智能ABC输入法溢出分析

最新推荐文章于 2024-04-25 19:16:46 发布
原创 最新推荐文章于 2024-04-25 19:16:46 发布 · 7.9k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#输入法 #byte #c #delete #hook #汇编

本文详细分析了智能ABC输入法的溢出机制,通过Ollydbg调试工具,发现当输入特定字符序列如v、delete、回车后,程序在处理ImeToAsciiEx函数时出现错误。关键代码段在0x7380AC95,当删除V后,DS:[73811F52]变量为0,但DS:[7381486C]未正确重置,导致后续拷贝操作可能溢出。此外,还存在另一个问题,与DS:[738155C0]的检查有关。这些问题可能导致IME所Hook的进程异常退出,影响到某些软件的运行,但不会对远程主机产生影响。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

作者:sunwear[E.S.T]
MAIL:shellcoder#163.com  [email protected]
http://blog.csdn.net/sunwear
http://www.eviloctal.com/

感谢dancefire的帮忙 :)
   智能ABC输入法漏洞已经被人发现很久了,广泛用于网吧计费系统的破解。不过很少有人去研究他是怎么溢出的。所以我也是闲的无事分析一下他的溢出。
   需要的工具:ollydbg  哪都有下载的地方。
   首先用OD打开笔记本。然后切换输入法到智能ABC,输入v,左箭头delete ,回车(空格也可以)。然后立刻造成进程死掉,然后OD的信息会告诉你问题出在7380****.而7380****属于winabc.ime的地址。经过跟踪,确定出错指令为ImeToAsciiEx函数,此函数是用来处理输入的字符。每按一个键就会调用一次,当上面这个动作做完后又调用了 0x7380AC95函数。下面是这个函数的汇编代码
7380ACA1  |> 66:81FE 3D80   CMP SI,803D                      ;si为你按的那个键的hex值
7380ACA6  |. 75 26          JNZ SHORT WINABC.7380ACCE      
7380ACA8  |. 803D B0298173 >CMP BYTE PTR DS:[738129B0],3     ;3为输入中间阶段
7380ACAF  |. 0F84 E7010000  JE WINABC.7380AE9C
7380ACB5  |. 833D AC298173 >CMP DWORD PTR DS:[738129AC],1
7380ACBC  |. 0F8E DA010000  JLE WINABC.7380AE9C
7380ACC2  |. C605 B0298173 >MOV BYTE PTR DS:[738129B0],1
7380ACC9  |. E9 CE010000    JMP WINABC.7380AE9C

