cve 2010-0842 Oracle Java MixerSequencer Object GM_Song Structure Handling Vulnerability

最新推荐文章于 2012-07-09 22:35:46 发布
最新推荐文章于 2012-07-09 22:35:46 发布
阅读量889 收藏
点赞数
分类专栏: 漏洞分析 文章标签: java structure oracle object 2010 byte
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/instruder/article/details/7548088
版权

cve 2010-0842Oracle Java MixerSequencer Object GM_Song Structure Handling Vulnerability

 

分析没啥难度这个…目的不在分析,呵呵

 

Instruder

version: jre 6u18

 

 

设置HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\java.exe 路径

 

 

打开html,windbg g

 

 

Breakpoint 1 hit
eax=00000000 ebx=079f17e8 ecx=00000000edx=000000c0 esi=00000000 edi=079f3cf0
eip=6d52abda esp=06cef8fc ebp=06cef924iopl=0         nv up ei pl zr na pe nc
cs=001b ss=0023  ds=0023  es=0023 fs=003b  gs=0000             efl=00200246
jsound!Java_com_sun_media_sound_Platform_nGetLibraryForFeature+0x73c1:
6d52abda 8a03            mov     al,byte ptr [ebx]          ds:0023:079f17e8=80
*** ERROR: Symbol file could not befound.  Defaulted to export symbols forC:\Program Files\Java\jre6\bin\client\jvm.dll -
*** ERROR: Symbol file could not befound.  Defaulted to export symbols forC:\Program Files\Java\jre6\bin\msvcr71.dll -
*** ERROR: Symbol file could not befound.  Defaulted to export symbols forC:\Windows\system32\kernel32.dll -
0:030> db ebx
079f17e8 80 00 38 ff 02 c9 50 cc-cc 00 00 00 00 8b 0c 24  ..8...P........$
079f17f8 83 c4 04 8d 49 12 41 80-31 74 80 39 90 75 f7 35  ....I.A.1t.9.u.5
079f1808 9f 26 42 ff 01 48 42 ff-00 41 0c 77 81 22 4a ff  .&B..HB..A.w."J.
079f1818 02 54 77 81 47 bd 3d 35-d9 47 af 42 7b ca 60 5c  .Tw.G.=5.G.B{.`\
079f1828 4e a2 00 7c b5 bf 79 77-ae 34 9f 9b 4f ab 01 93  N..|..yw.4..O...
079f1838 2a 4a ff 2a 50 77 a9 12-4a ff 78 3f 4a ff 2a 68  *J.*Pw..J.x?J.*h
079f1848 77 a9 4a ff 70 ff 77 b1-b7 01 06 18 19 1b 1a 5a  w.J.p.w........Z
079f1858 10 18 18 74 47 b4 10 77-34 44 0c 7b 4a ff 34 78  ...tG..w4D.{J.4x


 

 


Ebx对应文件中0x8e偏移

 

