来自 应用 2021-05-03 10:13 的文章

网站安全防护_防三高_超稳定

网站安全防护_防三高_超稳定

新的零日Adobe Acrobat Reader漏洞分析-第2部分之前,在本系列的第一篇博客中,我们讨论了一个恶意的PDF文件并提取了恶意脚本。现在,我们有一个可读格式的恶意脚本,想知道它是否成功运行。我现在不打算运行原始恶意文件。我将用一个简单的外壳代码替换原来的外壳代码,它将打开一个"小算盘"成功开采后。问题是原始恶意PDF文件是编码格式的,因此我们无法编辑文件中的恶意脚本。为此,我将使用"makepdf"创建一个新的测试PDF文件-javascript.py"PDF工具中的工具。此工具将创建一个包含JavaScript的简单PDF文件,打开后将显示一个消息框。我将使用命令D:\makepdf在这个文件中添加恶意JavaScript代码-javascript.py--javascriptfile=恶意_脚本.js 测试.pdf我要用另一个外壳代码打开"小算盘". 这是新创建的PDF文件:让我们打开它,看看这个漏洞是否有效。这次它只不过是撞坏了,没有打开一个"小算盘". 但我有机会研究一下调试器。这是ollydbg调试器的状态,EDX当前指向零,它正试图从[EDX+4]调用DWORD。因为它是零,所以它有一个访问冲突异常。此外,微软云防御ddos,我们发现该模块是"C:\Program Files\Adobe\Reader 9.0\Reader\plug-ins"\多媒体.api". 是否让调试器中的某些值手动更改?因为我们已经填充了一个堆,所以我们需要相应地更改值。我发现我们的NOP sled和shell代码加载在"0a0a0a"地址,所以这是我们要使用的值。这是ollydbg的状态,ddos攻击包月如何防御,一旦我修改了值,现在EDX指向"0x0A0A0A0A"地址,[EDX+4]包含地址"0x0A0A0A20",这是我们的NOP sled。所以一旦我在Ollydbg中按下"F9"(运行)按钮,它将跳转到"0A0A0A20"地址并从那里开始执行所有操作。您可以在调试期间逐步看到这一点。是的,它已经执行了NOP sled和我们的外壳代码并且"小算盘"在机器上打开了。但这是通过手动更改值来实现的。看起来内存损坏有问题。我用了一点代码,发现我们必须在try{}块之前再添加一行易受攻击的函数。下面是新修改的代码的外观,ddos无视防御,一旦我再次运行此文件,外壳代码成功执行,并显示一个带有错误消息的经典弹出框并打开"小算盘,ddos安全防御原理,从上面可以清楚地看出,服务器ddos防御指的是峰值吗,易受攻击的方法存在内存释放问题实用程序打印()". 它需要用try{}块调用这个方法两次。代码成功执行并打开了一个计算器。这意味着如果我们现在移除小算盘"外壳代码并使用原始外壳代码,则它将在后台执行而不发出任何通知。由于博文篇幅的原因,这次我不打算详细介绍原始shell代码。这就是这个系列。乌梅什Zscaler_媒体_中心2_博客_发布_1-R1