下面在来看一段关于0x7380AC95的代码

7380ADB4  |> 56             PUSH ESI
7380ADB5  |. E8 58140000   

最低0.47元/天 解锁文章

200万优质内容无限畅学
Qt开发经验总结
草上爬的博客
12-02 1万+
增加了很多轮子,同时原有模块拆分的也更细致,估计为了方便拓展个管理。把一些过度封装的东西移除了(比如同样的功能有多个函数),保证了只有一个函数执行该功能。把一些Qt5中兼容Qt4的方法废弃了,必须用Qt5中对应的新的函数。跟随时代脚步,增加了不少新特性以满足日益增长的客户需求。对某些模块和类型及处理进行了革命性的重写,运行效率提高不少。有参数类型的变化,比如 long * 到 qintptr * 等,更加适应后续的拓展以及同时对32 64位不同系统的兼容。
java输入联想,支持汉字自动匹配
biaozhun90的博客
10-14 4417
简单的输入联想功能,使用jquery的autocomplete插件。 无标题文档 var datas = [ "Google","NetEase", "Sohu", "Sina", "Sogou", "我爱北京", "我爱你","Tencent", "Taobao", "Tom", "Yahoo", "JavaEye", "Csdn", "Alipa
智能ABC输入法的一个漏洞
iThinkstudio的专栏
07-30 1124
智能ABC输入V,再按方向键左键,然后按DELETE键,再按ENTER键 ~~~~你们看会有什么效果?  (*^__^*) 嘻嘻……  强行关闭当前运行的程序!
智能ABC漏洞
11-22 1330
在装有老版智能ABC输入法的电脑中在可以输入文字的地方,调出智能ABC依次按下"v","左箭头","delete键","Enter键"   当前进程会被关闭。             可以自己编写程序HOOK来解决这个问题。
智能ABC漏洞使用
weixin_30502157的博客
07-22 188
由“简单谈谈杀软的自我保护问题”引起,一试后果然v↑del enter轻松中止avpcc.exe,结果留下个avpm.exe 原文:http://www.cnhacker.cn/asp/list.asp?id=1279 [智能ABC漏洞使用及补充说明] 一般网吧上网都会有一个管理软件,在开机状态,屏幕中间有个对话框,要你输入会员帐户和密码,把输入法调成智能ABC,然后打一下V键,再按方向键的 ...
[ZT]智能ABC一严重Bug可使任意程序崩溃
matrix67的专栏
11-09 4131
    智能ABC是各种版本Windows都默认安装的输入法,因此使用极其广泛。除了输入文字之外,我发现它还另有玄机——程序必杀技。 程序“死”于非命     打开任意一个应用程序,如记事本或者一个程序对话框等(不管是否存在文本输入框均可),点击系统托盘上的输入法图标切换到“智能ABC”,或者按 “Ctrl+Shift”切换到“智能ABC”,依次按这些键:“V+↑+Del+Enter
警惕网吧输入法漏洞(转)
cuankuangzhong6373的博客
04-04 281
大家都知道,在网吧上网的时候必须输入会员卡号和密码,才能登录客户端的桌面,客户端的登录和注销是受服务器端所控制的。 笔者最近听说出现了智能ABC输入法漏洞,可以结束大多数网吧管理软件。笔者就做了一次实验。 做实验的网...
世界观安全
hacckjacking
08-06 752
「第二篇」客户端脚本安全 批注 [……] 表示他人、自己、网络批注 参考资料来源于 * 书中批注 * CSDN * GitHub * Google * 维基百科 * YouTube * MDN Web Docs ...
教师信息管理c语言程序设计,信息技术教师招聘考试真题(附答案版)
weixin_35692051的博客
05-17 1868
一、选择题(60个)1、网页都是按照一种描述文档的标记规则编写而成的,这套标记规则叫做:CA、URLB、HTTPC、HTMLD、FTP2、Basic语言属于:CA、机器语言B、汇编语言C、高级语言D、低级语言3、下列哪一个控件没有Caption属性: AA、TextBox B、Label C、Frame D、CommandButton4、在VB中,要想单击按钮“结束”时结束程序,可在该按钮的()事...
智能ABC另类用法(不看不行哦)
网卡博天下
12-25 1217
 智能ABC另类用法(不看不行哦)智能ABC另类用法(不看不行哦)智能ABC输入法是WINDOWS自带的一种输入法,平时大家除了利用其打字,可能不知道他还有一种用途。我们可以利用智能ABC的一个BUG。大家先做个实验:打开QQ聊天对话框,切换到智能ABC输入法,在中文输入状态下按字母“v”键,再按向上的方向键(方向键中的“↑”),再按一下“delete”键,接着再按回车键。看,是不是QQ因