0:030> t
Breakpoint 1 hit
eax=00000000 ebx=079f17e8 ecx=00000000edx=000000c0 esi=00000000 edi=079f3cf0
eip=6d52abda esp=06cef8fc ebp=06cef924iopl=0         nv up ei pl zr na pe nc
cs=001b ss=0023  ds=0023  es=0023 fs=003b  gs=0000             efl=00200246
jsound!Java_com_sun_media_sound_Platform_nGetLibraryForFeature+0x73c1:
6d52abda 8a03            mov     al,byte ptr [ebx]          ds:0023:079f17e8=80
0:030> t
eax=00000080 ebx=079f17e8 ecx=00000000edx=000000c0 esi=00000000 edi=079f3cf0
eip=6d52abdc esp=06cef8fc ebp=06cef924iopl=0         nv up ei pl zr na pe nc
cs=001b ss=0023  ds=0023  es=0023 fs=003b  gs=0000             efl=00200246
jsound!Java_com_sun_media_sound_Platform_nGetLibraryForFeature+0x73c3:
6d52abdc 43              inc     ebx
0:030> t
eax=00000080 ebx=079f17e9ecx=00000000 edx=000000c0 esi=00000000 edi=079f3cf0
eip=6d52abdd esp=06cef8fc ebp=06cef924iopl=0         nv up ei pl nz na po nc
cs=001b ss=0023  ds=0023  es=0023 fs=003b  gs=0000             efl=00200202
jsound!Java_com_sun_media_sound_Platform_nGetLibraryForFeature+0x73c4:
6d52abdd 88450f          mov     byte ptr [ebp+0Fh],al      ss:0023:06cef933=00
0:030> t
eax=00000080 ebx=079f17e9 ecx=00000000edx=000000c0 esi=00000000 edi=079f3cf0
eip=6d52abe0 esp=06cef8fc ebp=06cef924iopl=0         nv up ei pl nz na po nc
cs=001b ss=0023  ds=0023  es=0023 fs=003b  gs=0000             efl=00200202
jsound!Java_com_sun_media_sound_Platform_nGetLibraryForFeature+0x73c7:
6d52abe0 8a03            mov     al,byte ptr [ebx]          ds:0023:079f17e9=00
0:030> g
Breakpoint 1 hit
eax=00000000 ebx=079f17e8 ecx=04200000edx=000000c0 esi=00000000 edi=079f3cf0
eip=6d52abda esp=0798f9d0 ebp=0798f9f8iopl=0         nv up ei pl zr na pe nc
cs=001b ss=0023  ds=0023  es=0023 fs=003b  gs=0000             efl=00000246
jsound!Java_com_sun_media_sound_Platform_nGetLibraryForFeature+0x73c1:
6d52abda 8a03            mov    al,byte ptr [ebx]         ds:0023:079f17e8=80
0:037> g
Breakpoint 0 hit
eax=07a02a60 ebx=079f17ea ecx=00000080 edx=00000000 esi=00000000 edi=079f3cf0
eip=6d52ac4e esp=0798f9d0 ebp=0798f9f8iopl=0         nv up ei pl nz na pe nc
cs=001b ss=0023  ds=0023  es=0023 fs=003b  gs=0000             efl=00000206
jsound!Java_com_sun_media_sound_Platform_nGetLibraryForFeature+0x7435:
6d52ac4e 8b1488          mov     edx,dword ptr [eax+ecx*4] ds:0023:07a02c60=7c35a78d
0:037> u 6d52ac40
jsound!Java_com_sun_media_sound_Platform_nGetLibraryForFeature+0x7427:
6d52ac40 660fb64d0f      movzx   cx,byte ptr [ebp+0Fh]
6d52ac45 0f84ca010000    je     jsound!Java_com_sun_media_sound_Platform_nGetLibraryForFeature+0x75fc(6d52ae15)
6d52ac4b 0fbfc9          movsx   ecx,cx
6d52ac4e 8b1488          mov     edx,dword ptr [eax+ecx*4]
6d52ac51 85d2            test    edx,edx
6d52ac53 0f84bc010000    je     jsound!Java_com_sun_media_sound_Platform_nGetLibraryForFeature+0x75fc(6d52ae15)
6d52ac59 660fb675f4      movzx  si,byte ptr [ebp-0Ch]
6d52ac5e 56              push    esi
0:037> u
jsound!Java_com_sun_media_sound_Platform_nGetLibraryForFeature+0x7446:
6d52ac5f 660fb6750f      movzx  si,byte ptr [ebp+0Fh]
6d52ac64 56              push    esi
6d52ac65 ff75f8          push    dword ptr [ebp-8]
6d52ac68 ff75f0          push    dword ptr [ebp-10h]
6d52ac6b ffb48800020000  push   dword ptr [eax+ecx*4+200h]
6d52ac72 57              push    edi
6d52ac73 ff7508          push    dword ptr [ebp+8]
6d52ac76 ffd2            call    edx
0:037> u 7c35a78d
msvcr71!_RTDynamicCast+0x4fe:
7c35a78d ffe3            jmp     ebx
7c35a78f ff              ???
7c35a790 ff0d00600000    dec    dword ptr ds:[6000h]
7c35a796 eb56            jmp     msvcr71!_RTDynamicCast+0x55f (7c35a7ee)
7c35a798 25ffbfffff      and    eax,0FFFFBFFFh
7c35a79d 0d00200000      or     eax,2000h
7c35a7a2 eb4a            jmp     msvcr71!_RTDynamicCast+0x55f (7c35a7ee)
7c35a7a4 25ffebffff      and    eax,0FFFFEBFFh
0:037> u ebx
079f17ea 38ff            cmp     bh,bh
079f17ec 02c9            add     cl,cl
079f17ee 50              push    eax
079f17ef cc              int     3
079f17f0 cc              int     3
079f17f1 0000            add     byte ptr [eax],al
079f17f3 0000            add     byte ptr [eax],al
079f17f5 8b0c24          mov     ecx,dword ptr [esp]


