一个利用 CVE-2010-2883 漏洞的样本的简要分析

最新推荐文章于 2024-04-10 19:53:52 发布
最新推荐文章于 2024-04-10 19:53:52 发布
阅读量150 收藏
点赞数
文章标签: ruby
原文链接:http://www.cnblogs.com/jamiezz/archive/2010/09/14/1826089.html
版权

拿到一个 CVE-2010-2883 的样本:

 

file md5: 68F74C7272BF25B3592F9E46997779E2

file size: 763,188 bytes

 

这是一个 PDF 文件,其中包含很多的 stream,前面的 FlateDecode 编码的 stream 基本上都是一样的。

最后一个是有害的 ttf 文件,下图是解码前的 stream 结构:

2010091416440911.png

图 1

 

只是简单的 Flate 编码,我们可以通过如下的 ruby 脚本解码:

 

#!/usr/bin/env ruby

require 'zlib'

def main(args)
    args.each do |filename|
        begin
            f = File.new(filename, 'rb')
            ins = f.read()
            f.close
            
            zstream = Zlib::Inflate.new
            outs = zstream.inflate(ins)
            zstream.close
            
            outname = filename + '.out'
            f = File.new(outname, 'wb')
            f.write(outs)
            f.close
        rescue
            p "Failed to inflate file: "<<filename
        end
    end
end

if __FILE__ == $0
    main(ARGV)
end

 

好了,解压后得到如下数据:

2010091416471421.png

图 2

 

前12个字节是 TTCHeader,后面是 Table Record Entry 数组(个数位于 TTCHeader 结构中)。

TTCHeader 如下:

TypeNameDescription
Fixedsfnt version0x00010000 for version 1.0.
USHORTnumTablesNumber of tables.
USHORTsearchRange(Maximum power of 2 <= numTables) x 16.
USHORTentrySelectorLog2(maximum power of 2 <= numTables).
USHORTrangeShiftNumTables x 16-searchRange.

每一个 Table Record Entry 结构如下:

TypeNameDescription
ULONGtag4 -byte identifier.
ULONGcheckSumCheckSum for this table.
ULONGoffsetOffset from beginning of TrueType font file.
ULONGlengthLength of this table.

有一点需要注意的是,所有数据均为 Big-endian,所以,我们需要做转换。

CVE-2010-2883 的漏洞问题出在 SING 表段(数据如下,高亮选择部分):

2010091416552143.png

图 3

 

可见,SING 结构文件偏移: 0x11C,大小: 0x1DDF.

SING 的结构为:

