eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: CDK1234, Xlab0s, pro100ma4o (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Основной форум —› OllyDBG buffer overflow
Посл.ответ Сообщение


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 10 июля 2008 21:42 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #1

ну вот, свалилась на наши головы ещё одно неприятность, переполнение в любимой ольге и ImportREC
подробнее >> www.milw0rm.com/exploits/6031

переполнение происходит из-за длл, в которой есть экспортируемая функция с именем длинней 256.
00491502 |. FF55 E8 CALL [LOCAL.6] ; DBGHELP.SymLoadModule << overflow

тему создал, чтобы никто не напоролся на шелл код.

пока как вариант можно запатчить ольгу >> 004914EE JMP 004917F6
более красиво ещё не удалось... Длл приатачил.

{ Атач доступен только для участников форума } - ollybof.dll


Ранг: 467.7 (мудрец)
Статус: Участник
Иной :)

Создано: 10 июля 2008 22:30 New!
Цитата · Личное сообщение · #2

Где то уже подобное (переполнение через длинное экспортируемое имя функции) было помоему


Ранг: 656.5 (! !)
Статус: Участник
CyberMonk

Создано: 11 июля 2008 00:58 New!
Цитата · Личное сообщение · #3

У меня такое чувство что уже напоролся. Грузил олю , прогу туда , а потом бац в оле проги уже давно нет , а мне кричит антиврь , типо оля грузит снета дровину. Такое впервые за 2 года пользования одной и то же олей. надо чистить комп значт.


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 11 июля 2008 09:39 New!
Цитата · Личное сообщение · #4

Ни хрена не робит! Во первых, не хочет компилироваться экзешник (на masm) с таким длинным именем импортируемой функции. Во вторых, даже после правки руками экзешника, вызываем LoadLibrary нормально, а при GetProcAddress получаем нуль, хотя длина импортируемой функции как в dll 260.
И даже если под олькой посмотреть на имена экспортируемых функций в dll, то там не видно "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"

Ранг: 50.2 (постоянный)
Статус: Участник

Создано: 11 июля 2008 10:08 New!
Цитата · Личное сообщение · #5

Flint
worked


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 11 июля 2008 10:22 New!
Цитата · Личное сообщение · #6

Выложи вместе с экзешником.

Ранг: 50.2 (постоянный)
Статус: Участник

Создано: 11 июля 2008 10:24 New!
Цитата · Личное сообщение · #7

ollyexp.dll

{ Атач доступен только для участников форума } - ollyexp.dll


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 11 июля 2008 10:31 · Поправил: Flint New!
Цитата · Личное сообщение · #8

Издеваетесь с милворма я и сам скомпелировал, дай файл, который грузит эту dll.

Или я сегодня не выспался

Почему этот код нормально под олей проходит

00401000 PUSH 403000 ; /FileName = "OllyBuf.dll"
00401005 CALL 0040104A ; \LoadLibraryA <<<<< ЭТОТ КОД нормально обрабытывается
0040100A CMP EAX,0
0040100D JE SHORT 00401023
0040100F MOV EDI,EAX
00401011 PUSH 40300C ; /ProcNameOrOrdinal = "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAA"...
00401016 PUSH EAX ; |hModule
00401017 CALL 00401044 ; \GetProcAddress - ВОЗВРАЩАЕТ НАМ НУЛЬ!!!!!!, ХОТЯ ФУНКЦИЯ ВИДНА ПОД PE - TOOLS
0040101C CMP EAX,0
0040101F JE SHORT 00401023
00401021 CALL EAX
00401023 PUSH 0 ; /Style = MB_OK|MB_APPLMODAL
00401025 PUSH 403111 ; |Title = "Buffer Overflow"
0040102A PUSH 403121 ; |Text = "Target Olly"
0040102F PUSH 0 ; |hOwner = NULL
00401031 CALL 00401050 ; \MessageBoxA
00401036 PUSH 0 ; /ExitCode = 0
00401038 CALL 0040103E ; \ExitProcess

Ранг: 50.2 (постоянный)
Статус: Участник

Создано: 11 июля 2008 10:36 New!
Цитата · Личное сообщение · #9

loaddll.exe из стандартной поставки


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 11 июля 2008 11:24 New!
Цитата · Личное сообщение · #10

у меня ольга тупо закрывается, никаких сообщений нету
Flint - какая у тебя винда?


