栈中数据已不识，回首唯有Heap Spray

之前写过一篇青少年版的Heap Spray：Heap Spray浅析 MS06-055 当时没觉得Heap Spray的强大之处，直到尝试超星4.0的ActiveX的漏洞挖掘与利用，才惊觉Heap Spray的强大与浏览器漏洞的危害。

0x00 COMRaider

一个ActiveX的Fuzz工具，IDE方便上手。（疑似碰到unicode字符串转换的问题，后来又莫名其妙好了，mark一下）

0x01 你根本不是这样的qmemcpy！

心路历程：

1.崩不了？崩不了？最后扛着COMRaider自己挖，然后发现是clsid找错了

2.其实这是就发现隐隐约约哪里有些奇怪，当时归因于自己对javascript的语法不了解。究其原因就是自己照书打谱惯了在sp2上玩惯了，思维僵化。

3.覆盖返回地址的时候顿显端倪，有的地址可以，有的地址就会被魔改？仍然以为是unicode的问题。乐此不疲栈溢出，shellcode被魔改。

4.最后偷瞄书，heap spray？！放到堆里就不会被魔改了哦，同时意识到ActiveX漏洞危害大的原因之一就在于可以用javascript之类的脚本语言进行很多操作，就比如这里堆的申请。

回过头再看，原来LoadPage输入的数据会经过一个WideCharToMultibyte()函数进行魔改。由于ascii支持的范围是0x00-0x7f，所以0x7f-0xff的数据就会发生无法转码的情况。