CVE-2015-5122 简要分析(2016.4)

最新推荐文章于 2024-06-03 15:39:32 发布
最新推荐文章于 2024-06-03 15:39:32 发布
阅读量246 收藏
点赞数
原文链接:http://www.cnblogs.com/flycat-2016/p/5406457.html
版权

CVE-2015-5122 简要分析

背景

最近在学习Flash漏洞的分析,其与IE漏洞的分析还是有诸多的不同(不便)之处,折腾了一阵子终于克服了没有符号表、Flash的超时定时器等问题。所以找到了去年HT事件其中的一个Flash漏洞,练练手,分析和学习。

分析

测试环境:Win7 64bit+IE10+Flash 17.0.0.169

在exp开始的时候会先判断系统是64位还是32位,然后调用利用的关键函数TryExp1。

1. InitArray

在函数TryExp1中,其会先创建一个大小为0x7e的Array,此时的Array在内存中的布局:

928323-20160418234650257-1571364069.png

2. Set Array[0~0x1d]

创建Array后,接下来会将长度为0x62的unit vector赋值给Array[0]~Array[1d],as代码段:

928323-20160418234708132-667239540.png

创建的unit vector在内存中的分布:
928323-20160418234730413-439107318.png

此时的Array:
928323-20160418234751491-633552014.png

&ArrayBuff[0~1d]:
928323-20160418234800976-598526613.png

内存中Array[0]的值:
928323-20160418234820351-441415847.png
928323-20160418234835960-726192700.png

3. Set Array[2e~7d]

接着为Array[2e~7d]赋值,这次是长度为8的unit vector,对应的as代码:

928323-20160421221452476-1481085959.png

赋值完毕后,Array的内存布局.
&ArrayBuff[2e~7d]:
928323-20160421221916601-558316809.png
Array[2e]:
928323-20160421221939929-1354504287.png

4. Set Array[1e~2d]

接下来TextLine对象赋给Array[1e~2d],代码:
928323-20160421221952585-936331397.png

赋值结束后,Array的内存布局。

&ArrayBuff[1e~2d]:
928323-20160421223011163-1120262522.png

5.Set Array Value Over

对Array的赋值都结束后,此时Array中的内容:
928323-20160421223036304-891936040.png

6. Allocate Background object

通过为上面的TextLine设置opaqueBackground属性,接下来会分配大小0x390的Backgroud对象。分配该内存的代码段在IDA中的截图:
928323-20160421223058866-1803624280.png

通过对该代码段设置断点,可以得到所有创建对象的地址:
928323-20160421223119398-567798842.png

7. override valueOf method and call it

接着,程序会重载MyClass类的valueof方法为valueof2,重新设置TextLine的opaqueBackground属性,相关代码段:

928323-20160421223136304-589318742.png

8. my valueof method

因为_mc是一个类,所以在设置opaqueBackground属性的时候,valueof2函数会被调用。

这一过程中,valueof2函数一共会被调用6次,形成一个嵌套调用,最后一次调用的时候,进入else分支中,完成Background object的释放和unit vector的占位。当valueof2函数返回的时候,还会对Backgroud操作,所以其返回值就有可能会写入到某个unit vector的头部。下面来具体分析一下这个过程:

9. free Background object

928323-20160421223309070-347057619.png

这段执行完毕后,会释放之前创建的5个Background object,利用windbg搜索和之前的object地址对比,就能够得到释放object的地址:
928323-20160421223413523-199026018.png

10. occupy the freed memory

接下来使用大小为0x190的unit vector,尝试对刚释放掉的Background object内存进行占位。

至于为什么要使用0x190大小的内存进行占位,是因为接下来会对object+320h位置进行赋值操作,这个偏移刚好是两个unit vector的内存大小,这样就有机会对unit vector的长度进行改写。

可以看到一个已经释放掉了的Background object被unit vector占据:
928323-20160421223429273-1473327999.png

11. set Background value

当valueof2函数返回的时候,会使用其返回值对object+320h进行赋值,IDA中的代码段如下:
928323-20160421223444710-908208485.png

此时地址处的Background object已经被unit vector占据,改写unit vector的长度为6a:
928323-20160421223506866-1737078965.png

928323-20160421223518085-1592317475.png

12. get big unit vector

在得到一个较大的unit vector之后,程序会利用这个vector改写紧接其后的一个vector长度为0x4000000:
928323-20160421223635273-905461431.png