 

 

这个漏洞是java在处理midi文件时,错误计算了指针,通过取文件中一个byte作为索引取一个this指针,索引没有做范围检测,从而可以获取一个文件中可以控制的数据作为指针,从而实现了任意代码执行。

 

 

附件中附有poc,pic_int3.rmf 是修改后的,在shellcode处加了个int3 ,pic.rmf这个样本里面的shellcode不知道做啥的,不用擅自运行。

 

感谢大东 大牛提供poc

 

 

I'm looking for a breakthrough in java

 

 

instruder
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
oracle 11.2.0.1 CVE-2012-1675 补丁:p12880299_112010_Linux-x86-64.zip
01-19
CVE-2012-1675 补丁 oracle 11.2.0.1
hikvision_CVE-2017-7921_auth_bypass_config_decryptor-main.zip
05-20
configurationFile配置文件解密
CVE-2011-0816, CVE-2011-0831, CVE-2011-0832, CVE-2011-0835
06-20
CVE-2011-0816, CVE-2011-0831, CVE-2011-0832, CVE-2011-0835, CVE-2011-0838, CVE-2011-0848, CVE-2011-0870, CVE-2011-0876, CVE-2011-0879, CVE-2011-0880, CVE-2011-2230, CVE-2011-2231, CVE-2011...
CVE-2020-06881_CVE-2020-06881_cve_exchange_powershell_
10-01
CVE-2020-0688 漏洞利用代码
CVE-2018-2628-MultiThreading-master.zip_CVE20182628_cve-2018-262
09-21
# CVE-2018-2628 # 用法:将需要检测的 ip:port 放入同目录下的url.txt文件中。然后运行:(代码93行处修改线程数) `python CVE-2018-2628-MultiThreading.py` Usage: Place the 'ip:port' to be detected into...
怎么解决name 'Tkinter' is not defined 问题
热门推荐
爱杀之爪的矩阵
11-26 2万+
解决name 'Tkinter' is not defined   
纯字符数字的shllcode及Alpha2.c使用
爱杀之爪的矩阵
12-02 4867
<br />#include <stdio.h> #include <windows.h> //纯字符数字的shellcode,显示个calc char aphal1[]={"TYIIIIIIIIIIIIIIII7QZjAXP0A0AkAAQ2AB2BB0BBABXP8ABuJIxkVvqKRJ31PXrsOKtMFEk6cL9oKcFQIPPPmkFrHKNaQlYoXSjHIu9oyokOsSu1RLasfNQuPxPegps0A"}; int main(int argc, char *
metasploit 添加自己的poc
爱杀之爪的矩阵
04-23 3022
<br /> <br />方法:<br />在安装目录/Metasploit/Framework3/home/Administrator/.msf3/”下面,添加完你的exploit后要先删除这个文件,然后重新启动整个程序<br /> <br />ruby太慢 受不了
metasploit shellcode编码命令....
爱杀之爪的矩阵
10-20 2904
擦 这种东西还是要记下的,不然外出出差电脑上没有这种资料,还要现场去百度搜索 太麻烦了....纠结     ruby ./msfpayload windows/messagebox EXITFUNC=seh TEXT="hack by instruder" TITLE=hack R >messagebox ruby ./msfencode -i messagebox -b '\x00' -
为啥_wtol("4294967295")的结果不是0xffffffff而是0x7fffffff
爱杀之爪的矩阵
07-07 2771
今天看一个软件的更新时 取的http头信息中的Content-length+1 作为内存分配,晚上测试了下 发现可以单独的更改http 头中的Content-length长度信息为0xffffffff。这样当长度+1时,即可导致分配0字节内存(实际上是8字节)。 后面在用Inte
MS10-073微软Windows内核Win32k.sys键盘布局本地提权漏洞 fix poc
爱杀之爪的矩阵
11-05 2587
