超星阅读器ActiveX缓冲区溢出漏洞利用-LoadPage

超星阅读器4.0漏洞利用过程:

1.由于是缓冲区溢出，最开始我想到的利用方式"jmp esp"

   0---------------------256---------260-----------268--------------

   |       填充NOP         |  jmp esp |   数据填充  |    shellcode

   -----------------------------------------------------------------

 

将上述填充好的数据作为LoadPage的参数传进去，这次麻烦可大了，由于在超星阅读器中，会用WideCharToMultibyte将

上述传的参数进行一次转换，所以转换后的shellcode肯定变了，为了使WideCharToMultibyte之后的shellcode能够使用，

必须在给LoadPage传参的时候，对shellcode进行变形，包括“jmp esp”，在中文xp下，jmp esp的地址是0x7FFA1571,在

编码转化之后不可以在还原，会出问题，最后只好暴力搜索在kernel32.dll中找到一个合适地址的jmp esp，对这种方法，

我费了很多心思，编码转换总是出问题，最终搞定了，可是结果是我没想到的：

   一切都ok了，程序的跳转流程也在预想之中，恰好到了执行我的shellcode的时候，bug来了，shellcode无法执行。

   为什么呢？ 因为shellcode存在栈中，而这个程序对栈中的数据只设了读写权限，没有可执行权限，也就是shellcode

是无法执行的，郁闷死我了……

 

2.好，既然不行，我在换一种方法：pop pop ret的方式覆盖windows异常地址

  最后也是由于编码来回转换的问题，导致无法正确覆盖异常处理地址……

 

3.正在山重水复之际，柳哥(牛人)让我试试"堆喷射"，果不其然，既简单又跳过了编码的来回转换，爽哉……

  什么是堆喷射？ 自我理解：就是在进程堆中申请大量的空间，然后按照一定的方式在其中组织我们的shellcode，只要程序溢出，其

  EIP命中了我们申请的堆内存，shellcode就可以被触发，该方法具有很大的稳定性和通用性，方便实用。

 

普及几个知识:

      1> javascript分配堆内存是从低地址往高地址开始的。

      2> javascript的堆结构为:

 

       0------------32-------------36----------------------------------end-2 -------------------end

       |  堆块信息  |  字符串长度   |              字符串                |    两个NULL字节结尾  |

       -------------------------------------------------------------------------------------------

      即：最开始的32个字节表示堆块信息，正如windows的进程堆，前八个字节表示堆的管理结构，接下来的4个字节表示字符串的

          长度，然后才是我们的字符串，最后是以2个NULL字节结尾，javascript能够操纵的也只是其中的字符串，最开始的36个

          字节其是没办法访问的，毕竟javascript不能操纵内存，但我们却可以依据其进行部署内存，这也是堆喷射的核心。

 

poc如下: 该poc只针对windows xp sp3_cn版,请在测试的时候关闭杀软

 

Author: jmf

Time:   2010年12月17日23:51:32