Imail iLDAP溢出分析

根据iDefence的分析.出在LDAP协议处理不当上面.最后会导致一个基于栈的溢出.
反正周末,事情也不多.自己分析分析看吧.
iDefence的公告:
imail是这么处理整数的.首先一个0x02标志.然后后面就是跟一个整数占用的字节数.最后才是整数自身.
iDefence的举例:
0x02 0x03 0x0A 0x25 0xBD (665501 (0xA25BD))
这里是错误的,应该是665021.

因为只知道LDAP是轻量级目录访问协议.而对协议本身一点都不熟悉.于是到python的站点下载了一个LDAP模块.抓包分析一下协议熟悉一下先.

#ldapsearch.py
import ldap
l = ldap.open("192.168.0.217")
l.search_s("o=My Organisation, c=AU", ldap.SCOPE_SUBTREE, "objectclass=*")

使用ethereal,运行脚本.抓包如下:
00000000 30 3c 02 01 01 63 37 04 17 6f 3d 4d 79 20 4f 72 0<...c7. .o=My Or
00000010 67 61 6e 69 73 61 74 69 6f 6e 2c 20 63 3d 41 55 ganisati on, c=AU
00000020 0a 01 02 0a 01 00 02 01 00 02 01 00 01 01 00 87 ........ ........
00000030 0b 6f 62 6a 65 63 74 63 6c 61 73 73 30 00 .objectc lass0.

Ethereal LDAP Search Request Decode:
Message Id: 1
Message Type :search Request (0x03)
Message Length:55
Base DN : o=My organisation, c=AU
Scope : Subtree (0x02)
Dereference:Never (0x00)
Size limit :0
Time Limit :0
Attributes only :False
Filter : (objectclass=*)

这里是一个serach request.其中message id,size limit ,time limit都是整数字段.对应关系是
Message ID :1 02 01 01
Size limit :0 02 01 00
Time limit :0 02 01 00

自己构造一个程序测试.把Message ID 字段的01改为ff,后面加大量的垃圾数据会使iLDAP这个进程触发异常.异常发生在下面这段代码执行的时候(测试size limit字段也是一样的结果)
MOV DL, BYTE PTR DS:[EDX+EAX]
完全和公告对应起来了.问题肯定就在这里.

用ida pro 去反汇编idap.exe
.text:00401131 ; Attributes: bp-based frame
.text:00401131
.text:00401131 vulable proc near ; CODE XREF: sub_401412+A6p
.text:00401131 ; sub_401412+2FBp ...
.text:00401131
.text:00401131 var_10 = dword ptr -10h
.text:00401131 var_C = dword ptr -0Ch
.text:00401131 var_8 = dword ptr -8
.text:00401131 va

[1] [2] [3] [4] 下一页