OllyDBG buffer overflow

Сейчас на форуме: Magister Yoda (+9 невидимых)

Посл.ответ	Сообщение
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 10 июля 2008 21:42 · Поправил: Hellspawn · Личное сообщение · #1 ну вот, свалилась на наши головы ещё одно неприятность, переполнение в любимой ольге и ImportREC подробнее >> www.milw0rm.com/exploits/6031 переполнение происходит из-за длл, в которой есть экспортируемая функция с именем длинней 256. `00491502 \|. FF55 E8 CALL [LOCAL.6] ; DBGHELP.SymLoadModule << overflow` тему создал, чтобы никто не напоролся на шелл код. пока как вариант можно запатчить ольгу >> 004914EE JMP 004917F6 более красиво ещё не удалось... Длл приатачил. a93d_10.07.2008_CRACKLAB.rU.tgz - ollybof.dll ----- [nice coder and reverser]

[HEX] Ранг: 467.7 (мудрец), 5thx Активность: 0.27↘0 Статус: Участник Иной :)	Создано: 10 июля 2008 22:30 · Личное сообщение · #2 Где то уже подобное (переполнение через длинное экспортируемое имя функции) было помоему ----- Computer Security Laboratory
mak Ранг: 673.3 (! !), 400thx Активность: 0.4↘0.31 Статус: Участник CyberMonk	Создано: 11 июля 2008 00:58 · Личное сообщение · #3 У меня такое чувство что уже напоролся. Грузил олю , прогу туда , а потом бац в оле проги уже давно нет , а мне кричит антиврь , типо оля грузит снета дровину. Такое впервые за 2 года пользования одной и то же олей. надо чистить комп значт. ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube
Flint Ранг: 238.8 (наставник), 67thx Активность: 0.2↘0 Статус: Участник CyberHunter	Создано: 11 июля 2008 09:39 · Личное сообщение · #4 Ни хрена не робит! Во первых, не хочет компилироваться экзешник (на masm) с таким длинным именем импортируемой функции. Во вторых, даже после правки руками экзешника, вызываем LoadLibrary нормально, а при GetProcAddress получаем нуль, хотя длина импортируемой функции как в dll 260. И даже если под олькой посмотреть на имена экспортируемых функций в dll, то там не видно "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" ----- Nulla aetas ad discendum sera
censor Ранг: 50.2 (постоянный) Активность: 0.01↘0 Статус: Участник	Создано: 11 июля 2008 10:08 · Личное сообщение · #5 Flint worked
Flint Ранг: 238.8 (наставник), 67thx Активность: 0.2↘0 Статус: Участник CyberHunter	Создано: 11 июля 2008 10:22 · Личное сообщение · #6 Выложи вместе с экзешником. ----- Nulla aetas ad discendum sera
censor Ранг: 50.2 (постоянный) Активность: 0.01↘0 Статус: Участник	Создано: 11 июля 2008 10:24 · Личное сообщение · #7 ollyexp.dll 0b89_11.07.2008_CRACKLAB.rU.tgz - ollyexp.dll
Flint Ранг: 238.8 (наставник), 67thx Активность: 0.2↘0 Статус: Участник CyberHunter	Создано: 11 июля 2008 10:31 · Поправил: Flint · Личное сообщение · #8 Издеваетесь с милворма я и сам скомпелировал, дай файл, который грузит эту dll. Или я сегодня не выспался Почему этот код нормально под олей проходит 00401000 PUSH 403000 ; /FileName = "OllyBuf.dll" 00401005 CALL 0040104A ; \LoadLibraryA <<<<< ЭТОТ КОД нормально обрабытывается 0040100A CMP EAX,0 0040100D JE SHORT 00401023 0040100F MOV EDI,EAX 00401011 PUSH 40300C ; /ProcNameOrOrdinal = "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAA"... 00401016 PUSH EAX ; \|hModule 00401017 CALL 00401044 ; \GetProcAddress - ВОЗВРАЩАЕТ НАМ НУЛЬ!!!!!!, ХОТЯ ФУНКЦИЯ ВИДНА ПОД PE - TOOLS 0040101C CMP EAX,0 0040101F JE SHORT 00401023 00401021 CALL EAX 00401023 PUSH 0 ; /Style = MB_OK\|MB_APPLMODAL 00401025 PUSH 403111 ; \|Title = "Buffer Overflow" 0040102A PUSH 403121 ; \|Text = "Target Olly" 0040102F PUSH 0 ; \|hOwner = NULL 00401031 CALL 00401050 ; \MessageBoxA 00401036 PUSH 0 ; /ExitCode = 0 00401038 CALL 0040103E ; \ExitProcess ----- Nulla aetas ad discendum sera
censor Ранг: 50.2 (постоянный) Активность: 0.01↘0 Статус: Участник	Создано: 11 июля 2008 10:36 · Личное сообщение · #9 loaddll.exe из стандартной поставки
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 11 июля 2008 11:24 · Личное сообщение · #10 у меня ольга тупо закрывается, никаких сообщений нету Flint - какая у тебя винда? ----- [nice coder and reverser]
ProTeuS Ранг: 172.2 (ветеран) Активность: 0.07↘0 Статус: Участник	Создано: 11 июля 2008 12:50 · Личное сообщение · #11 Hellspawn, в экспе же написано >> Included shellcode shows a messagebox (WinXP SP2) тобишь, предположительно, в шеллкоде забиты JMP XXX для XP SP2 ENG... ----- HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE
[HEX] Ранг: 467.7 (мудрец), 5thx Активность: 0.27↘0 Статус: Участник Иной :)	Создано: 11 июля 2008 13:06 · Личное сообщение · #12 ProTeuS Поэтому Хэл и спрашивает какая у него винда! ----- Computer Security Laboratory
ProTeuS Ранг: 172.2 (ветеран) Активность: 0.07↘0 Статус: Участник	Создано: 11 июля 2008 13:15 · Личное сообщение · #13 проверидл на двух машинах (XP SP2 ENG, not all patches) - крешится олька просто, пейлод не исполняется. при4ем db 8Ah,05h,45h,7Eh ; Address of messagebox in winxp sp2 соотвествует VA функи на машинах, где проверялся ----- HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE
Flint Ранг: 238.8 (наставник), 67thx Активность: 0.2↘0 Статус: Участник CyberHunter	Создано: 11 июля 2008 17:04 · Личное сообщение · #14 Hellspawn XP SP2, должно работать имхо, но не работает ----- Nulla aetas ad discendum sera
ProTeuS Ранг: 172.2 (ветеран) Активность: 0.07↘0 Статус: Участник	Создано: 12 июля 2008 11:16 · Личное сообщение · #15 Bronco, пере4итай внимательно каменты к экспу. для уда4ной отработки пейлода, нужно загружать либу в свою прогу, к которой атта4ится олькой а не просто открывать эксплойт в отлад4ике ----- HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE
[HEX] Ранг: 467.7 (мудрец), 5thx Активность: 0.27↘0 Статус: Участник Иной :)	Создано: 12 июля 2008 12:55 · Поправил: [HEX] · Личное сообщение · #16 Кстати Хелл то выкладывал скомпиленый сплойт без шеллкода Посему все верно что Ольга тупо слетает и никаких месаджбоксов. Если хотите с мессаджбоксом, то компилите пример сам из исходника с милворма или взять уже скомпиленый пример из поста censor. ProTeuS Только что пробовал загружал в оллю просто длл-сплойт, которая в свою очередь загрузилась через стандартную утилю LoadDll.exe и впринципе сплойт нормально отработал (EIP затерся на db 8Ah,05h,45h,7Eh). Так что не обязательно атачиться. ----- Computer Security Laboratory
Bronco Ранг: 312.0 (мудрец), 349thx Активность: 0.46↗0.65 Статус: Участник Advisor	Создано: 12 июля 2008 19:40 · Личное сообщение · #17 [HEX] пишет: Хелл то выкладывал скомпиленый сплойт без шеллкода Угу...и на коменты пожадничал... ----- Чтобы юзер в нэте не делал,его всё равно жалко..
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 18 июля 2008 01:36 · Личное сообщение · #18 Замени DEBUGHELP.dll более новой версией(Я поставил себе из пакета Microsoft Debugger 6.8.4.0) если тебе нужно я могу скинуть эту dll, толька укажи ссылку ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
ARCHANGEL Ранг: 681.5 (! !), 405thx Активность: 0.42↘0.21 Статус: Участник ALIEN Hack Team	Создано: 26 августа 2008 13:55 · Личное сообщение · #19 ClockMan Да залей её куда-нибудь, эту библу, кому нужно, тот скачает ----- Stuck to the plan, always think that we would stand up, never ran.
VaZeR Ранг: 88.4 (постоянный) Активность: 0.08↘0 Статус: Участник	Создано: 26 августа 2008 14:08 · Личное сообщение · #20 dbghelp.dll - 6.8.4.0 a34e_26.08.2008_CRACKLAB.rU.tgz - dbghelp.7z
r99 Ранг: 328.7 (мудрец), 73thx Активность: 0.17↘0.01 Статус: Участник	Создано: 14 сентября 2008 15:19 · Личное сообщение · #21 есть hotfix для xp sp2 обновляющий dbghelp.dll?

Для печати