紫光拼音输入法(正式版)
02-21
紫光拼音输入法和补丁 紫光输入法补丁简介: 微软的Windows2000有输入法漏洞,这已经是众人皆知的事情, 并且微软已经推出了输入法漏洞的补丁程序,确实弥补了微软的一 些输入法的漏洞,但是,如果安装了紫光拼音等输入法,微软的补丁 并不能起到真正的作用,其输入法漏洞仍然存在!本紫光输入法漏 洞补丁就是专门针对微软输入法漏洞补丁不能解决的问题而设计的, 安装本补丁程序后,即使你的系统没有安装微软的输入法漏洞补丁, 也仍然能够起到微软输入法补丁的功能,而且对所有的输入法均有 效果!不用再担心因为输入法的漏洞而被别人侵入你的计算机系统!
2021-11-16 Vue 键盘事件
weixin_44141172的博客
11-16 503
Vue 键盘事件 知识点: 按键别名: 回车=>enter 删除=>delete 退出=>esc 空格=>space 换行=>tab 上=>up 下=>down 左=>left 右=>right 需求:在一个输入框中,当按下回车键时,弹窗并显示已经输入的字符串。 <body> <!-- 按键别名: 回车=
再谈进程PID相同的深入探究
sunxuns
04-08 1652
  创建时间:2005-04-21 更新时间:2005-04-21文章属性:原创文章提交:sunwear (btwlu_at_163.com)再谈进程PID相同的深入探究作者:sunwear [E.S.T][email protected]://blog.csdn.net/s
软考:信息安全工程师3
qq_43699776的博客
10-10 2945
检测的内容主要有入侵检测、系统脆弱性检测、数据完整性检测、攻击性检测等。Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。26.常见的误用检测方法:基于条件概率的误用检测方法、基于状态迁移的误用检测方法、基于键盘监控的误用检测方法、基于规则的误用检测方法。常见的异常检测方法:基于统计的异常检测方法、基于模式预测的异常检测方法、基于文本分类的异常检测方法、基于贝叶斯推理的异常检测方法。
终止进程的内幕
sunwear的专栏
03-29 3400
原文: http://www.blogcn.com/user17/pjf/blog/4213145.htmlpjf([email protected])    有来信询问进程结束的有关问题,下面就这个问题简单讨论一下(下面的讨论基于2000,其他NT系统也类似)。    首先看看一个应用程序想要强制结束另一个进程所要做的事:首先获得目标的进程ID,接着利用OpenProcess获取进程句柄(确
“3389端口+输入法漏洞”入侵经典案例
得峰的专栏 [网络收藏]
05-12 6366
本次黑客营系列选题,旨在带领大家认识一些主流技术。screen.width/2)this.style.width=screen.width/2;" border="0" alt="" />为了便于初学者研究和学习,我们为大家提供了一台服务器作为模拟攻击环境,只要你按照我们的步骤操作,就可以体验全新的黑客旅程。   为了保证本关活动的正常进行,小编真诚地希望参与者不要进行非法或损坏服务器系统的操作。
利用Windows2000中文输入法漏洞,增加管理员账户
weixin_42582241的博客
11-06 1683
实验准备 Windows2000 Windows远程访问(以Windows2003为例) Windows2003入侵 在Windows2003上远程连接Windows2000,连接上后,屏幕上显示Windows2000登录界面(简体中文): Windows2000上也显示被Windows2003远程连接: 用“Ctrl+Shift”键切换输入法至全拼: 右击状态条上的微软徽标,在弹出框中选择“帮助”,“操作指南”(若呈灰色说明对方已经修复该漏洞): 在弹出的页面中右键“基本操作”,选择“跳转至UR
输入法重大漏洞曝光,仅华为幸免,近10亿用户受影响
最新发布
FreeBuf_的博客
04-25 1387
但是,在某种情况下,针对使用腾讯搜狗API的应用,攻击者还需要能够向云服务器发送网络流量,但他们不必一定是中间人(MitM)或在网络第3层欺骗来自用户的流量。近日,Citizenlab研究人员调查了多家厂商的输入法应用安全漏洞并报告称:除华为以外,百度、荣耀、科大讯飞、OPPO、三星、腾讯、Vivo和小米等供应商的九款应用程序中有八款均存在安全漏洞。为此,研究人员分别测试了腾讯、百度、讯飞、三星、华为、小米、OPPO、vivo和荣耀输入法的多个平台版本(安卓、iOS和Windows版本)。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值