答题卷-看雪学院.docVIP

注意：比赛结束前，严禁在提交版面以外的地方以任何形式讨论赛题，否则立刻取消资格。如有疑问请在比赛提交版以参赛ID发帖提出。比赛期间请密切关注比赛提交版的置顶通知。 微软杯exploit me 2011 挑战赛 答题卷 *提交者看雪ID（必填）：demoscene 第一问 第二问 第三问 第四问 第五问 第六问 合计 阅卷人 题1 题2 题3 题4 题5 题6 题7 总得分： 第一题 Web Exploit Me:初级XSS （5分） 题目描述：/xss1.aspx ?xss1.aspx程序通过用户输入的加密密钥对原始内容进行加密，并将加密后的内容显示到页面上。 第一问： 网页是否有xss漏洞？IE下成功利用xss漏洞应输入内容？(3分) 答:有。 第二问： 漏洞利用的思路简述（1分）。 第三问： XSS Exploit POC成功后的截图 (1分)  第二题 Web Exploit Me : XSS （10分） 题目描述：/xss2.aspx 程序将用户输入的内容解析并显示到页面上。支持HTML代码。程序本身具备一定的过滤能力，能够将常见的危险标签和属性进行过滤，过滤规则集合了正则和DOM过滤。 第一问：IE下绕过系统过滤器的思路？成功利用xss漏洞时应输入的内容？(3分) 第二问：IE XSS Exploit POC成功后的截图 (1分) 第三问：Firefox下绕过系统过滤器的思路？成功利用xss漏洞时应输入的内容？（2分） 第四问：Firefox XSS Exploit POC成功后的截图 (1分) 第五问：chrome下绕过系统过滤器的思路？成功利用xss漏洞时应输入的内容？（2分） 第六问：chrome XSS Exploit POC成功后的截图 (1分)  第三题 App Exploit Me: 浏览器BHO缓冲区溢出 （10分） 题目描述：本题给出的BHO可根据关键字对浏览器访问的网址进行安全过滤。当URL的关键字被匹配时，将禁止浏览器的访问。请分析给出的BHO的具体功能，挖掘其中的漏洞，并用POC代码exploit该漏洞（Shellcode的功能为弹出计算器）。 注：题目验证环境为windows xp sp3+ie6全补丁系统； 第一问：通过逆向，调试及其他测试，回答BHO对浏览器网址进行过滤的关键字是什么？（2分） 答：判断URL里是否存在关键字 bho0day 来进行过滤，如下图所示 第二问：测试并定位该BHO中存在的安全漏洞，并简要分析之（至少包括如何触发，被溢出的缓冲区大小，引起溢出的指令和偏移地址）？（3分） 答：程序在偏移0x3539处调用strcpy 时可能会造成缓冲区溢出，通过构造一个特定长度的URL来覆盖函数返回地址使其返回到我们精心构造的地址里去执行我们的代码。在调用strcpy时堆栈如下图所示，在 而在函数退出时堆栈如下图所示 Len = 0x12C2D0 - 0x12C1BC + 4= 0x118 则当URL达到0x114 字节长时即可覆盖掉返回地址，处发此漏洞。 第三问：请给出利用该漏洞弹出一个计算器的代码，并对代码做文字说明。代码除在答题卷中给出外，还应另存为3.html文件作为附件一并提交（3分） 答：一段打开计算器的代码(用OD的multiasm插件)： 0EE1000 call @delta @delta: pop ebx and ebx,0FFFF0000 mov eax,dword ptr[ebx + 8068] //LoadLibraryA call @next1 @str1: Shell32.dll db 00 @next1: call eax call @next2 @str2: ShellExecuteA db 00 @next2: push eax mov eax,dword ptr[ebx + 8064] //GetProcAddress call eax push 5 push 0 push 0 call @next3 @str3: calc.exe db 00 @next3: call @next4 @str4: open db 00 @next4: push 0 call eax //ShellExecuteA 利用代码：不会 第四问：提交的3.html运行成功后的截图.(2分，其中截图给1分，在验证环境中成功给1分)  第四题App Exploit Me: SafeSEH bypass （15分） 题目描述：Exploit.exe程序运行后，会读取当前目录下的1.txt的内容