某个xx行的控件中的一个不能利用的堆栈溢出

最新推荐文章于 2022-07-05 10:06:16 发布
原创 最新推荐文章于 2022-07-05 10:06:16 发布 · 752 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#byte #c

本文深入分析asminPowerEnterCABANK.ocx中的代码注入漏洞,通过解读相关代码段,揭示其如何利用堆栈溢出来实现数据污染并覆盖返回地址,最终导致安全风险。重点探讨了关键代码逻辑、内存操作和数据溢出原理,为开发者提供深入理解此类攻击手段的视角。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

asm in PowerEnterCABANK.ocx 
.text:10001500 bugfunc_retaddress_onebyte_write proc near ; CODE XREF: sub_100015A0+3Ep
.text:10001500
.text:10001500 var_94          = dword ptr -94h
.text:10001500 var_90          = dword ptr -90h
.text:10001500 var_8C          = byte ptr -8Ch
.text:10001500 arg_0           = dword ptr  4
.text:10001500 arg_4           = dword ptr  8
.text:10001500
.text:10001500                 sub     esp, 94h
.text:10001506                 push    ebx
.text:10001507                 push    ebp
.text:10001508                 push    esi
.text:10001509                 mov     esi, ecx
.text:1000150B                 xor     ebx, ebx
.text:1000150D                 push    edi
.text:1000150E                 lea     ecx, [esp+0A4h+var_90]
.text:10001512                 mov     [esp+0A4h+var_94], ebx
.text:10001516                 call    sub_100013B0
.text:1000151B                 push    esi
.text:1000151C                 lea     ecx, [esp+0A8h+var_90]
.text:10001520                 call    sub_100013E0
.text:10001525                 mov     ebp, [esi]
.text:10001527                 cmp     ebp, ebx
.text:10001529                 jbe     short loc_1000156B
.text:1000152B                 lea     edi, [esp+0A4h+var_8C]
.text:1000152F                 add     esi, 4
.text:10001532
.text:10001532 loc_10001532:                           ; CODE XREF: bugfunc_retaddress_onebyte_write+58j
.text:10001532                 mov     ecx, [esi]
.text:10001534                 xor     eax, eax
.text:10001536                 push    eax             ; 0
.text:10001537                 mov     eax, [esp+0A8h+arg_4] ; 10
.text:1000153E                 push    eax
.text:1000153F                 push    0               ; 0
.text:10001541                 push    ecx             ; 污染数据
.text:10001542                 call    __allmul
.text:10001547                 xor     ecx, ecx
.text:10001549                 add     eax, ebx
.text:1000154B                 adc     edx, ecx        ; edx是AAAAAAAA*10 取高位HIDWORD函数
.text:1000154D                 mov     [edi], eax
.text:1000154F                 add     esi, 4
.text:10001552                 add     edi, 4
.text:10001555                 dec     ebp
.text:10001556                 mov     ebx, edx
.text:10001558                 jnz     short loc_10001532
.text:1000155A                 test    ebx, ebx
.text:1000155C                 jz      short loc_1000156B ; 污染数据*10后 edx为0 就不写入
.text:1000155E                 mov     eax, [esp+0A4h+var_90] ; ==0x23
.text:10001562                 inc     eax             ; eax多加了1
.text:10001563                 mov     [esp+0A4h+var_90], eax
.text:10001567                 mov     [esp+eax*4+0A4h+var_90], ebx ; ee写到堆栈返回地址去了..
.text:1000156B
.text:1000156B loc_1000156B:                           ; CODE XREF: bugfunc_retaddress_onebyte_write+29j
.text:1000156B                                         ; bugfunc_retaddress_onebyte_write+5Cj
.text:1000156B                 mov     ebx, [esp+0A4h+arg_0] ; 堆栈空间是0x94大小
.text:1000156B                                         ; 由于开始3个push,现在堆栈空间为c+0x94
.text:1000156B                                         ; 而 0x24*4+14=0x98 堆栈返回被覆盖..
.text:10001572                 mov     ecx, 24h
.text:10001577                 lea     esi, [esp+0A4h+var_90]
.text:1000157B                 mov     edi, ebx
.text:1000157D                 rep movsd
.text:1000157F                 lea     ecx, [esp+0A4h+var_90]
.text:10001583                 call    nullsub_2
.text:10001588                 pop     edi
.text:10001589                 pop     esi
.text:1000158A                 mov     eax, ebx
.text:1000158C                 pop     ebp
.text:1000158D                 pop     ebx
.text:1000158E                 add     esp, 94h
.text:10001594                 retn    8               ; 污染数据为DWORD,乘以10h后,edx只可能为一个BYTE  堆栈返回地址变成0x0000000a类似
.text:10001594 bugfunc_retaddress_onebyte_write endp

