披着狼皮的羊——寻找惠普多款打印机中的RCE漏洞(17)

我们想强制该算法读取已插入到DLL文件末尾的“Foo.txt”的内容，这个文件从0x1200开始，长度为11360字节（如果你要验证这些数字，请参阅上面Foo.txt粘贴到DLL中的截图，调试器的截图显示了numArray2的长度）。考虑到这一点，算出int32_2和int32_3值很简单：
int32_2 = 0x1200-0x8 = 0x11F8
int32_3 = 11360 = 0x2C68
如下图所示：

现在，针对这个新的DLL文件HPwn.dll运行签名验证算法，我们得到以下结果：

八、获得任意代码执行
构建了我们自己的惠普“解决方案”软件包的方法，以及另一种方法来绕过他们的数字签名验证机制，剩下唯一的障碍就是构建与惠普平台兼容的恶意软件。
创建恶意软件
为了创建恶意软件，我们以HP ThinPrint客户端主类中的反编译代码为例：