CVE-2013-3906简要分析

最新推荐文章于 2024-09-04 22:41:16 发布
最新推荐文章于 2024-09-04 22:41:16 发布
阅读量1.6k 收藏
点赞数
分类专栏: windows调试 网络安全 漏洞 文章标签: cve2013-3906


CVE-2013-3906简要分析

简单分析了一下做个笔记,有错误之处望指正。

漏洞成因

         Word在处理TIFF文件格式的时候一个整数溢出导致了堆溢出,覆盖了函数指针,导致任意代码执行。

TIFF格式

TIFF格式中靠图像文件目录IFD来表示各个字段,IFD有很多类型,其中一个叫StripByteCounts(标号0x117),官方的解释它是For each strip, the number of bytes in the strip after compression.就是一些压缩后的长度数组,结果WORD把这些长度简单相加导致了整数溢出。

代码分析

C:\Program Files (x86)\CommonFiles\microsoft shared\OFFICE12\OGL.DLL

3BDC576D    55              push    ebp

3BDC576E    8BEC            mov     ebp, esp

3BDC5770    0FB78F EC000000 movzx   ecx, word ptr [edi+EC]

3BDC5777    33C0            xor     eax, eax

3BDC5779    85C9            test    ecx, ecx

3BDC577B    56              push    esi

3BDC577C    7E 15           jle     short 3BDC5793

3BDC577E    8B97 A0000000   mov    edx, dword ptr [edi+A0]  ;StripByteCountsfile offset 0x3324

3BDC5784    0FB7B7 EC000000 movzx   esi, word ptr [edi+EC]

3BDC578B    0302            add     eax, dword ptr [edx]   ;共0x44个DWORD相加,第一个是FFFFB898,整数溢出了

3BDC578D    83C2 04        add     edx, 4

3BDC5790    4E              dec     esi

3BDC5791  ^ 75 F8           jnz     short 3BDC578B

3BDC5793    8B75 0C         mov    esi, dword ptr [ebp+C]

3BDC5796    8D4448 08       lea    eax, dword ptr [eax+ecx*2+8]

3BDC579A    03C6           add     eax, esi        ;加上0x1484(JPEGInterchangeFormatLength)之后长度正好溢出为0

3BDC579C    50              push    eax

3BDC579D    8987 60010000   mov    dword ptr [edi+160], eax

3BDC57A3    E8 B0CCF4FF     call   3BD12458          ;分配0字节heap

3BDC57A8    85C0           test    eax, eax

3BDC57AA    8987 64010000   mov    dword ptr [edi+164], eax

3BDC57B0    75 08           jnz     short 3BDC57BA

3BDC57B2    83C8 FF         or     eax, FFFFFFFF

3BDC57B5    5E              pop     esi

3BDC57B6    5D              pop     ebp

3BDC57B7    C2 0800         retn   8

3BDC57BA    8B4D 08         mov    ecx, dword ptr [ebp+8]

3BDC57BD    53              push    ebx

3BDC57BE    FFB7 08010000   push   dword ptr [edi+108]

3BDC57C4    56              push    esi

3BDC57C5    E8 12C30500     call   3BE21ADC

3BDC57CA    8BD8            mov     ebx, eax

3BDC57CC    85DB            test    ebx, ebx

3BDC57CE    0F8C BC000000   jl     3BDC5890

3BDC57D4    FF75 0C         push   dword ptr [ebp+C]

3BDC57D7    8BB7 64010000   mov    esi, dword ptr [edi+164]

3BDC57DD    FF75 08         push   dword ptr [ebp+8]

3BDC57E0    56              push    esi

3BDC57E1    E8 B5D4F4FF     call   <jmp.&MSVCR80.memcpy> ;把0x1484字节拷贝到刚分配的0字节heap

这里复制的是JPEGInterchangeFormat

 

3BDC57E6    0375 0C        add     esi, dword ptr [ebp+C]

