百度空间 | 百度首页 
               
 
查看文章
  
有趣的ms08-067漏洞刚好印证我的看法
2008-10-24 21:21

       ms08-067真是有趣呀,和dns的rpc漏洞一样,差不多是属于一些边界条件的问题引起的溢出,所以sdl的安全api也不管用了。出问题的函数没有使用缓冲,所以GS编译选项也不管用,就是有GS编译选项保护对这个漏洞也不管用了,因为这个漏洞的数据可以“向下”移动后拷贝,cookie保护也就很容易突破。

    所以说安全不是安全api就能解决的,路还很远。

    很早也发现了一个GS编译选项没有考虑到的溢出问题。


类别:漏洞 | 添加到搜藏 | 浏览() | 评论 (7)
 
最近读者:
 
网友评论:
1
2008-10-24 22:20 | 回复
袁哥,你把漏洞测试写详细点让大家都开开眼界!~
 
2
2008-10-30 11:57 | 回复
哎。。。可怜啊
 
3
2008-11-08 16:55 | 回复
袁哥,兄弟愚钝.你说的因为这个漏洞的数据可以“向下”移动后拷贝,所以/GS保护也不作用,这个我不怎么理解?如果堆栈低址处的那个栈桢对应函数的EBP和RET被覆盖了,假设有GS的话,该函数返回的时候也一样要cookie检测啊
 
4
2008-11-08 20:16 | 回复
除非是那个ret被覆盖函数刚好没有缓冲区的变量分配,正好没/GS保护
 
5
2008-11-12 18:04 | 回复
袁哥说的突破/GS,应该是指在漏洞函数返回前还有个wcscpy调用,所以只要覆盖wcscpy的返回地址就能得到控制权了,而这时还没到cookie检查。
 
6
2008-11-17 09:55 | 回复
5楼的正解,谢谢
 
7
2009-02-06 17:00 | 回复
5楼真是正解吗,可能袁哥也没太注意wcscpy吧,所以后来又加上不能用返回地址,我猜测袁哥可能是在覆盖那几个指针上做文章吧
 
发表评论:
姓 名:
网址或邮箱: (选填)
内 容:
验证码: 请点击后输入四位验证码,字母不区分大小写
      

     

©2009 Baidu