La Fameuse Faille Du Swf.

C'est CVE-2007-0071, des problèmes flash9x.ocx, version a été affectée à 9.0.115.

La vulnérabilité est très simple, de la direction de réflexion Dowd n'a pas hors de Volkswagen, mais la clé est assez NiuBi une série de par l'utilisation de la technique.

Dowd les détails a écrit un article super Paper, estimée à beaucoup de gens, beaucoup de gens.

L'article que j'ai lu une fois, mais pour certaines raisons, pas de mains à faire enfin des produits finis, et n'a pas l'intention de faire, ce truc n'est pas de poignée de main a dit comment l'utilisation de déclenchement, mais ajouter certains Erratum concernant cet article et d'autres périphériques de petits problèmes.

Le premier obstacle est un format de fichier SWF, ce sera probablement passer de deux à trois heures de toi.

à télécharger un Sothink swf Decomplier, bien s?r, mieux encore un Flash CS3.

Le document de référence est certainement Adobe PDF format SWF de son public.

Comme avec de nombreux documents de format SWF de tête et d'une série de blocs.

Swf en comprimés et non comprimés deux, mais les deux sont à retenir la base du bloc de tête, de fa?on à compression est zlib, peut être utilisé pour la compression décompression standard zlib SWF, faire mieux (ou dérivé lors de la sélection de mode de compression non), de sorte que les données brutes semble facile.

Le format de bloc comporte une grande variété d 'étiquettes et de données, dont la plupart sont marquées par six octets, les quatre derniers étant des longueurs, et parfois, pour des raisons d' économie, deux octets lorsque le bloc a une longueur inférieure à 63 octets.

Il y a une autre forme d 'expression numérique de plus en plus longue, qui consiste à utiliser au maximum cinq octets pour exprimer un modèle de 32 bits, c' est aussi pour économiser, c 'est un peu difficile, la main est certainement difficile, mais il faut écrire un programme lui - même.

Après l 'analyse de cette corrélation dans le format de fichier, il est possible d' écrire un programme qui permet de séparer les blocs, de préférence, de les séparer en fichiers, puis de les assembler et de les éditer manuellement.

Le deuxième obstacle est celui d 'ActionScript, et il est difficile de dire combien de temps cela prendra.

Le document de référence est évidemment le PDF d 'Adobe lui - même, mais c' est - à - dire qu 'il doit être utilisé comme manuel, en gardant à l' esprit la fonction de 0 x 62 0 x 63 0 x 47.

Commen?ons par le "masktable".

C'est pour vérifier la légalité que tu as une table sensiblement peut être compris comme un char [255], inférieure à zéro le nombre d'opérations de base n'existe pas, supérieure à zéro dudit paramètre cette longueur d'opérande.

Valeur par exemple 0 × 47 correspondant de la table de décalage 0 × 47 est 0, le nombre d'opérations (0 x 47) n'a pas d'arguments.

Alors modifier ce tableau correspond à modifier les normes de vérification, par exemple, de modifier 0xF9 de décalage 0 × 20, cette inspection vérifier à 0xf9 opérandes quand skip × 20 octets, on peut masquer cet intermédiaire de mal fonctionner.

En raison de l'inspection et l'exécution sont séparées, de fonctionnement n'existe pas en soi n'est pas effectuée, alors vérifié, la mise en ?uvre du temps peut être de mauvaises choses, parce que l'opération n'existe pas, par exemple 0xf9, etc., c'est de la pure de sauter un octet.

La plus simple dans un segment as octets Paper à sortir, d'expliquer brièvement, le premier est de préserver la EIP pour restauration ultérieure de contexte; le deuxième est un pointeur pour modifier, EIP très habile, ce pointeur est juste à octets as suivante à exécuter; l'article 3 de la comparaison de la clé, besoin d'un saut, car cette adresse sera écrasée à EIP, après c'est d'acquérir le contr?le exécute d'abord, en ce qui concerne son importance, en octets peut être, de préférence, un NOP comme les quatrième et cinquième est un pointeur d'écriture à une fonction as analytique sur la pile d'adresses de retour de conservation, et enfin bien s?r, c'est un as de Ret, as fonction analytique de revenir et de commande de gain.

Il convient de noter que, Dowd donne n'est pas optimale du programme, mais le plus facile à comprendre, alors tu ferais mieux de ne pas comprendre, après cette opération de marqueur + double, peut en outre un moyen plus simple.

En ce qui concerne le tableau Mask, les contr?les de chaque version peuvent être obtenus en recherchant les caractères pertinents et sont en grande partie facilement accessibles.

L 'endroit où l' analyse peut être faite peut descendre le point de lecture de Mask, l 'endroit où elle est exécutée peut chercher un grand cas de Switch dans l' IDA, et le point de rupture peut donner des instructions qui correspondent à un point de rupture conditionnel donné à Marker, ce qui n 'est pas précis.

Un troisième obstacle peut parfois se poser, à savoir le fait que les contr?les ont été clairement effectués mais n 'ont pas été appliqués.

Ce semble mieux ne pas avec la fonction Flash CS3 - édition pour modifier directement par elle - même que les codes d'octets pour modifier.

Contexte de l'achèvement de l'exécution de processus de restauration de la fonction de garantie après la procédure normale est de ne pas le dire.

Sur d'autres plates - formes et de navigateur, et différentes versions de flash, Dowd est évidemment une erreur suspects.

Parce que tu dois écrire un endroit, version de cet endroit différent n'est pas accessible en écriture, de sorte que différentes versions facilement accroché directement, et, par conséquent, même si vous parvenez à plusieurs reprises de déclenchement, est écrit, inutile, en particulier une version un peu plus de ce problème est particulièrement évident.

Sur l 'échec.

Il y a eu un échec et le contr?le lui - même n 'a pas été chargé au hasard, mais si l' adresse de chargement flash9x.Ocx est occupée, il est raccroché.

Il est difficile pour l 'Office d' en tirer parti.

Si vous devez essayer, vous pouvez penser à grand - chose, il y a des bons et des mauvais.

Quand vous insérez le SWF, XLS s' ouvre, word ouvre et éteint l 'éditeur.

Je ne suis pas hésiter à vous faire savoir ce numéro de ce premier petit ami d 'aller, tout simplement parce que, beau est des ressources partagées dans le monde, comment il peut être occupé par une personne!