3BDC57E9    83C4 0C         add    esp, 0C

3BDC57EC    C606 FF         mov    byte ptr [esi], 0FF

3BDC57EF    46              inc     esi

3BDC57F0    C606 DD         mov    byte ptr [esi], 0DD

3BDC57F3    46             inc     esi

3BDC57F4    C606 00         mov    byte ptr [esi], 0

3BDC57F7    46              inc     esi

3BDC57F8    C606 04         mov    byte ptr [esi], 4

3BDC57FB    46              inc     esi

3BDC57FC    8BC3            mov     eax, ebx

3BDC57FE    C1F8 08         sar    eax, 8

3BDC5801    8806            mov     byte ptr [esi], al

3BDC5803    46              inc     esi

3BDC5804    881E            mov     byte ptr [esi], bl

3BDC5806    33DB            xor     ebx, ebx

3BDC5808    46              inc    esi

3BDC5809    66:399F EC00000>cmp     word ptr [edi+EC], bx

3BDC5810    76 5E           jbe     short 3BDC5870

3BDC5812    8B87 9C000000   mov    eax, dword ptr [edi+9C]

3BDC5818    8B0498          mov     eax, dword ptr [eax+ebx*4]

3BDC581B    8B8FA0000000   mov     ecx, dword ptr [edi+A0]

3BDC5821    8B0C99          mov     ecx, dword ptr [ecx+ebx*4]

3BDC5824    50              push    eax

3BDC5825    57              push    edi

3BDC5826    894D 0C         mov    dword ptr [ebp+C], ecx

3BDC5829    E8 3DAA0500     call   3BE2026B

3BDC582E    85C0            test    eax, eax

3BDC5830    75 5E           jnz     short 3BDC5890

3BDC5832    FF75 0C         push   dword ptr [ebp+C]

3BDC5835    56              push    esi

3BDC5836    57             push    edi

3BDC5837    E8 2F0DFDFF     call   3BD9656B

3BDC583C    85C0            test    eax, eax

3BDC583E    75 50           jnz     short 3BDC5890

3BDC5840    0375 0C         add    esi, dword ptr [ebp+C]

3BDC5843    8BC3            mov     eax, ebx

3BDC5845    25 07000080     and    eax, 80000007

3BDC584A    79 05           jns     short 3BDC5851

3BDC584C    48              dec     eax

3BDC584D    83C8 F8         or     eax, FFFFFFF8

3BDC5850    40              inc     eax

3BDC5851    0FB70445 8058DC>movzx   eax, word ptr [eax*2+3BDC5880]

 

调用到这里

3BE2026B    55              push    ebp

3BE2026C    8BEC            mov     ebp, esp

3BE2026E    8B45 08         mov    eax, dword ptr [ebp+8]

3BE20271    8D88 58010000   lea    ecx, dword ptr [eax+158]

3BE20277    51              push    ecx

3BE20278    6A 00           push    0

3BE2027A    FF75 0C         push   dword ptr [ebp+C]

3BE2027D    FF30            push    dword ptr [eax]

3BE2027F>  FF50 20         call   dword ptr [eax+20] ;0x08080808   恰好覆盖了函数指针

3BE20282    83C4 10         add    esp, 10

3BE20285    85C0            test    eax, eax

3BE20287    7D 07           jge     short 3BE20290

3BE20289    6A 0C           push    0C

3BE2028B    58              pop     eax

3BE2028C    5D              pop    ebp

3BE2028D    C2 0800         retn   8

一般堆溢出要想利用也是很不容易的,但是这里凑巧覆盖了函数指针。

HeapSpray

利用activex来进行heapspray控制内存布局是个不错的办法,但是目前看还是对系统性能有一定要求的,在某些系统上还没分配好内存但是已经跳过去执行了。

Shellcode

我手里这个样本的shellcode真心不怎么样啊,除了对API进行了校验以外,基本没什么亮点。关键问题是,WORD漏洞用download&exec shellcode,这不符合我天朝黑客的审美习惯。

