0day安全：软件漏洞分析技术（第2版）

微信公众号：计算机与网络安全

（全文略）

目录

第1篇 漏洞利用原理（初级）

第1章 基础知识

1.1 漏洞概述

1.1.1 bug与漏洞

1.1.2 几个令人困惑的安全问题

1.1.3 漏洞挖掘、漏洞分析、漏洞利用

1.1.4 漏洞的公布与0 day响应

1.2 二进制文件概述

1.2.1 PE文件格式

1.2.2 虚拟内存

1.2.3 PE文件与虚拟内存之间的映射

1.3 必备工具

1.3.1 OllyDbg简介

1.3.2 SoftICE简介

1.3.3 WinDbg简介

1.3.4 IDA Pro简介

1.3.5 二进制编辑器

1.3.6 VMware简介

1.3.7 Python编程环境

1.4 Crack小实验

第2章 栈溢出原理与实践

2.1 系统栈的工作原理

2.1.1 内存的不同用途

2.1.2 栈与系统栈

2.1.3 函数调用时发生了什么

2.1.4 寄存器与函数栈帧

2.1.5 函数调用约定与相关指令

2.2 修改邻接变量

2.2.1 修改邻接变量的原理

2.2.2 突破密码验证程序

2.3 修改函数返回地址

2.3.1 返回地址与程序流程

2.3.2 控制程序的执行流程

2.4 代码植入

2.4.1 代码植入的原理

2.4.2 向进程中植入代码

第3章 开发shellcode的艺术

3.1 shellcode概述

3.1.1 shellcode与exploit

3.1.2 shellcode需要解决的问题

3.2 定位shellcode

3.2.1 栈帧移位与jmp esp

3.2.2 获取“跳板”的地址

3.2.3 使用“跳板”定位的exploit

3.3 缓冲区的组织

3.3.1 缓冲区的组成

3.3.2 抬高栈顶保护shellcode

3.3.3 使用其他跳转指令

3.3.4 不使用跳转指令

3.3.5 函数返回地址移位

3.4 开发通用的shellcode

3.4.1 定位API的原理

3.4.2 shellcode的加载与调试

3.4.3 动态定位API地址的shellcode

3.5 shellcode编码技术

3.5.1 为什么要对shellcode编码

3.5.2 会“变形”的shellcode

3.6 为shellcode“减肥”

3.6.1 shellcode瘦身大法

3.6.2 选择恰当的hash算法

3.6.3 191个字节的bindshell

第4章 用MetaSploit开发Exploit

4.1 漏洞测试平台MSF 简介

4.2 入侵Windows系统

4.2.1 漏洞简介

4.2.2 图形界面的漏洞测试

4.2.3 console界面的漏洞测试

4.3 利用MSF制作shellcode

4.4 用MSF扫描“跳板”

4.5 Ruby语言简介

4.6 “傻瓜式”Exploit开发

4.7 用MSF发布POC

第5章 堆溢出利用

5.1 堆的工作原理

5.1.1 Windows堆的历史

5.1.2 堆与栈的区别

5.1.3 堆的数据结构与管理策略

5.2 在堆中漫游

5.2.1 堆分配函数之间的调用关系

5.2.2 堆的调试方法

5.2.3 识别堆表

5.2.4 堆块的分配

5.2.5 堆块的释放

5.2.6 堆块的合并

5.2.7 快表的使用

5.3 堆溢出利用（上）——DWORD SHOOT

5.3.1 链表“拆卸”中的问题

5.3.2 在调试中体会“DWORD SHOOT”

