Poster un commentaire - Retour à l'article
Ge0, le 23/08/2011 :
Salut Heurs,
J'arrive à sauter sur mon shellcode mais celui-ci ne s'exécute pas, saurais-tu pourquoi ?
Pour info :
f6b9fc20 33db xor ebx,ebx
kd> t
*** Fatal System Error: 0x000000fc
(0xF6B9FC20,0x0AEA4163,0xF6B9FBAC,0x00000001)
A fatal system error has occurred.
Debugger entered on first try; Bugcheck callbacks have not been invoked.
A fatal system error has occurred.
The debuggee is ready to run
nt!RtlpBreakWithStatusInstruction:
80527bdc cc int 3
J'ai retapé le tien pour enlever les octets nuls car j'exploite un strcpy, et lorsque je l'exécute au pas à pas ça n'a pas l'air de le faire super bien.
Pour information j'exploite un Windows XP SP3 avec vmware. Mail-moi si tu veux plus d'infos.
Réponse :
Avec strcpy() WDK met un security_check donc tu pourras pas l'exploiter à moins de déclencher une exception avant. Laisses le memcpy() et réessaye, au besoin colle un "!analyze -v" ce sera surement plus simple à lire ;-)
Heurs
Geo, le 08/08/2009 :
Salut, Heurs.
Avant de me lancer dans la complète compréhension de l'article (qui a l'air intéressant puisque je n'avais jamais vu ça auparavant), j'ai quelques questions :
- "kd>", c'est quoi ? Je sais que j'ai l'air débile, mais je vois ça partout sans savoir ce que c'est ;
- Si on fait n'importe quoi et qu'on fait un sysenter, réalise-t-on tout de même un BSOD ? Existe-t-il une fonction a hooker pour éviter de BSOD (sans détruire l'OS, si possible !) ?
A plus !
Geo.
Réponse :
Hello ma poule !
kd signifie Kernel Debugger, c'est un outil de débug type olly mais pour le kernel. Tu peux l'utiliser avec windbg et le config pour débuger un machine virtuelle (c'est plus sur que pour du RE de kernel local).
Pour SYSENTER toutes les entrées sont filtrées, si tu trouves un moyen de faire un BSOD en appelant sysenter appels moi ;-) Je me ferais un plaisir d'examiner ca avec toi. Cette entrée est très contrôlée par le kernel donc tkt pas, tu peux fuzzer sans risque (ou pas) ;-)
++ et à bientôt
Heurs
Les commentaires sont soummis à certaines règles, qui sont une question de bon sens.
Utilisez-les à bon escient. Vous pouvez donnez votre opinion, vos critiques, nous signaler des fautes, apporter des précisions. Vous pouvez également nous poser des questions ; nous essaierons de vous répondre dans la mesure du possible.
Ne confondez pas commentaires et forum ; votre commentaire doit être en rapport avec l'article. Si vous souhaitez donner un commentaire général sur le site, envoyez-nous plutôt un mail.
Merci de nous laisser votre adresse e-mail, afin que nous puissions vous recontacter si besoin. Le code HTML n'est pas interprété dans les commentaires.
Les commentaires sont soummis à une validation des administrateurs. S'ils ne respectent pas ces règles, ils seront systématiquement refusés. Merci de votre compréhension ;-)