这里是调用API之前进行的校验,这种方法能否逃避自动化分析工具,我觉得还要打一个问号。

08080988   8038 E8         cmp     byte ptr [eax], 0E8

0808098B   74 0F           je      short 0808099C

0808098D   8038 E9         cmp     byte ptr [eax], 0E9

08080990   74 0A           je     short 0808099C

08080992   8038 CC         cmp     byte ptr [eax], 0CC

08080995   74 05           je      short 0808099C

08080997   8038 EB         cmp     byte ptr [eax], 0EB

0808099A   75 11           jnz     short 080809AD

0808099C   8178 05 9090909>cmp     dword ptr [eax+5], 90909090

080809A3   74 08           je      short 080809AD

总结

这个漏洞根源还是没有对用户数据做足够的检查,导致了整数溢出。我看这个漏洞特别眼熟之处是恰好前段时间分析的另一个漏洞也是图片格式里面的长度数组累计相加导致溢出。这种漏洞用fuzzer挖掘出来的概率很大,但fuzz的最关键问题还是文件格式,以前也在别的软件里fuzz过TIFF格式,但是由于文档不全,始终无法覆盖所有数据类型,通过对这个漏洞的学习我觉得还可以再fuzz一遍。另外一个值得注意的地方是控制内存布局方法的研究,现在这个已经成了客户端漏洞利用的重中之重了,总把眼光集中到靠脚本heapspray太狭隘了,应该还有更多的方法可以去研究。