5.4 堆溢出利用（下）——代码植入

5.4.1 DWORD SHOOT的利用方法

5.4.2 狙击P.E.B中RtlEnterCritical-Section()的函数指针

5.4.3 堆溢出利用的注意事项

第6章 形形色色的内存攻击技术

6.1 狙击Windows异常处理机制

6.1.1 S.E.H概述

6.1.2 在栈溢出中利用S.E.H

6.1.3　在堆溢出中利用S.E.H

6.1.4　深入挖掘Windows异常处理

6.1.5　其他异常处理机制的利用思路

6.2 “off by one”的利用

6.3　攻击C++的虚函数

6.4　Heap Spray：堆与栈的协同攻击

第7章 手机里的缓冲区溢出

7.1 Windows Mobile简介

7.1.1 Windows Mobile前世今生

7.1.2 Windows Mobile架构概述

7.1.3 Windows Mobile的内存管理

7.2 ARM简介

7.2.1 ARM是什么

7.2.2 ARM寄存器结构

7.2.3 ARM汇编指令结构

7.2.4 ARM指令寻址方式

7.2.5 ARM的函数调用与返回

7.3 Windows Mobile上的HelloWorld

7.4 远程调试工具简介

7.4.1 远程信息查看管理套件

7.4.2 手机上的调试——Microsoft Visual Studio

7.4.3 手机上的调试——IDA

7.5 手机上的exploit me

第8章 其他类型的软件漏洞

8.1　格式化串漏洞

8.1.1　printf中的缺陷

8.1.2　用printf读取内存数据

8.1.3　用printf向内存写数据

8.1.4　格式化串漏洞的检测与防范

8.2　SQL注入攻击

8.2.1　SQL注入原理

8.2.2　攻击PHP+MySQL网站

8.2.3　攻击ASP+SQL Server网站

8.2.4　注入攻击的检测与防范

8.3　其他注入方式

8.3.1　Cookie注入，绕过马其诺防线

8.3.2　XPath注入，XML的阿喀琉斯之踵

8.4　XSS攻击

8.4.1　脚本能够“跨站”的原因

8.4.2　XSS Reflection攻击场景

8.4.3　Stored XSS攻击场景

8.4.4　攻击案例回顾：XSS蠕虫

8.4.5　XSS的检测与防范

8.5 路径回溯漏洞

8.5.1 路径回溯的基本原理

8.5.2 范式化与路径回溯

第2篇 漏洞利用原理（高级）

第9章 Windows安全机制概述

第10章 栈中的守护天使：GS

10.1 GS安全编译选项的保护原理

10.2 利用未被保护的内存突破GS

10.3 覆盖虚函数突破GS

10.4 攻击异常处理突破GS

10.5 同时替换栈中和.data中的Cookie突破GS

第11章 亡羊补牢：SafeSEH

11.1 SafeSEH对异常处理的保护原理

11.2 攻击返回地址绕过SafeSEH

11.3 利用虚函数绕过SafeSEH

11.4 从堆中绕过SafeSEH

11.5 利用未启用SafeSEH模块绕过SafeSEH

11.6 利用加载模块之外的地址绕过SafeSEH

11.7 利用Adobe Flash Player ActiveX控件绕过SafeSEH

第12章 数据与程序的分水岭：DEP

12.1 DEP机制的保护原理

12.2 攻击未启用DEP的程序

12.3 利用Ret2Libc挑战DEP

12.3.1 Ret2Libc实战之利用ZwSetInformationProcess

12.3.2 Ret2Libc实战之利用VirtualProtect

12.3.3 Ret2Libc实战之利用VirtualAlloc

12.4 利用可执行内存挑战DEP

12.5 利用.NET挑战DEP

12.6 利用Java applet挑战DEP

第13章 在内存中躲猫猫：ASLR

13.1 内存随机化保护机制的原理

13.2 攻击未启用ASLR的模块

13.3 利用部分覆盖进行定位内存地址

13.4 利用Heap spray技术定位内存地址

13.5 利用Java applet heap spray技术定位内存地址

13.6 为.NET控件禁用ASLR

第14章 S.E.H终极防护：SEHOP

14.1 SEHOP的原理

14.2 攻击返回地址

14.3 攻击虚函数

14.4 利用未启用SEHOP的模块

14.5 伪造S.E.H链表

第15章 重重保护下的堆

15.1 堆保护机制的原理

15.2 攻击堆中存储的变量

15.3 利用chunk重设大小攻击堆

15.4 利用Lookaside表进行堆溢出

第3篇 漏洞挖掘技术

第16章 漏洞挖掘技术简介

16.1 漏洞挖掘概述

16.2 动态测试技术

16.2.1 SPIKE简介

16.2.2 beSTORM简介

16.3　静态代码审计

第17章 文件类型漏洞挖掘 与Smart Fuzz

17.1 Smart Fuzz概述

17.1.1 文件格式Fuzz的基本方法

17.1.2 Blind Fuzz和Smart Fuzz

17.2 用Peach挖掘文件漏洞

17.2.1 Peach介绍及安装

17.2.2 XML介绍

17.2.3 定义简单的 Peach Pit

17.2.4 定义数据之间的依存关系

17.2.5 用Peach Fuzz PNG文件

17.3 010脚本，复杂文件解析的瑞士军刀

17.3.1 010 Editor简介

17.3.2 010脚本编写入门

17.3.3 010脚本编写提高——PNG文件解析

17.3.4 深入解析，深入挖掘——PPT文件解析

第18章 FTP的漏洞挖掘

18.1 FTP协议简介

18.2 漏洞挖掘手记1：DOS

