[Exploit]Sun Java WebStart JNLP Stack Buffer Overflow Exploit 1 's

鬼仔注：因代码中部分字符会引起feedburner中出现乱码，因此将代码放进单独的txt中，文中部分文字也以图片代替。阅读或有不便，抱歉。

by axis
2007-07-11
http://www.ph4nt0m.org

最终我还是决定把这个鸡肋的exp放出来。
废话不多说了，exp如下：
代码：article_1202_code.txt

我测试的版本是 jre 1.5.0_11 , 简体中文 xp sp2
在我的环境中， 在[esp+10h]处有一个指向payload中一段的拷贝，所以我先跳过去，然后执行第一段shellcode
mov edx, esp
sub esp, 4fbh
jmp esp

因为edx也指向栈内，所以精确计算后，就把esp指向了第二段shellcode，然后就可以执行真正的shellcode了。

不过这个方法好像只对我的版本有效，luoluo的jre是1.6的，栈内就少了很多指向shellcode的指针了。

还可以考虑覆盖seh，可能会通用点，没继续跟了，有兴趣的不妨自己改改。

这个漏洞是属于文件型的，可以ie下载后执行。如果配置了webserver，应该可以起到挂马的作用，而且不挂ie。 但是这个漏洞是和当前登录的用户名长度有关的，所以可能要同时放置许多不同长度payload的文件到某目录下，虽然这样可能会造成出错，但是ie是不受影响的。

最后在调试shellcode的时候一定要多加注意。