来自 CC防护 2021-05-03 10:18 的文章

网站防御_ddos防护软件技术参数_免费试用

网站防御_ddos防护软件技术参数_免费试用

野外闪存漏洞分析-第1部分今天,我的一个同事要求我提供我们为一个客户屏蔽的网页的更多细节。阻止的URL是'hxxp://www.39sys39.cn/htm/ie.html’. 他想要页面上关于威胁的细节。我下载了这个页面,发现它包含了带有堆喷射代码的模糊JavaScript。我还发现该漏洞利用包含一个名为"的源文件的标记"xp.swf软件". 乍一看,很明显该页面试图利用Flash漏洞。攻击代码如下所示:上面的漏洞利用简单的混淆来逃避签名引擎。如果我们解码上面的脚本,我们会发现以下内容:它还将堆喷洒到地址"0x08080808"上。很快,我们将了解为什么需要此地址来利用该漏洞。我都下载了ie.html"和"xp.swf软件"进一步分析的文件。我还上传了xp.swf软件"将文件发送到Virustotal,以查看它是否是已知的攻击或可能是零天内容。41个防病毒引擎中只有9个检测到该文件是病毒。那些做过的人将该文件识别为攻击CVE-2009-1862的漏洞。这是最近的一个漏洞,针对该漏洞的攻击代码目前非常流行,影响到Adobe Reader和Adobe Flash player。为了检查漏洞攻击是否正常工作,我将漏洞攻击中的外壳代码替换为将执行的简单外壳代码"小算盘". 我用Firefox和internetexplorer打开了这个文件,然后JavaScript代码成功地利用了Flash中已知的漏洞,并执行了我们的替换shell代码来打开"小算盘". 这说明了该漏洞的危险性,因为它要求受害者直接访问包含Flash漏洞的恶意页面。无需用户进一步干预。在这个例子中,我替换了原来的外壳代码进行测试,并且成功地利用漏洞打开了计算器。接下来,我想确定原始外壳代码的用途,因此我修改了原始的漏洞利用代码以强制崩溃,以便进一步调试。我再次运行该文件,这一次使用Internet Explorer,discuz如何防御ddos,并收到以下弹出消息:上图中引用的内存地址是"0x08214408"。程序无法从无效地址读取数据,这导致了崩溃。现在,低成本防御ddos,如果您还记得,blog的第一个映像中的原始漏洞利用"0x08080808"内存地址向堆中喷洒外壳代码。答对 了!这意味着程序崩溃可能是由于内存损坏。这就是为什么该漏洞攻击必须使用地址"0x08080808"喷洒堆。然后单击"取消"按钮进一步调试。我想找出哪个指令实际读取数据并调用外壳代码。下面是OllyDbg调试器的第一个状态:请看上面的说明。寄存器EDX试图从ESI读取指向无效地址08214408的值。让我们分析一下下面的说明。MOV EDX,DWORD PTR DS:[ESI]MOV EAX,高防盾cdn,DWORD PTR DS:[EDX+44]PUSH EBP MOV ECX,ESI CALL EAX TEST AL,AL让我们假设[ESI]包含一些移到EDX的值。那么EAX将包含值[EDX+44]。然后程序将在堆栈上推送EBP,将ESI地址移到ECX,并查看下一条指令"calleax"。这是调用执行外壳代码的地方。我们可以得出这样的结论:如果我们在堆中喷洒08080808和shell代码,[ESI]将包含08080808,它将被移动到EDX。EAX还将包含08080808,它将在"MOV ECX,ESI"命令之后调用。然后这个调用将跳转到位于0x08080808地址的堆内存,并执行外壳代码。让我们看看这是否成立。这次我在Firefox中重新打开了原来的漏洞,在上面提到的指令处设置了一个断点,果然,我们是对的。EAX现在指向08080808,ddos防御设备怎么部署,堆被喷上08字节和外壳代码。如果我按"F9"继续,神盾的高防cdn,它将跳转到堆区域并执行找到的指令。指令0808实际上是一个NOP sled。它只是"OR BYTE PTR DS:[EAX],CL",因为CL包含08,所以它什么也不做。它将通过执行0808指令到达外壳代码,并最终执行恶意代码。这意味着恶意闪存文件中的某些字段/值正在导致内存损坏。下面是原始外壳代码如何加载到内存中,这只是此漏洞利用的概述。在下一部分中,我们将了解原始外壳代码的功能。具体来说,我们将确定下载到受害者机器上的附加内容。此漏洞利用证明了flash漏洞利用非常危险。这种攻击不需要用户干预。只要访问恶意网页,受害者就会被利用。这是第一部分的内容。一定要回来看看这个博客的第二部分。乌梅什Zscaler_媒体_中心2_博客_发布_1-R1