参考附录

TIFF文件格式:http://partners.adobe.com/public/developer/en/tiff/TIFF6.pdf

usertony
关注
专栏目录
CVE复现NO.00001】“脏牛”漏洞CVE-2016-5195复现及简要分析
arttnba3的博客
04-16 3992
CVE复现NO.00001】CVE-2016-5195复现及简要分析[github blog addr](https://arttnba3.cn/2021/04/08/NOTE-0X04-CVE-2016-5195/)0x00.一切开始之前一、写时复制机制(Copy-on-Write)basic COWmmap 与 COW二、缺页异常(page fault)分类①软性缺页异常(soft page fault)②硬性缺页异常(hard page fault)③无效缺页异常(invalid page faul
linux漏洞分析,Spring-data-commons(CVE-2018-1273)漏洞分析
weixin_39830303的博客
05-13 874
前言CVE-2018-1273 是 Spring-data-commons近期爆出的一个可远程执行代码的漏洞,为了了解更多细节,本文将从漏洞的成因,漏洞的判定以及漏洞的利用三个方面来进行详细说明。漏洞的成因当用户在项目中利用了Spring-data的相关web特性对用户的输入参数进行自动匹配的时候,会将用户提交的form表单的key值作为Spel的执行内容,而这一步就是本次漏洞的爆发点。漏洞的判定...
【技术分享】手把手教你如何构造office漏洞EXP(第二期)
SAKAISON的博客
09-10 1067
作者:维一零 稿费:700RMB(不服你也来投稿啊!) 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿 上一期本人分享了office经典漏洞CVE-2012-0158,演示了如何基于栈缓冲区溢出原理构造触发漏洞的攻击文档。本期分享的漏洞是CVE-2013-3906,也是一个典型的溢出型office文档漏洞。该漏洞的背景带有一定的传奇色彩,从技术框
CVE-2024-38063(Windows TCP/IP 远程执行代码漏洞) 漏洞详情
yh
08-15 5107
CVE-2024-38063是影响 Windows TCP/IP 的严重 RCE 漏洞。它的 CVSSv3 评分为 9.8,被评为“更有可能被利用”。攻击者可以通过向主机发送特制的 IPv6 数据包来远程利用此漏洞。微软的缓解建议建议禁用 IPv6,因为只有 IPv6 数据包才可以被滥用来利用此漏洞。微软已经为所有受支持的 Windows 和 Windows Server 版本(包括 Server Core 安装)发布了补丁。
【漏洞剖析】CVE-2024-38063(Windows IPV6 远程执行代码漏洞)
最新发布
QYbudong的博客
09-04 2085
这也证明之前引发溢出的漏洞并不是单一数据包产生的,我们需要发送多个会被抛弃或或待被处理的ipv6数据包,才能组合触发漏洞。该函数在ipv6数据包重组失败或异常一段时间后被调用,他的代码很少,但在中间部分使用了memmove函数复制缓冲区,顺着这里往上看,它使用IppNetAllocate申请了一块大小为(0xFFD0+8+0x28)再加上一个不超过0x40的值,由于这里是十六位无符号数,所以相加后一定是一个处于0x00和0x50之间的数,远小于0xFFD0,所以下边使用memmove复制内存时会产生溢出。
CVE-2019-3396:Confluence 文件读取漏洞复现
nex1less的博客
11-26 4591
0x01 漏洞描述 Atlassian Confluence是企业广泛使用的wiki系统,其6.14.2版本前存在一处未授权的目录穿越漏洞,通过该漏洞,攻击者可以读取任意文件,或利用Velocity模板注入执行任意命令。 0x02 漏洞环境 1.根据我过往博客安装vulhub 2.cd 到指定目录: cd vulhub/confluence/CVE-2019-3396 ...
核弹级漏洞!Windows TCP/IP RCE 漏洞CVE-2024-38063会影响所有启用IPv6系统
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
08-16 1420
BlockBeats 消息,8 月 14 日,据微软官方披露,近日,Windows 系统曝出严重安全漏洞,编号为 CVE-2024-38063漏洞概述漏洞名称Windows TCP/IP IPv6远程拒绝服务/代码执行漏洞漏洞编号CVE-2024-38063公开时间2024-08-13影响对象数量级千万级评级高危CVSS 3.1分数9.8威胁类型拒绝服务、代码执行利用可能性高POC状态未公开在野利...
Windows 远程桌面授权服务远程代码执行漏洞(CVE-2024-38077)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-10 4202
开启该服务(Windows 远程桌面授权服务)并且操作系统版本在受影响范围的 Windows Server 受影响,没有开启该服务但是操作系统版本在受影响范围的Windows Server 不受影响,Windows 10、Windows 11 等非 Server 版本的操作系统,不论是否开启Windows 远程桌面(RDS),均不受影响。这一漏洞存在于Windows远程桌面许可管理服务(RDL)中,该服务被广泛部署于开启Windows远程桌面(3389端口)的服务器,用于管理远程桌面连接许可。
CVE-2020-1048 到 CVE-2020-17001:Windows打印机模块中多个提权漏洞分析
smellycat000的专栏
11-14 926
聚焦源代码安全,网罗国内外最新资讯!Windows 打印组件自 Win2000时代就被引入,作为一个”历史悠久”的组件其安全问题也一直广受安全研究人员关注。近期围绕 printer p...
Samba远程崩溃或代码执行漏洞(CVE-2015-0240)简要分析
Traxer的学习之路
03-07 4184
