1.10.3 宽字符
“对IDA/IDQ漏洞提交的URL被改变,是因为发送的内容由单字节转换成了宽字符。”
小知识:单字节、多字节和宽字节
在多年前,许多人一直将文本串作为一系列单字节字符来进行编码,并在结尾处放上一个零。但单字节只能有256种编码,根本不够表示世界各国的文字。这样,就出现了多字节编码。
在多字节编码中,字符有单字节和双字节。在双字节字符中,第一个字节或“前导字节”发出信号,表示它和下一个字节将被解释为一个字符。因为字节编码既有单字节又有双字节,这样就比较麻烦。
“宽字符”是双字节、多语言字符代码。每个字符都用固定的 16 位大小表示,因此使用宽字符可以简化国际字符集的编程。特别的,Unicode就是一种宽字符编码的国际标志,它用一个16位的值来表示每个字符。
“所以,在最开始的时候,eEye的办法是在ShellCode前面放上很多NOP,这样就把ShellCode推向了0x004x00xx的地址,就可以用xx4x这样的串来覆盖ret,这个串被扩展为xx004x00以后,正好跳转到ShellCode的位置。”
“哇,办法很巧妙哈!”大家说道。
“嗯,这种方法虽然理论上行得通,但实际上问题非常多,可以控制跳转却无法执行代码,而且不同的机器这个0x004x00xx都不一样,这样就很难做出通用性比较好的Exploit。”
“哦,那怎么办呢?”
“随着技术的发展,有人发现可用巧妙的方法来避开被扩展成宽字符,这样我们就可轻松的改写很完善的Exploit了!”
“哦!黑客精神真是好啊!很多困难的问题大家一起解决、一起进步。”大家由衷的说道,“用的是什么方法呢?”
“方法就是:在我们要用的JMP 04、JMP EBX地址和ShellCode前面加一个‘%u’符号,IIS是这样处理‘%u’的,它认为是宽字符,就不再作变换了。比如,JMP 04的指令写成 %u04eb 。我们把ShellCode都加上‘%u’,就不会改变我们的东西了。”
“哦!这样啊!真是一语点破天机啊!”台下感叹道。
“呵呵,这就是黑客魅力的所在。好了,我们就用这个办法把这个Exploit完成吧!”
“好咧!”
大家一边回答,一边给ShellCode添上“%u”标志。
“呼! 添加完成了。”同学们擦擦汗。
“好!我们运行试试吧!”老师一编译、执行,哈,一个用户就添加上了。
“哦!”教室里欢呼了起来,“成功罗!成功罗!”
“呵呵,菜鸟还是有菜鸟的乐趣吧!尤其是经过种种挫折后的成功,会很有成就感的!好,今天就到这里,下周这个时候我们再继续吧!”