CVE-2012-0158漏洞的样本分析

最新推荐文章于 2021-08-19 14:56:26 发布
最新推荐文章于 2021-08-19 14:56:26 发布
阅读量828 收藏 1
点赞数
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38184895/article/details/83351929
版权

一.样本信息

  • 文件名称:E5937775444C94CA3C1A309A7BDEC42E.doc
  • 文件大小:129K
  • MD5:E5937775444C94CA3C1A309A7BDEC42E
  • SHA-1:DB6B1FA595D0A561BFF364181CAB6441D7F24B1D

二.样本分析
0x01.将文件上传至virustotal分析,有许多认为是CVE-2012-0158,该漏洞发生在MSCOMCTL.OCX模块,因为内存拷贝越界导致栈溢出漏洞的触发。

0x02.使用Procmon.exe,尝试运行该文件,观察行为



0x03.进行附加调试,打开文件后,程序抛出了异常,查看堆栈,发现堆栈取已经被覆盖了。尝试在样本中寻找堆栈中的溢出的数据,对比发现后,可以看到堆栈在ESP+13C处之后为样本的数据覆盖,也就是这下面的堆栈已经被破坏了


0x04.往上回溯,找到最近的函数位于MSCOMCTL模块的函数sub_275C8B2B,重新调试文件,尝试在MSCOMCTL.OCX加载后对该函数入口点0x275C8B2B下断点。可以看到堆栈仍是被破坏,继续尝试向上回溯,可以看到地址0x275C8A0A是位于函数sub_275C89C7中,之后在该函数入口点处重新调试下断。



0x05.程序在该入口点断下后,观察堆栈发现还并没有被破坏,逐步向下调试,发现在第二个函数sub_275C876D调用,也就就是运行到0x275C8A0A后,堆栈被破坏。判断可能是该函数导致,重新调试在运行到该函数前对EBP+4也就是函数sub_275C89C7的返回地址下硬件写断点,程序断在sub_275C876D函数该语句处REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ESI]ECX0x209C远超过了该