Ранг: 172.2 (ветеран)
Статус: Участник

Создано: 11 июля 2008 12:50 New!
Цитата · Личное сообщение · #11

Hellspawn, в экспе же написано
>> Included shellcode shows a messagebox (WinXP SP2)
тобишь, предположительно, в шеллкоде забиты JMP XXX для XP SP2 ENG...


Ранг: 467.7 (мудрец)
Статус: Участник
Иной :)

Создано: 11 июля 2008 13:06 New!
Цитата · Личное сообщение · #12

ProTeuS
Поэтому Хэл и спрашивает какая у него винда!


Ранг: 172.2 (ветеран)
Статус: Участник

Создано: 11 июля 2008 13:15 New!
Цитата · Личное сообщение · #13

проверидл на двух машинах (XP SP2 ENG, not all patches) - крешится олька просто, пейлод не исполняется.

при4ем
db 8Ah,05h,45h,7Eh ; Address of messagebox in winxp sp2
соотвествует VA функи на машинах, где проверялся


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 11 июля 2008 17:04 New!
Цитата · Личное сообщение · #14

Hellspawn

XP SP2, должно работать имхо, но не работает


Ранг: 172.2 (ветеран)
Статус: Участник

Создано: 12 июля 2008 11:16 New!
Цитата · Личное сообщение · #15

Bronco, пере4итай внимательно каменты к экспу. для уда4ной отработки пейлода, нужно загружать либу в свою прогу, к которой атта4ится олькой а не просто открывать эксплойт в отлад4ике


Ранг: 467.7 (мудрец)
Статус: Участник
Иной :)

Создано: 12 июля 2008 12:55 · Поправил: [HEX] New!
Цитата · Личное сообщение · #16

Кстати Хелл то выкладывал скомпиленый сплойт без шеллкода Посему все верно что Ольга тупо слетает и никаких месаджбоксов.

Если хотите с мессаджбоксом, то компилите пример сам из исходника с милворма или взять уже скомпиленый пример из поста censor.

ProTeuS
Только что пробовал загружал в оллю просто длл-сплойт, которая в свою очередь загрузилась через стандартную утилю LoadDll.exe и впринципе сплойт нормально отработал (EIP затерся на db 8Ah,05h,45h,7Eh). Так что не обязательно атачиться.


Ранг: 274.0 (наставник)
Статус: Участник
Advisor

Создано: 12 июля 2008 19:40 New!
Цитата · Личное сообщение · #17

[HEX] пишет:
Хелл то выкладывал скомпиленый сплойт без шеллкода

Угу...и на коменты пожадничал...


Ранг: 539.6 (!)
Статус: Участник
оптимист

Создано: 18 июля 2008 01:36 New!
Цитата · Личное сообщение · #18

Замени DEBUGHELP.dll более новой версией(Я поставил себе из пакета Microsoft Debugger 6.8.4.0) если тебе нужно я могу скинуть эту dll, толька укажи ссылку


Ранг: 660.7 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 26 августа 2008 13:55 New!
Цитата · Личное сообщение · #19

ClockMan
Да залей её куда-нибудь, эту библу, кому нужно, тот скачает


Ранг: 88.4 (постоянный)
Статус: Участник

Создано: 26 августа 2008 14:08 New!
Цитата · Личное сообщение · #20

dbghelp.dll - 6.8.4.0


{ Атач доступен только для участников форума } - dbghelp.7z


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 14 сентября 2008 15:19 New!
Цитата · Личное сообщение · #21

есть hotfix для xp sp2 обновляющий dbghelp.dll?
 eXeL@B —› Основной форум —› OllyDBG buffer overflow

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS