分析CVE-2012-0158完善静态检测工具

最新推荐文章于 2024-07-02 08:52:48 发布
最新推荐文章于 2024-07-02 08:52:48 发布
阅读量1.3k 收藏
点赞数
分类专栏: 漏洞分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011636170/article/details/53270804
版权
本文主要探讨了CVE-2012-0158漏洞中的一些独特样本,如Office PowerPoint和Excel中存在的默认密码,以及双漏洞结合的利用方式。分析了RTF样本的溢出情况,通过动态调试和静态分析揭示了漏洞发生的原因——在拷贝Cob结构体数据时对大小判断不严,导致内存溢出。
摘要由CSDN通过智能技术生成

最近在完善样本检测工具,分析了很多VT 上0158的样本,漏洞很简单,先说一说遇到的比较奇特的样本

1office ppt和XLS都存在彩蛋,存在默认密码
XLS 默认密码是 VelvetSweatshop
PPT 的默认密码是 /01Hannes Ruescher/01

这种情况静态检测工具基本没有办法,从VT上看整个免杀的效果也是非常好的

2 双漏洞结合的,这种情况可能是黑客主要是为了保证漏洞的成功率。

下面是漏洞分析
漏洞分析
样本信息 POC
MD5 :4e8ead45bde2cf343ded6b02f13b893d57e1383e
此样本为一个RTF样本,在触发漏洞后,EIP变成了 41414141
查过查看栈回溯发现地址为275C8A0A 此地址属于模块MSCOMCTL.OCX中
通过IDA定位函数
这里写图片描述

在二进制查看工具中可以看出在41周围都是零
这里写图片描述
通过动态调试
这里写图片描述
通过硬件写断点 可以快速定位到溢出位置 覆盖的返回地址为 00127b20
这里写图片描述

详细分析上一层函数,发现是在拷贝Cob结构体里面的数据据

最低0.47元/天 解锁文章
左道diffway
关注
专栏目录
[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。基础性文章,希望对您有所帮助~
[网络安全提高篇] 一一三.Powershell恶意代码检测 (1)论文总结及抽象语法树(AST)提取
热门推荐
杨秀璋的专栏
03-11 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将详细讲解PowerShell、Powershell恶意代码检测总结及抽象语法树(AST)提取。希望这篇文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。
CVE-2012-0158漏洞分析
weixin_44279850的博客
12-27 1453
1样本概况 1.1样本信息 漏洞编号:CVE-2012-0158 漏洞模块:MSCOMCTL.OCX 漏洞类型:缓冲区溢出 样本MD5: 15552F40076D67AF066391D03AC173ED 样本SHA1: 4E8EAD45BDE2CF343DED6B02F13B893D57E1383E 样本CRC32: 51F953DF 1.2漏洞分析环境与工具 操作系统:Window 7 专业版 ...
老漏洞easy击:CVE-2012 0158占顶!
weixin_33915554的博客
10-05 139
APT攻击富有潜伏性和持续性。依据2013年下半年所进行的分析结果显示,那段时间内最常被攻击的漏洞是CVE-2012 0158,这是微软Office在2012年4月就已经被修补的漏洞,这说明修补程序和安全更新在解决这些威胁所带来的风险上是多么的重要。 (图一、APT攻击中最常被攻击的漏洞) 最常被APT攻击锁定目标的是台湾、日本和美国。攻击产业前三名:政府、 IT产业、金融...
【网络安全渗透测试零基础入门必知必会】之cve实际漏洞案例解析(非常详细)零基础入门到精通, 收藏这一篇就够了2
最新发布
Libra1313的博客
07-02 1078
这是大白给粉丝盆友们整理的网络安全渗透测试入门阶段文件包含渗透与防御第1篇。本文主要讲解漏洞丨实例分析cve2012-0158一、漏洞简介Microsoft Office 2003 sp3是2007年9月18日由微软公司创作的一个办公软件。精简版包含 Word、Excel、PowerPoint、Access、OutLook 五大组件常用功能。
cve-2012-0158 APT病毒分析报告
qq_43572067的博客
11-01 652
样本信息 病毒名称:cve-2012-0158 APT病毒 所属家族:APT木马后门 MD5值:52E3DDB2349A26BB2F6AE66880A6130C SHA1值:52E3DDB2349A26BB2F6AE66880A6130C CRC32:7D21F812 病毒行为:感染主机,留下后门,允许远程操控 测试环境及工具 测试环境为虚拟机win7专业版 所使用到的工具:火绒剑,Pchunte...
CVE-2012-0158 分析
weixin_30871701的博客
11-22 161
生成样本 用 msf 生成一个 执行 计算器的 样本 拖到 office 2007 的 word 里面打开即可弹出计算器。 漏洞分析 弹计算器一般是执行系统命令实现, 这里使用的是 kernel32.dll 里面的 WinExec 实现的。所以可以在这个函数下个断点, 然后运行样本看看。 PS: x64dbg 可以选择下载指定模块的符号。 在 WinExec 断下来后,查看栈回溯,发现栈的数据...
GPU程序的静态分析与不安全类型转换的检测方案,有效降低了虚警,适用于CUDA SDK
可在www.sciencedirect.com在线获取理论计算机科学电子笔记317(2015)33-45www.elsevier.com/locate/entcsGPU程序的不安全浮点...虽然已经提出了许多工具来处理顺序程序,但据我们所知,还没有一个工具适合GPU。在本文
看雪『Android安全』板块 2018 年优秀和精华帖分类索引
墨鱼菜鸡
07-11 894
转载:https://bbs.pediy.com/thread-249602.htm [推荐]『Android安全』版2018年优秀和精华帖分类索引 文章筛选和评价仅代表个人观点,欢迎指正。 列表不定期更新,欢迎自荐~ 2018年 1.逆向技术基础 Frida操作手册-Android环境准备 Frida hook方便快捷,并且跨平台,可以学习一...
cve-2012-0158分析调试报告.doc
09-24
Microsoft Windows Common Controls的MSCOMCTL.OCX中存在缓冲区溢出漏洞,可被利用破坏内存,导致任意代码的执行.。
CVE-2012-0158的POC
04-18
这是office安全漏洞的一个POC,用来帮助分析理解漏洞原理。
MS12-020(CVE-2012-0002) Exploit 3389远程溢出漏洞代码
03-09
MS12-020(CVE-2012-0002) Exploit 3389远程溢出漏洞代码
漏洞丨实例分析cve2012-0158
m0_64973256的博客
12-14 506
CVE-2012-0158是一个office栈溢出漏洞,Microsoft Office 2003 sp3是2007年9月18日由微软公司创作的一个办公软件,他的MSCOMCTL.ocx中的MSCOMCTL.ListView控件检查失误,由于读取长度和验证长度都在文件中,这样参数可以人为修改,触发缓冲区溢出漏洞。拖到010Editor中,搜搜有没有9090(nop滑板指令,大部分会有这种指令用来凑数或者保护数据等)之类的,运气不错,找到相似的。
CVE-2012-0158分析
wangtiankuo的博客
12-15 425
这个实验参考了漏洞战争和http://blog.csdn.net/qq_35519254/article/details/53103931。 本来想按照漏洞战争上的步骤来实现的,但是不知道为啥在275c89c7那里老断不下来,我已经把MSCOMCTL.ocx下了断点之后才打开poc.doc的,唉,也不知道为啥。 实验写的有点乱,但是按照我想的思路从头做到了尾,总算是把这个入门级的漏洞给分析完了
【C/C++ 实用工具】CppCheck:静态代码检测工具,让你的代码更安全
探索C++编程的奥秘,分享深入的技术见解和实践,旨在激发读者创造力与解决问题的思维。
05-14 1万+
CppCheck的相关介绍
Workbook is encrypted 解决方式
ducanwang的博客
01-23 838
当打开受保护的工作簿时,会引发如下错误: import xlrd book = xlrd.open_workbook('encrypted.xls') Error: Traceback (most recent call last): ... xlrd.biffh.XLRDError: Workbook is encrypted 当工作表被标记为受保护的工作表时会发生这种情况 注1:设置方式(Excel > 工具 > 保护 > 保护工作表/簿) 注2:设置保护工作表/簿时,密码为可选,若不设置
Tomcat又爆严重安全漏洞
12-06 693
Apache基金会成员Mark Thomas今天在邮件列表中公布了Tomcat中新发现的3个安全漏洞。 1.拒绝服务漏洞(CVE-2012-4534) 等级:严重 受影响版本: To...
CVE-2012-0158漏洞分析教程:从Od到Windbg的探索
这篇文章是对CVE-2012-0158安全漏洞的分析记录,旨在帮助读者理解和学习漏洞分析技术,特别是通过使用OD(OllyDbg)和Windbg等调试工具。作者提到,这个分析过程受到了Chence和Metazhou两位专家的文章启发,他们提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值