在获得这一一个超大长度的vector之后,攻击者就拥有了当前程序地址空间类,任意地址读写的能力了。

补丁对比

有点好奇Adobe是怎么来补这个漏洞的,所以分析了一下补丁。

补丁前:
928323-20160421223956288-159153091.png

补丁后:
928323-20160421224004695-375545572.png

可见,Adobe将valueof函数的调用放在了获得Background object地址之前。这样如果在valueof函数中,Background object被释放掉了,在走到语句“mov [esi+320h], bl”之前,就会再重新为其分配一块内存。

这也再一次说明了,UAF漏洞从本质上来说就是时序问题

by:会飞的猫
转载请注明:http://www.cnblogs.com/flycat-2016

转载于:https://www.cnblogs.com/flycat-2016/p/5406457.html

weixin_30908103
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
远程代码执行漏洞分析
2301_80115097的博客
10-12 93
VMware Aria Operations for Networks 是一款网络监控与管理工具,用于构建和管理优化安全网络基础架构。最近,研究人员发现了 VMware Aria Operations for Networks(以下简称 Aria Operations)中存在命令注入漏洞,影响该软件 6.2 至 6.10 版本。服务器配置中的漏洞以及不正确的输入处理导致了该漏洞,未经身份验证的用户以及有权访问 Aria Operations 的恶意攻击者都可以利用该漏洞以管理员权限实现远程代码执行。
Apache Tomcat安全漏洞列表及整改建议合集
热门推荐
story-xu的博客
08-08 1万+
描述: 安全整改目前已经成为安全运维工程师必备的技能之一,但是令人头疼的是,经常会应为一些整改问题,百度无数次,并且不知道标准是什么。下面就为大家总结了在近期web漏洞整改中,绿盟给出的漏洞报告及整改建议,方便大家参考与查找。 问题列表及整改建议列表: ...
tomcat系列漏洞利用
最新发布
2401_84488537的博客
06-03 1374
Tomcat 服务器是一个开源的轻量级Web应用服务器,在中小型系统和并发量小的场合下被普遍使用。主要组件:服务器Server,服务Service,连接器Connector、容器Container。连接器Connector和容器Container是Tomcat的核心。一个Container容器和一个或多个Connector组合在一起,加上其他一些支持的组件共同组成一个Service服务,有了Service服务便可以对外提供能力了。
Metasploit CVE-2015-5122 Flash漏洞利用检测试验
weixin_33754065的博客
09-13 320
原文:http://www.freebuf.com/articles/system/75419.html 一次有趣的flash漏洞检测试验。1、基础环境介绍。本机win8专业版,VMware workstation 11, kali2.0镜像2、环境初始化。安装kali的虚拟机。这个不做讲解,可以看我的以前的文章,也可以随便网上搜一个。记得安装vmtools。方便上传文件。拖...
ElasticSearch 目录穿越漏洞(CVE-2015-5531)
EC_Carrot的博客
05-31 2049
漏洞背景 Elasticsearch是荷兰Elasticsearch公司的一套基于Lucene构建的开源分布式RESTful搜索引擎,它主要用于云计算中,并支持通过HTTP使用JSON进行数据索引。 Elasticsearch 1.6.1之前版本中存在目录遍历漏洞。远程攻击者可借助快照的API调用利用该漏洞读取任意文件。 影响版本 1.6.1以下 Tip: elasticsearch 1.5.1及以前,无需任何配置即可触发该漏洞。之后的新版,配置文件elasticsearch.yml中必须存在path.
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 406
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
CVE-2015-5119_walkthrough:文章CVE-2015-5119 Flash ByteArray UaF的存档
05-10
**CVE-2015-5119 Walkthrough: ActionScript中的Flash ByteArray Use-After-Free漏洞** 在本文中,我们将深入探讨一个重要的安全漏洞,即CVE-2015-5119,这是一个影响Adobe Flash Player的Use-After-Free(UAF)...
CVE-2017-12615-master.zip
09-04
**CVE-2017-12615:Apache Struts2远程代码执行漏洞详解** CVE-2017-12615是一个针对Apache Struts2框架的严重安全漏洞,它允许攻击者通过恶意构造的HTTP请求在目标服务器上执行任意代码,从而可能导致数据泄露、...
FREAK-Attack-CVE-2015-0204-Testing-Script:根据 Akamai 的建议,针对 FREAK 攻击 (CVE-2015-0204) 自动执行基于 OpenSSL 的测试的基本 BASH 脚本
06-20
