Как найти место переполнения буфера?

[Zadora]

Всем привет. Исследую эксплоит CVE-2012-0158. Мне нужно, используя дебагер, найти место, в котором происходит переполнение буфера. По каким признакам его искать? Как проще это сделать? Пробовал ставить метку на ф-ию CreateFileW, но всё равно не смог ничего найти

 

[Pernat1y]

Metasploit Unleashed | Writing an Exploit

www.offensive-security.com

MS08–067 Exploit Development

A Guide to writing an exploit for the famous MS08–067 vulnerability

medium.com

TryHackMe: Buffer Overflow Prep

Practice stack-based buffer overflows!

medium.com

Если есть учётка на TryHackMe, то рекомендую пройти последнюю ВМ самому. Неплохо помогает.

 

[Zadora]

Metasploit Unleashed | Writing an Exploit

www.offensive-security.com

MS08–067 Exploit Development

A Guide to writing an exploit for the famous MS08–067 vulnerability

medium.com

TryHackMe: Buffer Overflow Prep

Practice stack-based buffer overflows!

medium.com

Если есть учётка на TryHackMe, то рекомендую пройти последнюю ВМ самому. Неплохо помогает.

Да, я понимаю, как конкретно переполняется буфер, но как найти место переполнения в ms office? Там много разных вызовов и как понять, когда происходит нужный? В Metasploit написано, что этот эксплоит использует уязвимость в библиотеке MOSCOMCTL.OCX, порыв чуть глубже, нашел, что в функциях ListView и TreeView. Но я не могу понять, когда вызываются эти функции

 

[Pernat1y]

Посмотреть на то, где и какие какие API используются, можно в том-же Sysinternals Process Monitor или API Monitor.