18.3 漏洞挖掘手记2：访问权限

18.4 漏洞挖掘手记3：缓冲区溢出

18.5 漏洞挖掘手记4：Fuzz DIY

第19章 E-Mail的漏洞挖掘

19.1 挖掘SMTP漏洞

19.1.1 SMTP协议简介

19.1.2 SMTP漏洞挖掘手记

19.2 挖掘POP3漏洞

19.2.1 POP3协议简介

19.2.2 POP3漏洞挖掘手记

19.3 挖掘IMAP4漏洞

19.3.1 IMAP4协议简介

19.3.2 IMAP4漏洞挖掘手记

19.4 其他E-mail漏洞

19.4.1 URL中的路径回溯

19.4.2 内存中的路径回溯

19.4.3 邮件中的XSS

第20章 ActiveX控件的漏洞挖掘

20.1 ActiveX控件简介

20.1.1 浏览器与ActiveX控件的关系

20.1.2 控件的属性

20.2 手工测试ActiveX控件

20.2.1 建立测试模板

20.2.2 获取控件的接口信息

20.3 用工具测试ActiveX控件：COMRaider

20.4 挖掘ActiveX漏洞

20.4.1 ActiveX漏洞的分类

20.4.2 漏洞挖掘手记1：超星阅读器溢出

20.4.3 漏洞挖掘手记2：目录操作权限

20.4.4 漏洞挖掘手记3：文件读权限

20.4.5 漏洞挖掘手记3：文件删除权限

第4篇 操作系统内核安全

第21章 探索ring0

21.1 内核基础知识介绍

21.1.1 内核概述

21.1.2 驱动编写之Hello World

21.1.3 派遣例程与IRP结构

21.1.4 Ring3打开驱动设备

21.1.5 DeviceIoControl函数与IoControlCode

21.1.6 Ring3/Ring0的四种通信方式

21.2 内核调试入门

21.2.1 创建内核调试环境

21.2.2 蓝屏分析

21.3 内核漏洞概述

21.3.1 内核漏洞的分类

21.3.2 内核漏洞的研究过程

21.4 编写安全的驱动程序

21.4.1 输入输出检查

21.4.2 验证驱动的调用者

21.4.3 白名单机制的挑战

第22章 内核漏洞利用技术

22.1 利用实验之exploitme.sys

22.2 内核漏洞利用思路

22.3 内核漏洞利用方法

22.4 内核漏洞利用实战与编程

22.5 Ring0 Shellcode的编写

第23章 FUZZ驱动程序

23.1 内核FUZZ思路

23.2 内核FUZZ工具介绍

23.3 内核FUZZ工具DIY

23.3.1 Fuzz对象、Fuzz策略、Fuzz项

23.3.2 IoControl MITM Fuzz

23.3.3 IoControl Driver Fuzz

23.3.4 MyIoControl Fuzzer界面

23.4 内核漏洞挖掘实战

23.4.1 超级巡警ASTDriver.sys本地提权漏洞

23.4.2 东方微点mp110013.sys本地提权漏洞

23.4.3 瑞星HookCont.sys驱动本地拒绝服务漏洞

第24章 内核漏洞案例分析

24.1 远程拒绝服务内核漏洞

24.2 本地拒绝服务内核漏洞

24.3 缓冲区溢出内核漏洞

24.4 任意地址写任意数据内核漏洞

24.5 任意地址写固定数据内核漏洞

第5篇 漏洞分析案例

第25章 漏洞分析技术概述

25.1 漏洞分析的方法

25.2运动中寻求突破：调试技术

25.2.1 断点技巧

25.2.2 回溯思路

25.3　用“白眉”在PE中漫步

25.3.1　指令追踪技术与Paimei

25.3.2　Paimei的安装

25.3.3　使用PE Stalker

25.3.4　迅速定位特定功能对应的代码

25.4　补丁比较

第26章 RPC入侵：MS06-040 与MS08-067

26.1 RPC漏洞

26.1.1 RPC漏洞简介

26.1.2 RPC编程简介

26.2 MS06-040

26.2.1 MS06-040简介

26.2.2 动态调试

26.2.3 静态分析

26.2.4 实现远程exploit

26.3 Windows XP环境下的MS06-040 exploit

26.3.1 静态分析

26.3.2 蠕虫样本的exploit方法

26.3.3 实践跨平台exploit

26.4 MS08-067

26.4.1 MS08-067简介

26.4.2 认识Legacy Folder

26.4.3 “移经”测试

26.4.4 “移经”风险

26.4.5 POC的构造

26.5 魔波、Conficker与蠕虫病毒

第27章 MS06-055分析：实战Heap Spray

27.1　MS06-055简介

27.1.1　矢量标记语言（VML）简介

27.1.2　0 day安全响应纪实

27.2　漏洞分析

27.3 漏洞利用

第28章 MS09-032分析：一个“&”引发的血案

28.1 MS09-032简介

28.2 漏洞原理及利用分析

第29章 Yahoo!Messenger栈 溢出漏洞

29.1 漏洞介绍

29.2 漏洞分析

29.3 漏洞利用

第30章 CVE-2009-0927：PDF中的JS

30.1 CVE-2009-0927简介

30.2 PDF文档格式简介

30.3 漏洞原理及利用分析

第31章 坝之蚁穴：超长URL溢出漏洞

31.1 漏洞简介

31.3 漏洞原理及利用分析

第32章 暴风影音M3U文件解析漏洞

32.1 漏洞简介

32.2 M3U文件简介

32.3 漏洞原理及利用分析

第33章 LNK快捷方式文件漏洞

33.1 漏洞简介

33.2 漏洞原理及利用分析

附录A 已公布的内核程序漏洞列表

▲
- The end -