2010091416583246.png

我们从 图2 可以看到,问题出在 uniqueName 上。

有兴趣的朋友可以调试一下,问题点位于 adobe reader 的 cooltype.dll 中。

转载于:https://www.cnblogs.com/jamiezz/archive/2010/09/14/1826089.html

weixin_30596165
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2010-2883分析
wangtiankuo的博客
10-10 2478
1 漏洞背景 CVE-2010-2883是Adobe Reader和Acrobat中的CoolType.dll库在解析字体文件SING表中的uniqueName项时存在栈溢出漏洞。 1.1 Heap Spray(堆喷) 使用堆喷的时候,会将EIP指向堆区的0x0C0C0C0C位置,然后用JavaScript申请大量内存,用包含着0x90和shellcode的“内存片”覆盖这些内存。 J...
漏洞复现-CVE-2010-2883
滕财然的博客
02-26 1474
CVE-2010-2883 Adobe Reader复现 1、漏洞原理 Adobe Reader 8.24-9.3.4的CoolType.dll库在解析字体文件SING表格中的uniqueName项时存在栈溢出漏洞,用户打开了特制的PDF文件可能导致执行恶意代码,可实现比如进行远程控制等。 2、漏洞分析 反汇编工具IDA: IDA 是全球最智能、功能最完善的交互式反汇编程序,许多软件安全专家和黑客...
Luckcat攻击事件样本分析(利用cve-2010-2883)
Z_LiT0的博客
08-23 563
0x00 运行样本分析行为 首先开启process monitor 监控,然后在打开样本文件: 监控到cmd在temp目录下新建了svrhost.exe文件和_uninsep.bat文件。 使用process expoler 发现病毒文件篡改了spoolsv.exe文件植入了恶意dll。 首先去看下_uninsep.dat文件是什么: 发现是一个自删除文件,执行完代码删除te...
利用CVE-2010-2883漏洞制作pdf马
sky
06-18 1245
利用CVE-2010-2883漏洞制作pdf马   msf > searchCVE-2010-2883    exploit/windows/browser/adobe_cooltype_sing     2010-09-07       great Adobe CoolType SING Table "uniqueName" Stack Buffer Overflow   exploit
CVE-2010-2883
nethm的专栏
09-24 426
一 环境准备  1  POC的准备    我们需要在被攻击的机器上面弹出calc.exe   use exploit/windows/fileformat/adobe_utilprintf set FILENAME malicious.pdf set PAYLOAD windows/exec set CMD calc.exe show options exploit 2  Adober
Adobe Reader 缓冲区溢出漏洞CVE-2010-2883漏洞分析报告
君子谬
11-28 2109
一. 简介   软件名称:Adobe Reader 影响范围:7.0.0-9.3.4版本 影响平台:Windows 漏洞模块:CoolType.dll 威胁等级:高危 漏洞类型:缓冲区溢出 威胁路径:远程 机密性影响:完全的信息泄露导致所有系统文件暴露 完整性影响:系统完整性可被完全破坏 可用性影响:可能导致系统完全宕机 攻击复杂度:漏洞利用存在一定的访问条件 攻击向量:
Adobe Reader栈溢出漏洞(CVE-2010-2883)分析
鬼手的博客
06-08 2477
文章目录漏洞描述测试环境静态分析定位触发点分析漏洞成因动态调试获取SING表的入口地址溢出点精心挑选的返回地址JavaScript实现HeapSpray利用ROP链绕过DEP保护漏洞利用流程总结漏洞修复参考资料 这个漏洞是《漏洞战争》里面的第一个漏洞,也是我分析的第一个漏洞。水平有限,如有错误还望各位大佬指正。 漏洞描述 CVE-2010-2883是Adobe Reader和Acrobat中的Co...
CVE-2010-2883字体文件SING表栈溢出
07-03
CVE-2010-2883字体文件SING表栈溢出,CVE-2010-2883字体文件SING表栈溢出
CVE-2010-2883】进行钓鱼攻击的研究
Mr_Fmnwon的博客
04-10 227
最近作业中研究APT攻击,了解到2011年前后披露的LURID-APT,其中敌手利用了各种版本的文件查看器的漏洞实现攻击。CVE-2010-2883就是其中被利用一个adobe reader的漏洞。Adobe Reader 8.24-9.3.4的CoolType.dll库在解析字体文件SING表格中的uniqueName项时存在栈溢出漏洞,用户打开了特制的PDF文件可能导致执行恶意代码,可实现比如进行远程控制等。输入exploit进行攻击利用,此时在某目录下生成用于攻击的携带木马的pdf文件。
CVE-2010-2883漏洞分析样本分析
qq_28205153的博客
08-19 4897
本文章将从漏洞利用分析开始,到样本分析结束,其中涉及到的知识点有PDF格式、TTF字体格式、缓冲区溢出漏洞利用、PE文件格式、软件脱壳和恶意代码分析。其中会演示一些基本操作,方便初学者进行复现。 前置知识 要学习本文章,需要下面的前置知识 C语言。可以看《C程序设计语言》。 汇编语言。可以看《深入理解计算机系统》第三章。 缓冲区溢出漏洞利用。可以看《0day安全:软件漏洞分析技术》。 软件脱壳、PE文件格式。可以看《加密与解密》。 恶意代码分析(可选)。可以看《恶意代码分析实战》。 漏洞信息 漏洞名称:
CVE-2010-2883 PDF漏洞提权
EC_Carrot的博客
03-08 255
漏洞背景 CVE-2010-2883是Adobe Reader和Acrobat中的CoolType.dll库在解析字体文件SING表中的uniqueName项时存在的栈溢出漏洞,当用户打开特制的恶意PDF文件时,可允许任意代码远程执行。 这个漏洞也比较老了,相信很多机子都不装Adobe Reader低版本了,但对于萌新来说,还是先从旧漏洞开始复现会比较合适 影响版本 Adobe Reader 8.2.4 - 9.3.4 漏洞利用 Metasploit工具已经将相关的漏洞利用代码集成进来了,通过简单的步骤
CVE-2010-2883 Adobe Reader TTF字体SING表栈溢出漏洞分析
xiaoeryu_的博客
03-18 903
CVE-2010-2883 Adobe Reader TTF字体SING表栈溢出漏洞0x1:漏洞描述0x2:分析环境0x3:基于字符串定位的漏洞分析方法0x4:样本Exploit技术分析0x05:动态调试 0x1:漏洞描述 ​ CVE-2010-2883是Adobe Reader和Acrobat中的CoolType.dll库在解析字体文件SING表中的uniqueName项时存在的栈溢出漏洞,用户受骗打开了特制的PDF文件就有可能导致执行任意代码。 0x2:分析环境 推荐使用的环境 备注
CVE-2010-2883:基于样本分析 PDF SING表字符溢出漏洞
CuiXY's Blog
02-01 284
0x01
CVE-2010-2883漏洞分析
weixin_46286477的博客
09-28 1036
CVE-2010-2883漏洞分析,从基础开始学习漏洞
[漏洞战争]漏洞复现:CVE-2010-2883Adobe Reader TTF字体SING表栈溢出漏洞
m0_51246873的博客
01-12 915
[漏洞战争]漏洞复现:CVE-2010-2883Adobe Reader TTF字体SING表栈溢出漏洞
CVE-2023- 漏洞分析
最新发布
07-05
CVE-2023是一个通用的漏洞和暴露(Common Vulnerabilities and Exposures)标识符,用于跟踪软件安全中的新发现漏洞CVE是信息安全领域的一个标准化命名系统,每个CVE编号对应一个特定的、已确认的漏洞。"2023-"意味着这是2023年报告或影响范围扩大的漏洞CVE-2023漏洞分析通常涉及以下几个步骤: 1. **识别**:安全研究者和组织会监控软件更新和公开的安全公告,寻找新的CVE ID被分配给的漏洞。 2. **描述**:对漏洞进行详细的描述,包括攻击向量(如何利用),受影响的组件或产品,以及可能的影响程度(例如,是否可能导致数据泄露、拒绝服务等)。 3. **严重性评估**:根据漏洞的潜在危害,分为低、中、高和 critical 等等级。 4. **缓解措施**:提供修复建议、补丁安装指导或安全配置修改,以减少漏洞的风险。 5. **应用时间表**:对于用户,了解何时应该安装补丁和是否有紧急性的要求是很关键的。 6. **持续监控**:即便已经发布了补丁,组织仍需监控其有效性,并定期检查是否存在新的变种或绕过方法。 如果你有关于某个具体CVE-2023的详细信息或想了解最近的热点漏洞,可能需要查看最新的安全公告或者使用专业的漏洞管理工具来获取最新动态。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值