根据 Akamai 的建议,针对 FREAK 攻击 (CVE-2015-0204) 自动执行基于 OpenSSL 的测试的基本 BASH 脚本。 它是一个免费软件,不需要别人的服务器来运行。 您的服务器在正常情况下必须通过 SSL Labs 测试获得 A+ 的...
juniper-cve-2015-7755:从Juniper ScreenOS中对CVE-2015-7755和CVE-2015-7756问题的分析得出的注释,二进制文件和相关信息
05-25
瞻博网络CVE-2015-7755和CVE-2015-7756 该存储库包含笔记,二进制文件和有关Juniper ScreenOS中CVE-2015-7755和CVE-2015-7756问题的分析的相关信息。 有关这些问题的更多信息,请参见下面的URL: 发现CVE-2015-7755...
CVE-2015-5531(目录遍历漏洞)
浅笑996的博客
11-26 1295
vulhub漏洞环境搭建 https://blog.csdn.net/qq_36374896/article/details/84102101 启动docker环境 cd vulhub-master/elasticsearch/CVE-2015-5531/ sudo docker-compose up 1.5.1及以前,无需任何配置即可触发该漏洞。之后的新版,配置文件elasticsearch...
CVE-2015-5531 Elasticsearch 目录遍历漏洞
weixin_51387754的博客
11-18 3027
漏洞简介 漏洞类型:路径遍历 漏洞影响版本:1.0.0 – 1.6.0 攻击路径:远程 漏洞产生原因:源于程序没有充分过滤用户提交的输入,远程攻击者可借助目录遍历字符‘…’利用该漏洞访问包含敏感信息的任意文件。 先说说elasticsearch 的备份与快照功能 漏洞利用需要涉及到elasticsearch的备份功能,elasticsearch 提供了一套强大的API,使得elasticsearch备份非常简单 要实现备份功能。前提是elasticsearch 进程对备份目录有写入权限,一般来说我们可以利用
CVE-2015-3202 exploit demo
收集盒 Book box
06-03 610
# Making a demo exploit for CVE-2015-3202 on Ubuntu fit in a tweet.12345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234
Apache Tomcat安全漏洞列表以及修补建议
Keep learing, and stay fast
08-31 3655
Apache Tomcat安全漏洞列表
浅析CVE-2015-3636
少仲
08-09 5802
/* author:少仲 blog:http://blog.csdn.net/py_panyu weibo: http://weibo.com/u/3849478598 欢迎转载,转载请注明出处. */ 0x0 漏洞信息 https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3636
如何通过CVE-2015-7547(GLIBC getaddrinfo)漏洞绕过ASLR
weixin_34033624的博客
08-01 180
0x01 前言 2016年2月16日,Google披露了一个重要的缓冲区溢出漏洞,该漏洞在GLIBC库中的getaddrinfo函数中触发。同时他们还提供了一份PoC。基于此,在本文中,我们将展示如何通过CVE-2015-7547绕过ASLR。 0x02 漏洞描述 getaddrinfo()函数的作用是通过查询DNS服务将主机名和服务解析为addrin...
CVE-2015-1635-HTTP.SYS远程执行代码漏洞(ms15-034)
鹿鸣天涯
12-16 3955
Windows Server 2012 R2修复MS15-034漏洞,此更新不适用于您的计算机 1.MS15-034漏洞的补丁是KB3042553; 2.如果在一台Windows Server 2012 R2的服务器上直接安装补丁文件KB3042553,可能会出现“此更新不适用于您的计算机”的问题,这是因为此补丁依赖于补丁:KB3021910、KB2919355。只需要按顺序安装以下补丁即可:KB2919442、KB3021910、KB2919355、KB3042553; 3.安装补丁之后对机器的性能、.n
令牌的故事(CVE-2015-0002)
weixin_33884611的博客
03-08 248
cssembly · 2015/03/03 10:590x00 前言这是James Forshaw发表在Project Zero上的文章,主要讲了CVE-2015-0002的原理,原文链接http://googleprojectzero.blogspot.com/2015/02/a-tokens-tale_9.html。我非常喜欢漏洞研究的过程,有时发现漏洞挖掘的难度与利用的难度之间有显著差异。在...
a different vulnerability than CVE-2016-4589, CVE-2016-4623, and CVE-2016-4624.是什么意思?
07-25
"a different vulnerability than CVE-2016-4589, CVE-2016-4623, and CVE-2016-4624" 的意思是指一个与 CVE-2016-4589、CVE-2016-4623 和 CVE-2016-4624 不同的漏洞。 CVE(Common Vulnerabilities and Exposures...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值