Samba远程崩溃或代码执行漏洞(CVE-2015-0240)1.搭建samba环境注意:在Linux系统上使用源码编译来安装samba必须要将系统自带的全部关于samba的软件均删除,可用如下命令查看已安装的samba软件:[bb@localhost bin]$ rpm -qa | grep samba samba-common-3.6.23-14.el6_6.x86_64 samba-winbi
OpenSSL Heartbleed漏洞(CVE-2014-0160)简要分析和检测
Traxer的学习之路
03-11 6819
1.漏洞简介CVE官网上有这个漏洞的简要介绍、影响范围以及相关文章的索引:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160。大致的意思就是说openssl在接收到client发送的Heartbeat Packet(心跳包)的处理过程出现问题,导致了处理这个数据包指针之后的最大16KB内存信息泄露。如果是处理某些敏感数据的进程,那
weblogic 漏洞统计 CVE
09-18
1.CVE-2016-0696 2.CVE-2016-0700 3.CVE-2016-0675 4.CVE-2016-3416 5.CVE-2016-0688 6.CVE-2016-0638 7.CVE-2015-2623 8.CVE-2015-4744 9.CVE-2014-2480 10.CVE-2014-2481 11.CVE-2014-4256 12.CVE-2014-4242 13.CVE-2014-4253 14.CVE-2014-4267 15.CVE-2014-4255 16.CVE-2014-4254 17.CVE-2014-2479 18.CVE-2014-4210 19.CVE-2014-4241 20.CVE-2014-4217 21.CVE-2014-4201 22.CVE-2014-4202 23.CVE-2013-1504 24.CVE-2013-2390 25.CVE-2017-3506 26.CVE-2017-1181 27.CVE-2016-3445 28.CVE-2016-3510 29.CVE-2016-3586 30.CVE-2016-5531 31.CVE-2015-7501 32.CVE-2016-5488 33.CVE-2016-3505 34.CVE-2016-5535 35.CVE-2014-2470 36.CVE-2016-0464 37.CVE-2014-0107 38.CVE-2016-0572 39.CVE-2016-0573 40.CVE-2016-0574 41.CVE-2016-0577 42.CVE-2014-0114 43.CVE-2014-6534 44.CVE-2014-6499 45.CVE-2013-3827 46.CVE-2013-2027 47.CVE-2017-10063 48.CVE-2017-10147 49.CVE-2017-10148 50.CVE-2017-10178 51.CVE-2017-5638 52.CVE-2017-10137 53.CVE-2017-10336 54.CVE-2017-10152 55.CVE-2017-10352 56.CVE-2017-10334 57.CVE-2014-3566 58.CVE-2015-0449 59.CVE-2014-6569 60.CVE-2013-2186 61.CVE-2017-3248 62.CVE-2011-1411 63.CVE-2011-5035 这些漏洞修复情况
nginx-1.4.0:用于CVE-2013-2028的分析
05-14
nginx-1.4.0 用于的 漏洞利用:exp-nginx.rb 二进制文件(用于rop构建):nginx
Windows TCP/IP 远程代码执行漏洞(CVE-2024-38063)分析与修复
weixin_45408984的博客
08-20 2217
Windows TCP/IP 远程代码执行漏洞(CVE-2024-38063)分析与修复
CVE-2013-2028 经典栈溢出漏洞复现资料整理
^_^
10-25 2279
一个经典的由整数溢出导致栈溢出的漏洞。下面感觉写的有点乱。 文章目录复现漏洞相关基础知识CVE-2013-2028原理安装漏洞环境ubuntu 安装docker安装metasploit框架触发漏洞网站上现有的exp 复现漏洞 CVE-2013-2028:nginx 栈溢出漏洞 相关基础知识 栈的基础知识:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/stack-intro-zh/ 栈溢出原理:https://ctf-wik
Nginx栈溢出分析 - CVE-2013-2028
dengzhasong7076的博客
01-11 1088
分析 + 运行环境: ubuntu x64 + centos 环境搭建: https://github.com/kitctf/nginxpwn 影响版本: nginx 1.3.9 - 1.4.0 主要以此来学习BROP: 可以不需要知道该应用程序的源代码或者任何二进制代码进行攻击,类似SQL盲注。 基础铺垫 Nginx是一个轻量级的Web服务器,它还具有反向代理、电子邮件代理等功能,并且...
CVE-2023-21839 【vulhub weblogic 漏洞复现】
weixin_65722679的博客
07-05 739
CVE-2023-21839 【vulhub weblogic 漏洞复现】
CVE-2023-21839 WebLogic Server RCE分析
Jay
04-18 850
在后续的进行lookup操作之前会检查 JNDI 环境是否已正确配置以访问远程资源,主要是对jndiEnvironment和remoteJNDIName的检测,如果在if中的任何一个条件为真,那么将调用对象的lookup方法,如果 if 语句中的所有条件都为假,则会进入检查cachedReferent字段的阶段。weblogic10 及以后的版本,不能直接使用server/lib 目录下的 weblogic.jar 了,需要手动执行一个命令生成手动生成 wlfullclient.jar。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值