作者丨黑蛋

今天的话题主要针对二进制小白，来聊一下二进制为什么是众所周知学习周期是相对较长的一个学习方向，没有啥捷径可以走。我们以分析漏洞这个方向为一个突破口来讲讲。就像分析漏洞CVE-2012-0158这个经典的栈溢出漏洞，CVE-2012-0158是一个office栈溢出漏洞，Microsoft Office 2003 sp3是2007年9月18日由微软公司创作的一个办公软件，他的MSCOMCTL.ocx中的MSCOMCTL.ListView控件检查失误，读取数据时，读取长度和验证长度都在文件中，这样参数可以人为修改，触发缓冲区溢出漏洞。具体漏洞分析可以阅读我们公众号前期文章。

分析漏洞首先我们需要进行漏洞验证，找到已有的POC，验证漏洞是否存在。而涉及到POC，就得说到Payload的构造，然后就要谈到Shellcode，而对于编写一段简单的弹窗Shellcode，我们首先需要编程能力，无论是使用何种，这里都需要我们有一定的编程能力，而要构造类似万金油的弹窗Shellcode，我们更需要拥有系统编程的知识，以及PE结构的知识，去动态获取所需要的各种函数。汇编写Shellcode部分代码如下：

void main()
{
    _asm{
       nop
       nop
       nop
       nop
       nop
       nop
       nop
 
       CLD
       push 0x1e380a6a
       push 0x4fd18963
       push 0x0c917432
       mov esi,esp
       lea edi,[esi-0xC]
        
       xor ebx,ebx
       mov bh,0x4
       sub esp,ebx
 
       mov bx,0x3233
       push ebx
       push 0x72657375
       push esp
       xor edx,edx
        
       mov ebx,fs:[edx + 0x30]
       mov ecx,[ebx + 0x0C]
       mov ecx,[ecx + 0x1C]
       mov ecx,[ecx]
       mov ebp,[ecx + 0x08]
        
find_lib_functions:
       lodsd
       cmp eax,0x1e380a6a
       jne find_functions
       xchg eax,ebp
       call [edi - 0x8]
       xchg eax,ebp
 
find_functions:
       pushad
       mov eax,[ebp + 0x3c]
       mov ecx,[ebp + eax + 0x78] 
       add ecx,ebp
       mov ebx,[ecx+0x20]
       add ebx,ebp
       xor edi,edi
 
next_Function_loop:
       inc edi
       mov esi,[ebx + edi * 4]
       add esi,ebp
       cdq
       。
       。
       。

这里流程就是通过FS寄存器指向TEB结构，然后偏移0x30的地址找到PEB结构，然后再到偏移0x0C的地址找到PEB_LDR_DATA结构体的指针，然后找到模块初始化链表，找到第二个链表节点Kernel32.dll，随后找到Kernel32.dll基址，通过遍历导出表，找到LoadLibrary函数和GetProAddress函数，获取我们所需要的所有函数。这样的Shellcode可以不依靠任何环境进行运行，缺啥就可以自己找啥。随后我们借助调试工具OD和16进制编辑器010Editor扣出我们所需要的硬编码如下：

FC 68 6A 0A 38 1E 68 63 89 D1 4F 68 32 74 91 0C
8B F4 8D 7E F4 33 DB B7 04 2B E3 66 BB 33 32 53
68 75 73 65 72 54 33 D2 64 8B 5A 30 8B 4B 0C 8B
49 1C 8B 09 8B 69 08 AD 3D 6A 0A 38 1E 75 05 95
FF 57 F8 95 60 8B 45 3C 8B 4C 05 78 03 CD 8B 59
20 03 DD 33 FF 47 8B 34 BB 03 F5 99 0F BE 06 3A
C4 74 08 C1 CA 07 03 D0 46 EB F1 3B 54 24 1C 75
E4 8B 59 24 03 DD 66 8B 3C 7B 8B 59 1C 03 DD 03
2C BB 95 5F AB 57 61 3D 6A 0A 38 1E 75 A9 33 DB
53 68 66 66 66 66 68 66 66 66 66 8B C4 53 50 50
53 FF 57 FC 53 FF 57 F8

有了Shellcode，我们可以开始进行漏洞分析，这里就需要动态调试工具OD了，去附加有漏洞的进程，通过附加Office2003，找到漏洞溢出点，所以研究漏洞，我们还需要对汇编语言的学习，以及对调试工具的熟练使用，而熟练使用调试工具，我们是必备一定的正向开发基础，以及扎实的汇编基础，随后才可以对调试工具的使用进行学习练习。然后才可以通过对漏洞软件的调试，找到溢出点，然后构造我们的Payload，完成我们一次对漏洞Exp的编写，完成我们一次对漏洞的分析利用。

这只是一次很简单的漏洞分析，所需要的基础知识就有汇编，C语言，数据结构，系统编程，PE结构，而这里每一个知识点都需要一段时间去学习，巩固。而这仅仅是对基础知识的要求，也仅仅是一个基本漏洞所需要的知识点，如果缺少任意一个环节的知识点，我们都是寸步难行，而拥有这些知识点，我们还要去学习把基础知识全部融合起来，综合的去运用，然后才可以用到实践过程中去。而无论是研究二进制大方向中的任何一个方向，前面所说的基础知识都是必备的东西，随后才可以根据不同方向进行学习探索。