最低0.47元/天 解锁文章
孑曦曦孑
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Virus专杀工具 Virus.Win32.TuTu(Sality) 专杀
05-22
Virus.Win32.TuTu(Sality) 专杀
windows下删除病毒文件
mahuifa的博客
10-17 1543
1、适用场景 病毒文件反复自动重启,无法删除,资源管理器也无法停止; 如360、2345这些流氓。 2、解决办法 Win + R,输入msconfig或系统配置,打开系统配置界面; 选择引导–勾选安全引导,点击确认,然后重启。 系统重启后就进入了安全模式,这时就可以随意删除病毒文件了,可以使用Everything软件查找病毒软件相关文件,然后手动删除。 删除干净后再打开系统配置界面,将安全引导取消勾选,然后重启系统就可以了。 ...
[病毒分析]利用CVE-2012-0158的病毒分析
r250414958的博客
11-01 820
样本信息: 病毒名称:Office2003宏病毒 MD5: 52E3DDB2349A26BB2F6AE66880A6130C SHA1: A86DC1842355E6999DE100B85B85A7C1589E4BBC CRC32: 7D21F812 环境: Win7专业版32位 Offi2003 SP3 完全版 工具: 火绒剑,Ollydbg,IDA,Windbg,PEiD Malware D...
CVE-2010-2883 从漏洞分析样本分析
qq_28205153的博客
08-19 4670
本文章将从漏洞利用分析开始,到样本分析结束,其中涉及到的知识点有PDF格式、TTF字体格式、缓冲区溢出漏洞利用、PE文件格式、软件脱壳和恶意代码分析。其中会演示一些基本操作,方便初学者进行复现。 前置知识 要学习本文章,需要下面的前置知识 C语言。可以看《C程序设计语言》。 汇编语言。可以看《深入理解计算机系统》第三章。 缓冲区溢出漏洞利用。可以看《0day安全:软件漏洞分析技术》。 软件脱壳、PE文件格式。可以看《加密与解密》。 恶意代码分析(可选)。可以看《恶意代码分析实战》。 漏洞信息 漏洞名称:
CVE-2012-0158 分析
weixin_30814319的博客
12-01 188
目录 CVE-2012-0158 分析&利用 1、实验环境 2、下载poc样本 3、调试并找到漏洞触发点 4、分析漏洞触发模块及流程 5、漏洞利用 6、总结 7、参考资料 ...
[漏洞样本分析]CVE-2018-0802
r250414958的博客
11-01 745
环境: Win7(专业版) office 2007 (完全版:更新到sp3补丁\修复eqnedt补丁) 工具: Ollydbg IDA Pro PEid Kali-Linux metasploit POC来源: https://github.com/rxwx/CVE-2018-0802 漏洞背景: 在2017年11月14日,微软发布11月份安全补丁更新,其中更新了潜伏17年之久的...
CVE-2017-0199.zip
12-13
调试CVE-2017-0199漏洞样本过程中保存的中间文件,有兴趣的同学可以调试试试。强行添加摘要至50字。
CVE-2017-12149JBOSSas6.X反序列化(反弹shell版)
08-08
在研究和分析`sevck-CVE-2017-12149-cdb08d5`这样的样本时,开发者和安全研究人员可以深入了解漏洞的工作原理,学习如何检测此类攻击,以及如何编写修复方案。通过深入理解这种攻击手法,我们可以更好地保护我们的...
CVE-2015-0235-test:Ansible playbook 检查 CVE-2015-0235 漏洞
06-28
CVE-2015-0235-test Ansible playbook检查漏洞。 这是基于芝加哥大学提供的测试程序()。 Ansible 将允许您一次指定大量主机进行测试。 这不会修补或重新启动任何东西,它只会报告您的系统是否受到影响。 假设gcc是...
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
概念验证(PoC)或换句话说,是恶意有效载荷的样本 参考 文件.rules拥有Suricata规则本身。 笔记 许多服务都在HTTPS上运行,但是Suricata无法分析加密的数据。 如果要使用Suricata来检测HTTPS有效负载中的攻击者,则...
CVE-2012-4969漏洞分析
02-29
CVE-2012-4969漏洞分析,详细的分析了该漏洞的造成原因!
高危Windows 0day漏洞
10-08
2010年7月16日,Windows快捷方式自动执行0day漏洞[CVE-2010-2568](微软安全知识库编 号2286198)被披露,很快网上已经可以找到利用这个漏洞攻击的样本。利用Windows快捷方式自动执行0day漏洞可以做到:看一眼恶意...
CVE-2017-11826漏洞利用样本分析
zz_strive_2012的专栏
10-19 3149
2017年10月10日,微软在例行的月度补丁中修复了一个漏洞编号为CVE-2017-11826的在野Microsoft Office 0day 漏洞。鉴于CVE-2017-11826已存在在野利用案例,金睛安全研究团队发布安全预警,提醒广大用户及时修补漏洞漏洞编号: CVE-2017-11826 漏洞影响软件: Microsoft Office Compatibil
[漏洞样本分析]CVE-2017-11882
r250414958的博客
11-01 3382
环境: Win7(专业版) office 2003 sp3(完全版) 工具: Ollydbg IDA Pro PEid Kali-Linux metasploit POC来源: https://github.com/embedi/CVE-2017-11882 漏洞介绍: 安全公司Embedi最早报告了漏洞,他们在一个老旧的微软工具Equation Editor中的EQNEDT32...
逆向CVE-2017-0199漏洞样本
yellow的博客
12-13 816
遇到gamaredon组织攻击乌克兰的word样本,VT杀软大部分报CVE-2017-0199,也有说是word远程模板,非CVE-2017-0199漏洞,现在好奇到底是word远程模板还是CVE-2017-0199漏洞利用 先看gamaredon样本的行为,md5:b221647d110bd2be2c6e9c5d727ca8db是一个word文档,word.exe请求了http://micro...
CVE-2012-0158样本分析
yuanfengfengyuan的博客
03-19 394
样本分析记录 样本概述 类型 信息 样本名 个人简历.doc md5 18C6A011C63390195EE12CCD43C3C829 分析工具 x32db wireshark 样本行为总结 样本doc漏洞CVE-2012-0158 样本行为: 通过DOC溢出执行shellcode,访问phone.ftp.sh/c.png下载c.png文件保存到本地并执行,而c.pn...
CVE-2012-0158栈溢出漏洞分析
鬼手的博客
08-04 1823
文章目录漏洞描述分析环境漏洞分析寻找漏洞函数验证漏洞函数缩小漏洞范围探究漏洞本质漏洞修复漏洞修复 漏洞描述 该漏洞发生在MSCOMCTL.OCX模块中,在一段内存拷贝时,由于检查条件错误造成基于栈的缓冲区溢出 分析环境 环境 版本 操作系统 W7 x64 调试器 windbg 反汇编器 IDA Pro 漏洞软件 Office 2003 SP3 Office格式分析工...
CVE-2012-0158漏洞分析
weixin_44279850的博客
12-27 1439
1样本概况 1.1样本信息 漏洞编号:CVE-2012-0158 漏洞模块:MSCOMCTL.OCX 漏洞类型:缓冲区溢出 样本MD5: 15552F40076D67AF066391D03AC173ED 样本SHA1: 4E8EAD45BDE2CF343DED6B02F13B893D57E1383E 样本CRC32: 51F953DF 1.2漏洞分析环境与工具 操作系统:Window 7 专业版 ...
cve-2012-1675
最新发布
01-31
cve-2012-1675是指微软在2012年发现的一个针对Windows操作系统的安全漏洞。这个漏洞涉及到Windows Common Control库中的一个错误,可以被远程攻击者利用来执行恶意代码。具体来说,当用户访问一个包含恶意制作的缩略...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值