MS08-052 WMF漏洞分析及漏洞测试

最新推荐文章于 2024-09-20 16:43:14 发布
最新推荐文章于 2024-09-20 16:43:14 发布
阅读量682 收藏
点赞数
文章标签: microsoft gdi+ struct parsing integer 图形
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/inject2006/article/details/3014608
版权
 ------by CuteK

一 背景知识

由文件格式入手,来分析MS08-052漏洞, 并构造了一个可以使没有补丁的程序崩溃的图片,

1 WMF文件结构

--------------------------|

| 文件头 |

|-------------------------|

| 文件记录 |

|-------------------------|

|-------------------------|

| 文件记录 |

|-------------------------|

|-------------------------|

| 文件记录 |

|-------------------------|

windows中文件头结构如下

typedef struct
{
INT16 Left;
INT16 Top;
INT16 Right;
INT16 Bottom;
} PWMFRect16;

typedef struct
{
UINT32 Key; // GDIP_WMF_PLACEABLEKEY
INT16 Hmf; // Metafile HANDLE number (always 0)
PWMFRect16 BoundingBox; // Coordinates in metafile units
INT16 Inch; // Number of metafile units per inch
UINT32 Reserved; // Reserved (always 0)
INT16 Checksum; // Checksum value for previous 10 WORDs
} WmfPlaceableFileHeader;

typedef struct tagMETAHEADER
{
WORD mtType; // 01 磁盘
WORD mtHeaderSize; // 0x0009 头大小9个word
WORD mtVersion;
DWORD mtSize; // 不算WmfPlaceableFileHeader头的文件大小
WORD mtNoObjects;
DWORD mtMaxRecord;
WORD mtNoParameters;
} METAHEADER;
attachments/200809/26_092026_1.jpg
图 1.1 文件头

文件记录由 文件记录大小(4字节) 文件记录类型(2字节) 文件记录体组成,其中0x0538类型是polypolygon类型,正是对这个记录的处理不当导致的溢出, 该记录的结构如下

记录大小

记录类型

polygon个数(假设为x)

第1个polygon的点数(y个) 第2个polygon点数 ....第x个polygon的点数 .

第1个polygon的第1个点 第1个polygon的第2个点....第1个polygon的第y个点

...............

第x个polygon的第1个点 .................................第x个polygon的最后1个点

由图1.2看出该记录的大小为0x73个word长度. 该记录类型是0x0538 该记录中polygon的个数为1 , polygon的点数为0x37, 后面0x37个word长度的数据就是该polygon的点. 想要读取该记录则要先分配空间,但并不是根据0x73来分配的,而是根据polygon的个数,及每个polygon的点数相加来分配空间.
attachments/200809/26_092051_1.2.bmp
图 1.2 polypolygon记录

二 漏洞部分代码
attachments/200809/26_092111_2.1.jpg
图2.1 具有漏洞的代码
attachments/200809/26_092132_2.2.jpg
图2.2 微软修补后的代码

除了判断是否小于0 还有判断是否加过了溢出了

三 WMF文件构造

构造了一个wmf文件polypoygon记录, 用极大的polygon个数和每个polygon的点数都很大, 使其计算达到整数溢出,使用没有补丁的gdiplus的程序查看该文件,就可以直接崩溃, 测试图片连接 http://bbs.antiy.cn/viewthread.php?tid=1087&extra=page%3D1&frombbs=1 无木马. 呵呵
attachments/200809/26_092200_123123.png
四解决方案

有漏洞的赶快打补丁吧

http://www.antiy.com/cn/download/agdifix.htm

五 总结

图形文件格式是由很多“段”构成的数据流,而每个段由:长度, 类型,参数,数据等结构构成,在程序解析这些文件格式的时候会依据“类型”来确认段,并读取参数” 进行一定的运算,再依据这些参数来处理随后紧跟的“数据”。漏洞的产生原因就是在对参数进行运算的时候相信了文件输入的参数没有进行确认而导致的。除了图形文件格式外excel的biff格式也是一样的由段的头决定后续数据的读取,且有可变数据对象。有输入就有危险.

