4.3.1 溢出点的定位

“Messenger 服务是一个 Windows 服务，它传送 net send 消息。在CMD控制台下，我们执行 net send 对方计算机名 消息 ，对方就会弹出一个信使服务对话框，显示我们传递给它的消息内容。如图4－34。”

“哦，这种消息传送的方法，比不上QQ、MSN，有什么用呢？”大家问道。

“Windows Message服务除了用于用户间发送消息、管理员向用户发送管理警报外，也可用作事件通知，比如当打印作业完成或计算机断电而切换到UPS时，自动使用Message通知用户。”

“哦，原来可以和其他程序联动啊！”大家都明白了。

“是的。我们从图3－34的信使服务对话框中可以看出，传送的Message包括发送方计算机名、接收方计算机名、时间和消息。”

“确切的说，Message数据包的结构如图4－35。它是通过NetBIOS（即137－139端口或UDP的135端口）传输的。”

“有了Message结构和前面网络编程的基础，我们完全可写出一个程序来完成net send正常传送消息的功能。”老师说道，“但我们要更进一步，不仅要能正常传送，还要使其溢出！”

“哦？是哪部分发生了溢出呢？时间部分？还是机器名部分？”大家猜测道。

“呵呵，微软的公告上都说了，导致该漏洞的原因是：没有正确的验证长度就把消息传递给缓冲区了。所以消息部分过长后，就可以导致堆溢出！”

“哦，是这样啊！”

“明白了溢出的原因后，我们就可以先搭一个框架，然后根据别人的漏洞分析（或者利用前面的方法）定位溢出点。”老师在黑板上画了起来，“我们可以得到：是消息的2263个字节达到了下一个堆管理结构，接下来就是两个要改写的操作指针，如图4－36。”

“哦！和前面的堆溢出分析果然一模一样啊！”同学们感叹道。

“是的，我们继续按照经典的三步走，完成攻击。”