漏洞挖掘方法之静态扫描+经典栈溢出实例

这篇文章是关于漏洞挖掘的一种方法—静态扫描潜在危险函数。为了使文章内容充实有干活，笔者在自己使用静态扫描发现的漏洞中选择一个经典栈溢出来讲解，包括对该溢出的挖掘过程，利用方法，shell?code构造等。

Part?Ⅰ静态扫描方法论及工具开发

漏洞挖掘的方法众多，比如Fuzz，源码审计，二进制代码扫描等等。Fuzz属于动态方法，凡是动态方法的都需要有一个比较全面的路径覆盖，所以需要比较高的自动化系统，实现成本比较高。源码审计实现比较简单，但是需要接触到源代码，所以对很于第三方检测机构来说一般得不到源码无法采用这种方法。

接下来就是今天的主角了—二进制代码扫描：这种漏洞挖掘方法的思路就是扫描目标程序的二进制文件，通过PE文件分析，指令分析等来发现目标程序中存在的潜在漏洞代码。最容易想到的就是通过扫描PE文件的倒入表，查找是否存在危险函数，这种扫描方法速度快，而且比较有效，但是也有缺点：检出率不高，存在遗漏，因为只能扫描到倒入表这一方面，而如果一些模块是使用了静态lib链接的话，那就可能直接把某些危险函数嵌入了模块内部，倒入表中不存在。所以还需要加以指令分析的方法，但是指令分析的实现难度和成本都比较高，因为要考虑到所有的漏洞模式，这也导致了另一个缺点检测速度非常慢。

对于零散的漏洞挖掘人员来说，没有经历和时间来实现比较系统化的工具，但是倒入表的扫描这一点来说还是比较容易实现的。如果不闲麻烦，找到一个程序目录，然后使用Dependency?Walker一个一个去查找倒入表，找到你认为危险的函数，谁会有这么多体力呢……所以，动动小手写个工具吧，BinCodeAudit就此诞生了。

BinCodeAudit是一个基于Python语言开发的用于批量扫描程序导入的潜在危险函数的工具，该工具的最初设计结构如下图：

P1
现在，除了UI界面之外其他功能都已经实现。这里贴出一下目前的一个命令行模式的主程序模块代码：

使用方法：

生成的报告使用HTML文件的方式：

P2

这个项目已经在sf创建了版本，如果有兴趣的同学可以申请一起加入开发维护，如果有好的比较大功能想帮忙添加也欢迎找我拉取分支。
Git?地址：http://git.code.sf.net/p/bincodeaudit/code?
SourceForge项目主页：http://sourceforge.net/projects/bincodeaudit

Part?Ⅱ静态扫描实战及经典栈溢出一例

上面简单介绍了静态扫描工具的开发，开发工具不是目的，使用工具去找到更多的漏洞才是我们的目的，磨完刀就可以试一下了，我在这里选取Notepad++这个程序来做实例。

一、扫描二进制代码，发现目标

?首先用我们的工具来扫描整个安装目录下的所有文件，以检测是否有目标函数，这里我们的目标函数选取了CRT库函数strcpy，wcscpy，以及Kernle32模块中的lstrcpyA/W，lstrcatA/W。然后直接启动扫得到扫描结果报告：

可以看到能够导致栈溢出的危险函数还是很多的，主程序里面只检测出来两个危险函数，而其他的大都是notepad++的插件模块，看来Notepad++插件的开发者贡献的代码质量并不是很高。现在选定一个目标，我们就以notepad++.exe这个程序中导入的lstrcpyW这个函数为靶子，然后就要开始分析了。

二、尝试静态分析函数调用点，发现漏洞触发场景

?首先静态分析notepad++.exe看是否可以找到调用lstrcpyW函数的地方使用了我们可以控制的数据作为源字符串参数的。但是……经过使用IDA初步查看，该函数的调用点太多，静态分析的方法需要耗费太大的人力：

?
P4
所以，这一步就直接略过了，因为这只是找到问题的一种方法，既然此方法成本太高，就没必要纠结一定要用这种方法，以后有机会再选择一个可以直接通过静态分析直接找到漏洞的例子。
三、调试分析，发现漏洞触发场景
静态分析方法行不通，那就直接调试了，调试的时候要明白三点：
1.我们要找的是栈溢出
2.溢出函数可能发生在lstrcpyW
3.我们要找到在调用lstrcpyW函数的时候源字符串使我们可控的
清楚上面三点我们就要想方法通过调试器来协助我们找到上面3所描述的情景了，很容易想到要在lstrcpyW函数下断点，并且每次断点的时候都要把lstrcpyW函数的源字符串输出，以便于我们确认该数据是否可控。
打开Noetpad++.exe然后用Windbg附加进程，设置断点：

代码:

bp?kernel32!lstrcpyW?"du?poi(@esp+8);g"

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!