效的方法都得手工去完成。 在今天的教程中，我们用Millenium MP3 Studio 1.0上挖掘出来的漏洞来编写基于它的Exploit 。 这个漏洞发布于：/exploits/9277. 你可以在这里下载Millenium MP3 Studio ： 从POC 中可以看出这个漏洞是容易被利用的(很可能是基于寄存器的值)...可惜的是它并没有 如作者（发现这个漏洞和写出POC代码的人）所希望的那样进行利用。 如“Hack4love”贴图中的那样是基于寄存器的值，因此我们可以认为这是一个典型的栈溢 出，其中EIP 被缓冲区的垃圾数据覆盖...你还需要找到缓冲区的偏移，找到一个寄存器指向 你的payload，用“jump to... ”地址覆盖EIP，是这样吗？额不完全正确。 我们来看下。创建一个用“http://”+5000 A’填充的文件...当你用windbg 运行程序并打开这个 文件，你看到了什么？我们先来创建一个mpf 文件： my $sploitfile=c0d3r.mpf; my $junk = http://; $junk=$junk.Ax5000; my $payload=$junk; print [+] Writing exploit file $sploitfile\n; open (myfile,$sploitfile); print myfile $payload;close (myfile); print [+] File written\n; print [+] . length($payload). bytes\n; 接着用windbg 运行程序并打开这个文件： First chance exceptions are reported before any exception handling. This exception may be expected and handled. eax=0012f9b8 ebx=0012f9b8 ecxedxesi=0012e990 edi=00faa68c eipesp=0012e97c ebp=0012f9c0 iopl=0 nv up ei pl nz na pe nccs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl** WARNING: Unable to verify checksum for image ** ERROR: