Форум "Защита и взлом" (архив)
Не только для хакеров...
#0 IronHawk © 11.09.03 11:17:39 - 23.12.03 18:28:46 Подробности удаленного переполнения буфера в RPC DCOM...Уязвимость может быть воспроизведена DCERPC "bind" пакетом, за которым следует специально сформированный DCOM object activation request пакет. Управляя длиной поля внутри активационного пакета, пользователь может перезаписать произвольные части динамической памяти и выполнить произвольный код на уязвимом сервере. Посылая серию пакетов, можно вызвать исключение в пределах обычного RtlAllocateHeap: PAGE:77FC8F11 mov [ecx], eax PAGE:77FC8F13 mov [eax+4], ecx Контролируя значения eax и ecx, можно записать данные в произвольные части памяти. Произвольный код может выполнятся различными способами, например через unhandledexceptionfilter или заблокированный PEB указатель. В этом случае проще всего перезаписать указатель внутри перезаписываемого .data раздела внутри RPCSS.DLL. .data:761BC254 off_761BC254 dd offset loc_761A1AE7 ; DATA XREF: sub_761A19EF+1C_r .data:761BC254 ; sub_761A19EF+11D_w ... .data:761BC258 off_761BC258 dd offset loc_761A1B18 ; DATA XREF: sub_761A19EF+108_w .data:761BC258 ; sub_761A1DCF+13_r Перезаписывая offset x761BC25 нашим выбранным EIP значением, атакующий может контролировать выполнение программы непосредственно после переполнения. Дополнительные подробности см. в источнике сообщения. 
|
|
#1
FIcha
23.12.03 18:14:52
Если есть у кого подробная инфа о том как это работает пришлите плиз на мое мыло. Буду очень благодарен. С Уважением Ficha |
|
#2 Andrey © 23.12.03 18:28:46
>Дополнительные подробности см. в источнике сообщения. Хм... источноком сообщения является IronHawk... чето нехочется мне внутрь него заглядывать :)))) |
Тема находится в архиве
Написать ответ |
|