OllyDbg "INT3 AT" Format String Vul-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

OllyDbg "INT3 AT" Format String Vul

发表于: 2005-5-14 05:12 4832

OllyDbg "INT3 AT" Format String Vul

jskew

2005-5-14 05:12

4832

OllyDbg "INT3 AT" Format String Vulnerability
   by Piotr Bania <bania.piotr@gmail.com>
   c19K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8T1i4K6u0W2M7%4m8W2j5$3W2S2L8r3W2K6k6h3c8Q4x3X3g2A6L8X3k6G2

   Original location: 9feK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8T1i4K6u0W2M7%4m8W2j5$3W2S2L8r3W2K6k6h3c8Q4x3X3g2A6L8X3k6G2i4K6u0r3j5h3I4D9i4K6u0r3j5h3c8$3i4K6u0r3L8$3I4D9P5g2)9J5k6r3W2F1N6o6y4Q4x3X3c8S2k6s2k6Q4x3X3g2@1P5s2b7`.

   Severity: High / Medium - code execution.
   Version affected:    Probably all versions, tested on
v1.10.

   I. BACKGROUND

   "OllyDbg is a 32-bit assembler level analysing debugger for Microsoft Windows.
   Emphasis on binary code analysis makes it particularly useful in cases where
   source is unavailable."

   II. DESCRIPTION

   Vulnerability takes place when module (with special crafted file name) executes
   int 3 instruction (trap to debugger).

   Here is the vulnerable code:

   .text:0042FBE0                lea    eax, [ebp+buffer]
   .text:0042FBE6                push eax             ; *** format ***
   .text:0042FBE7                mov    edx, [ebp+var_28]
   .text:0042FBEA                push edx
   .text:0042FBEB                call sub_42E100       ; _vsprintf->___vprinter

   Where format is an ascii string like: "INT3 command at <module_name>.addr".
   Attacker can place a format string chars inside "<module_name>" (part of format
   buffor) and cause Olly to overwrite arbitary data.

   NOTE: Even with "IGNORE INT3 BREAKS" option checked, OllyDbg is still vulnerable.
         Attacker can also load some special crafted module (with special crafted
         name) while debugging, to make the attack more stealthy.

   III. IMPACT

   This vulnerability after successful exploitation can allow the
   attacker to run arbitrary code in context of current user.
   Of course if the exploitation was not successful OllyDbg will fault
   and loose all debugged data.

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (4)
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 2 楼漏洞真多啊 2005-5-14 08:11 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 3 楼郁闷~! 2005-5-14 08:42 0
gxggxy103 雪币： 528 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	gxggxy103 4 楼看不明白，我也郁闷 2005-5-14 13:04 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 5 楼这些漏洞似乎都与OD格式化处理有关 2005-5-14 14:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

jskew

发帖

352

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (4)
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 2 楼漏洞真多啊 2005-5-14 08:11 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 3 楼郁闷~! 2005-5-14 08:42 0
gxggxy103 雪币： 528 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	gxggxy103 4 楼看不明白，我也郁闷 2005-5-14 13:04 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 5 楼这些漏洞似乎都与OD格式化处理有关 2005-5-14 14:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复