.text:10020CE0 __allmul        proc near               ; CODE XREF: bugfunc_retaddress_onebyte_write+42p
.text:10020CE0
.text:10020CE0 arg_0           = dword ptr  4
.text:10020CE0 arg_4           = dword ptr  8
.text:10020CE0 arg_8           = dword ptr  0Ch
.text:10020CE0 arg_C           = dword ptr  10h
.text:10020CE0
.text:10020CE0                 mov     eax, [esp+arg_4]
.text:10020CE4                 mov     ecx, [esp+arg_C]
.text:10020CE8                 or      ecx, eax
.text:10020CEA                 mov     ecx, [esp+arg_8]
.text:10020CEE                 jnz     short loc_10020CF9
.text:10020CF0                 mov     eax, [esp+arg_0]
.text:10020CF4                 mul     ecx
.text:10020CF6                 retn    10h
.text:10020CF9 ; ---------------------------------------------------------------------------
.text:10020CF9
.text:10020CF9 loc_10020CF9:                           ; CODE XREF: __allmul+Ej
.text:10020CF9                 push    ebx
.text:10020CFA                 mul     ecx
.text:10020CFC                 mov     ebx, eax
.text:10020CFE                 mov     eax, [esp+4+arg_0]
.text:10020D02                 mul     [esp+4+arg_C]
.text:10020D06                 add     ebx, eax
.text:10020D08                 mov     eax, [esp+4+arg_0]
.text:10020D0C                 mul     ecx
.text:10020D0E                 add     edx, ebx
.text:10020D10                 pop     ebx
.text:10020D11                 retn    10h
.text:10020D11 __allmul        endp


c in PowerEnterCABANK

void *__thiscall bugfunc_retaddress_onebyte_write(void *this, void *a2, int a3)
{
  unsigned int v3; // ebx@1
  int v4; // ebp@1
  void *v5; // esi@1
  char *v6; // edi@2
  int v7; // esi@2
  __int64 v8; // qax@3
  int v10; // [sp+14h] [bp-90h]@1
  char v11; // [sp+18h] [bp-8Ch]@2

  v5 = this;
  v3 = 0;
  sub_100013B0(&v10);
  sub_100013E0(v5);
  v4 = *(_DWORD *)v5;
  if ( *(_DWORD *)v5 > 0u )
  {
    v6 = &v11;
    v7 = (int)((char *)v5 + 4);
    do
    {
      v8 = v3 + *(_DWORD *)v7 * a3;
      *(_DWORD *)v6 = v8;
      v7 += 4;
      v6 += 4;
      --v4;
      v3 = HIDWORD(v8);
    }
    while ( v4 );
    if ( HIDWORD(v8) )
    {
      ++v10;
      *(&v10 + v10) = HIDWORD(v8);
    }
  }
  memcpy(a2, &v10, 0x90u);
  nullsub_2(&v10);
  return a2;
}


哎 不能利用...