六 参考文献

[1] GDI+ 中的漏洞可能允许远程执行代码 ( http://www.microsoft.com/china/technet/security/bulletin/MS08-052.mspx

[2] Microsoft GDI+ WMF PolyPolygon Record Parsing Integer Overflow http://secunia.com/binary_analysis/sample_analysis/ 2008

[3] Wmf http://download.microsoft.com/download/0/B/E/0BE8BDD7-E5E8-422A-ABFD-4342ED7AD886/WindowsMetafileFormat(wmf)Specification.pdf 2008
inject2006
关注
MS06001 图形呈现引擎(WMF)漏洞分析学习手记
生命的守望
02-11 905
MS06001 图形呈现引擎(WMF)漏洞分析学习手记killerxfocus.org    图形呈现引擎中由于其处理 Windows 图元文件 (WMF) 图像的方式而存在一个远程执行代码漏洞。据FlashSky所言是MS早期在处理OLE而在WMF(没有考虑安全)中定义的功能。漏洞因0day方式传播而导致漏洞被曝光。Win2000、XPsp1、XPsp2代码略有不同,如下代码是XPsp1的。一、
模糊测试--强制性安全漏洞发掘
软件性能测试专栏
01-20 2万+
文档分享地址链接:http://pan.baidu.com/share/link?shareid=2723797392&uk=2485812037 密码:r43x 前 言 我知道"人类和鱼类能够和平共处" 。 --George W. Bush, 2000年9月29日 简介 模糊测试的概念至少已经流传了20年,但是直到最近才引起广泛的关注。安全漏洞困扰了许多流行的客户端应用程序
WMF漏洞被疯狂利用 “QQ尾巴”借机传播(转)
cuankuangzhong6373的博客
07-02 187
金山毒霸反病毒监测中心消息,目前已经有数以千计的木马、广告软件、病毒利用微软操作系统WMF(Windows图元文件)安全漏洞进行传播。金山反病毒专家介绍,病毒作者通常将含有此漏洞WMF恶意文件注入到将要攻击的网站中,在用户系统...
关于微软WMF 漏洞的 紧急通报 只要你一看图片就会中木马
FreeXploiT
12-30 2041
先说说这个s b漏洞的危害只要你一看图片就会中木马原文发至幻影旅团 http://www.ph4nt0m.org/bbs/showthread.php?s=&postid=65399#post65399cmd下执行 regsvr32.exe /u shimgvw.dll执行以上命令则可禁止wmf执行,regsvr32.exe一般在system32下,没有的话自己去搜envymask刺这个方法只能防
WMF漏洞是微软故意设置的后门吗?
01-17 1533
Subject: Re: You wont want to miss tonights Security Now!, #22 Date: Thu, 12 Jan 2006 18:46:56 -0800
具SQL注入漏洞的网站尚大量存在.pdf
09-19
MS08-021漏洞允许攻击者通过构造的恶意EMF或WMF图片文件控制用户系统,而MS08-025漏洞则允许攻击者在用户模式下通过未验证的输入提升权限,执行任意代码并完全控制受影响的系统。这两种漏洞都被指出可能会被网页木马...
Microsoft Windows图形渲染引擎WMF格式解码内存越界漏洞
生命的守望
01-13 1139
漏洞名称:Microsoft Windows图形渲染引擎WMF格式解码内存越界漏洞发现者:cocoruder(frankruder_at_hotmail.com) http://ruder.cdut.net类型:设计错误最后更新时间:07/01/2006受威胁的系统:    Microsoft Windows XP SP2    Microsoft Windows XP SP1    Micros
(翻译)OpenDocument and Open XML security (OpenOffice.org and MS Office 2007)
墨鱼菜鸡
07-19 455
标题:Open Document 和 Open XML安全性(OpenOffice.org and MS Office 2007) ...
CTF中文件上传题目整理总结
xiaotaode2012的专栏
08-16 1万+
0X00说在前面的话 CTF中或多或少都有点文件上传的题目,而这个又是最好整理的,变化的方式不是很多(至少到目前为止我没有发现太多的姿势。。。。),随意就先整理这个吧。 0x01文件上传绕过的主要姿势有: A:基于前台JS的验证,这个 不要说就是firebug下修改一下JS文件就绕过了 B:基于文件后缀名的绕过,这里面的主要姿势有:利用后缀名大小写混用绕过、空格或者
远程命令执行漏洞
看看我都干了些啥!
05-15 1569