第一次载入poc crash在这 eax=00000000 ebx=00000000 ecx=0000006b edx=e16edaac esi=00000244 edi=00000000 eip=8053af99 esp=b264e948 ebp=b264e94c iopl=0 nv up ei pl zr na pe nc cs=0008 ss=0010 ds=0023
CVE2011-0065-Mozilla Firefox3.6.16 mChannel use after free vulnerability
爱杀之爪的矩阵
08-19 2099
CVE2011-0065-Mozilla Firefox3.6.16 mChannel use after free vulnerability   Author: instruder of Code Audit Labs of vulnhunt.com Time: 201
挖漏洞的伤不起啊
爱杀之爪的矩阵
09-26 2092
最近一直在挖掘XX player的漏洞 本来打算找个可利用的漏洞(之前找了几个没能利用)就不搞了 换ie的分析和挖掘下(一直对 used after free 类型的漏洞不知道怎么找): 好不容易找了个潜在的堆溢出(为什么说是潜在的呢, 只能能执行到
java 漏洞调试科普
爱杀之爪的矩阵
05-09 1740
Java 漏洞调试科普 Cve2010-0840  author : instruder  介绍 以cve2010-0840的Java Runtime Environment Trusted Methods Chaining Remote CodeExecution Vulnerability漏洞为例,介绍下如何调试java漏洞。   这个漏洞影响的java版本   Jre
ActiveX控件漏洞学习
爱杀之爪的矩阵
11-23 1732
<br />以后可能会一直搞这方面了,挺有意思的,今天在看雪找到了ExploitMe玩了下(08年的ExploitMe大赛的题目)<br />题目A很简单,简单的栈溢出就搞定了,题目B用到了ActiveX控件,基本没接触过,仔细学习了下<br /> <br />注册表查看ActiveX控件<br />HKEY_LOCAL_MACHINE/SOFTWARE/Classes/TypeLib/{7F5E27C1-4A5C-11D3-9232-0000B48A05B2}<br /> <br /> <br />//一
Freefloat FTP Server (CWD command) Buffer Overflow Exploit
爱杀之爪的矩阵
07-14 1561
夜深人静了,想想自己在漏洞利用方面做的太少了,基本都是找漏洞,很少利用,跟项目有关。 搞了几晚上rop没搞定郁闷啊。就到exploit-db上面找个漏洞看看。 这个ftp 写的比较烂  好几个命令都要问题 exploit-db上面发布的是list命令堆栈溢出, 大致
Cve2012-0507 简单分析
爱杀之爪的矩阵
04-17 1443
Cve2012-0507分析   影响版本 Jre update 30 before     触发漏洞代码   public class Exploit extends Applet {   publicvoid init()   {     try     { //manually constructing aserialized object        by
HP 3COM/H3C Intelligent Management 几个 Luigi Auriemma发现的cve漏洞
爱杀之爪的矩阵
04-25 1295
这个 Luigi Auriemma 大牛 挖各种远程开端口软件的漏洞啊 ,牛叉... 没事看下他挖的几个关于HP 3COM/H3C Intelligent Management 的漏洞 ,不用补丁对比,自己跟着看了一遍,当然了  是猜测 并不一定正确。 CVE-2011-1851 .text:0040AA05 loc_40AA05:
cve-2010-4452 codebase 和code标签属性未检测同源策略导致任意代码执行漏洞
爱杀之爪的矩阵
07-09 1285
引用http://fhoguin.com/2011/03/oracle-java-unsigned-applet-applet2classloader-remote-code-execution-vulnerability-zdi-11-084-explained/   漏洞poc     漏洞原理:   Applet有2个标签参数,codebase和code,c
a different vulnerability than CVE-2016-4589, CVE-2016-4623, and CVE-2016-4624.是什么意思?
最新发布
07-25
"a different vulnerability than CVE-2016-4589, CVE-2016-4623, and CVE-2016-4624" 的意思是指一个与 CVE-2016-4589、CVE-2016-4623 和 CVE-2016-4624 不同的漏洞。 CVE(Common Vulnerabilities and Exposures...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值