【Unity3D应用案例系列】Unity3D中实现文字转语音的工具开发
优快云博客专家,Unity3D高级软件工程师,《Unity 3D从入门到实战》作者。
08-04 2571
大家好,我是佛系工程师☆恬静的小魔龙☆,不定时更新Unity开发技巧,觉得有用记得一键三连哦。在开发中,会遇到将文字转语音输出的需求,一般是通过在网上找免费的工具去实现。常用的免费工具比如说:这些有些差强人意,配音的质量有点问题,而且还容易崩溃,就想着用Unity去实现一个文字转语音的工具。本篇文章,使用去实现文字转语音的功能,会从,一步一步实现,最后也会将工程上传,欢迎大家批评指正。先看一下效果图:(1)打开讯飞开发平台https://www.xfyun.cn/,登录注册一下: (2)注册完进入控制台h
2018最新Android 面试指南
陈万洲的专栏
03-21 1226
数据结构与算法问题的难度完全取决于你所申请的公司数组数组由一组相同的数据类型组成。它存储在连续的内存空间内,使用索引可以找到元素的地址。数组包括一维数组和多维数组,一维数组是最简单的数据结构,也是最常用的。算法平均最坏空间(Space)O(n)O(n)查找(Search)O(n)O(n)插入(Insert)O(n)O(n)删除(Delete)O(n)O(n)链表链表看起来更像树,而不是数组,它使用...
未公开的函数 NtQuerySystemInformation
Panda Note
04-10 4221
原文地址:http://hi.baidu.com/%BD%BB%D3%D1%C6%B5%B5%C0/blog/item/a0426c229a03aaa04623e8c7.html 闲了没事,用SoftIce跟踪 TaskMgr 居然看出点门道来,将这些见解和大家共享,文章可能很长,也可能要花很长的时间,反正爱看就看,不爱看就别看。幸亏微软提供了相应的 .PDB 和 .DBG文件,使跟踪
高手进阶windows内核定时器之一
zacklin的专栏
04-16 3815
windows内核定时器,定时最小单位为100ns. 比ring3的定时器要精准得多,并且使用它,稳定性高,系统开销小,无需消息队列,且功能强大,是作为数据采集绝好的定时器。( ,有点像高钙片的广告词) 这个内核定时器,涉及到三个函数,分别是KeInitializeTimerEx,KeCancelTimer和KeSetTimerEx。下面我们使用windbg这个工具,来进一步看看这三个函数的
ULONGLONG乘法分析
JoeBlackZQQ的专栏
12-05 1130
From: http://blog.youkuaiyun.com/syf442/article/details/6077715 64位乘法分析: VC6 Console Code:   int main(int argc, char* argv[]) {       ULONGLONG    a = 0x87654321;       ULONGLONG    b = 0x1
看雪WiFi万能钥匙CTF-第二题 lelfeiCM
weixin_33716941的博客
12-30 313
2019独角兽企业重金招聘Python工程师标准>>> ...
11.内存的溢出和泄漏及其解决方案
郑学炜的技术博客
04-21 860
1、内存溢出 内存溢出:OOM(OutOfMemoryError)异常,即程序需要内存超出了虚拟机可以分配内存的最大范围。在Java 虚拟机规范的描述中,除了程序计数器外,虚拟机内存的其他区域都可能发生异常。2、内存溢出区域 常见的内存溢出分为以下几种: 2.1 Java堆溢出 Java 堆用于存储对象实例,只要不断地创建对象,并且防止垃圾回收机制清除这些对象,那么在对象数量达到最大堆限制就会产生...
内存溢出的解决思路
aodaidi6752的博客
09-10 2715
内存溢出是指应用系统中存在无法回收的内存或使用的内存过多,最终使得程序运要用到的内存大于虚拟机能提供的最大内存。 引起内存溢出的原因有很多种,常见的有以下几种:  1.内存中加载的数据量过于庞大,如一次从数据库取出过多数据;  2.集合类中有对对象的引用,使用完后未清空,使得JVM不能回收;  3.代码中存在死循环或循环产生过多重复的对象实体;  4.使用的第三方软件中的BUG...
VBA在SAP数据处理中的神助手:4个案例分析Excel自动化的力量
[VBA在SAP数据处理中的神助手:4个案例分析Excel自动化的力量](https://www.automateexcel.com/excel/wp-content/uploads/2019/01/vba-logical-operators-and.jpg) # 摘要 随着企业对数据处理和自动化需求的增长,...
c语言+去掉屯屯屯+链表,MFC逆向初级研究(1)(2)
weixin_35700003的博客
05-22 1199
12007-3-16 11:12【文章标题】: MFC逆向初级研究(2)【文章作者】: 北斗之摇光【作者邮箱】: hardlywhen@hotmail.com【下载地址】: 自己搜索下载【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!-------------------------------------------------------------------------...
windbg Memory access error in 'u ntdll!_allmul'
weixin_33910434的博客
04-06 701
2019独角兽企业重金招聘Python工程师标准>>> ...
核心下可用的C标准库函数集
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
04-06 1578
是从Win7的ntoskrnl.exe的lib文件中提取的,应该绝对可用,共83个,常用的都在,应该够用了: wctomb wcstombs wcsstr wcsspn wcsrchr wcsncpy wcsncmp wcsncat wcslen wcscspn  wcscpy  wcscmp  wcschr  wcscat  vsprintf  towupper
汇编语言9之callret指令以及mul乘法指令
yp010425的博客
08-13 619
ret和retf ret指令实现近转移,会利用中的数据,修改ip的值 ret n指令相当于: pop ip add sp,n 也就是下面的过程: ​ (ip)=((ss)*16+(sp)) ​ (sp)=(sp)+2 retf指令实现远转移 ​ (ip)=((ss)*16+(sp)) ​ (sp)=(sp)+2 ​ (cs)=((ss)*16+(sp)) ​ (sp)=(sp)+2 call call指令执的过程: ​ 将当前ip或者cs和ip压入栈中 ​ 转移(jmp near或者call farpt
汇编语言--mul 指令
热门推荐
09-08 4万+
mul是乘法指令,使用 mul 做乘法的时候:相乘的两个数:要么都是8位,要么都是16位。 8 位: AL中和 8位寄存器或内存字节单元中; 16 位: AX中和 16 位寄存器或内存字单元中。 结果 8位:AX中; 16位:DX(高位)和 AX(低位)中。 格式:mul 寄存器 或 mul 内存单元 参考资料:<<汇编语言>> 王爽 ...
stm32逆向入门
qq_44885775的博客
07-05 2998
....
c语言中mul的用法,MUL指令(无符号数的乘法指令)
weixin_39653361的博客
05-24 8969
1.MUL指令(无符号数的乘法指令)指令格式:MUL OPS;OPS可以是reg和mem操作数。被乘数先放在AX或AL、EAX中,再将乘数给OPS。字节乘法:(AL)*(OPS8)→AX字乘法:(AX)*(OPS16)→DX:AX双字乘法:(EAX)*(OPS32)→EDX:EAX影响的标志位是:CF、OF,不影响AF、PF、SF、ZF。8086乘法运算指令分为无符号数乘MUL和有符号数乘IMUL...
怎么解决name 'Tkinter' is not defined 问题
爱杀之爪的矩阵
11-26 2万+
解决name 'Tkinter' is not defined   
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值