远程命令执行漏洞 目前,该漏洞在互联网上已经出现多个远程攻击代码,针对网站的物理路径进行读取。 同理,可以执行其他指令,如:通过wget上传后门文件到服务器上,等于植入后门。 该系统采用Apache Struts xwork作为网站应用框架,且此框架对应版本存在远程代码执行漏洞(CNVD-2013-09777,对应CVE-2013-2251),攻击者可以利用漏洞取得网站服务器主机远程控制...
weblogic设置utf-8编码方式
编程日常记录与总结 https://franciswmf.iteye.com
04-09 1064
http://blog.csdn.net/grpideas/article/details/6067007
Characterset字符集
zgqtxwd的专栏
04-26 591
<!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--><script type="text/javascript"
MS08-052 漏洞利用工具下载
|独自望海。。。
09-22 2484
Microsoft 安全公告 MS08-052 - 严重GDI+ 中的漏洞可能允许远程执行代码 (954593)摘要此安全更新可解决 Microsoft Windows GDI+ 中许多秘密报告的漏洞。 如果用户使用受影响的软件查看特制图像文件或浏览包含特制内容的网站,则这些漏洞可能允许远程执行代码。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。什么是GDI+
Microsoft Windows远程桌面协议中间人攻击漏洞(CVE-2005-1794)解决方案
热门推荐
安全小白的博客
06-12 4万+
Microsoft Windows远程桌面协议中间人攻击漏洞(CVE-2005-1794)解决方案1.系统版本:windows server 2003 2.漏洞:CVE-2005-1794 3.修复方案: 漏洞介绍: Microsoft Windows远程桌面协议用于连接Windows终端服务。 Windows远程桌面协议客户端没有验证会话的服务器公共密钥,远程攻击者可以利用这个漏洞通过Man
字符集(编码)转换_Windows
weixin_30470643的博客
05-26 84
ZC: 来自 我的项目 czgj ZC: (1)、经过测试MultiByteToWideChar(...) 返回的是 (需要的)WideChar[宽字符]的个数;(2)、WideCharToMultiByte 返回的是 (需要的)Char[窄字符]的个数 。 1、代码: #include "TzEncodingWindows.h" #ifdef BUILD_IN_WIN...
移植Linux:如何制作rootfs?
zhouwu_linux的专栏
09-20 927
基于Linux内核,制作rootfs文件过程的方法。
猿大师办公助手在线编辑Office为什么要在客户端电脑安装插件微软Office或金山WPS?
猿大师办公助手官方博客
09-20 208
猿大师办公助手作为一款专业级的网页编辑Office方案,与在线云文档方案(飞书、腾讯文档等)不同,需要在客户端电脑安装猿大师办公助手插件及微软Office或者金山WPS软件,很多客户不理解为什么要这么麻烦,能否客户端电脑不安装任何插件,或者把直接插件安装在服务器上,客户端电脑直接就可以使用在线编辑Office功能?
SQL关键字的优先级执行顺序:深入理解SQL查询的构造
最新发布
qq_51321722的博客
09-20 236
在数据库管理和开发中,SQL(Structured Query Language)是一种至关重要的语言,用于与数据库进行交互,执行数据查询、更新、删除和管理等操作。然而,编写高效且准确的SQL查询需要对SQL的解析和执行顺序有深入的理解。本文将探讨SQL查询中关键字的优先级执行顺序,帮助读者更好地理解和优化SQL查询。
.wmf image/x-wmf windows图元文件格式
10-18
.wmf是一种图像文件格式,全称为Windows Metafile,即Windows图元文件。它是由Microsoft开发的一种图形文件格式,通常用于在Windows操作系统中存储和传输图像数据。 .wmf文件采用二进制格式,可支持矢量图形,即通过数学公式定义的图形;同时也可以包含位图图像,即由像素点组成的图像。这使得.wmf文件能够在不损失细节的情况下进行缩放和放大,因此在印刷和设计行业中具有广泛的应用。 .wmf文件的优点之一是它的文件大小相对较小,这使得它在网络传输和存储空间方面更加高效。 不过,.wmf格式也有一些不足之处。由于.wmf文件是存储图形的命令和数据,而不是直接存储像素信息,因此在某些情况下可能会导致图像质量下降。另外,由于.wmf文件是Windows特定的文件格式,因此在其他操作系统或软件中可能无法正常显示或编辑。 总而言之,.wmf是一种常用的图像文件格式,适用于Windows操作系统。它支持矢量图形和位图图像,并具有文件大小较小的优势。但它也有一些局限性,包括可能导致图像质量下降和在其他操作系统或软件中不兼容的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

inject2006

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值