最近在完善樣本檢測工具,分析了很多vt 上0158的樣本,漏洞很簡單,先說一說遇到的比較奇特的樣本
1office ppt和xls都存在彩蛋,存在預設密碼
xls 預設密碼是 velvetsweatshop
ppt 的預設密碼是 /01hannes ruescher/01
這種情況靜態檢測工具基本沒有辦法,從vt上看整個免殺的效果也是非常好的
2 雙漏洞結合的,這種情況可能是黑客主要是為了保證漏洞的成功率。
下面是漏洞分析
漏洞分析
樣本資訊 poc
md5 :4e8ead45bde2cf343ded6b02f13b893d57e1383e
此樣本為乙個rtf樣本,在觸發漏洞後,eip變成了 41414141
查過檢視棧回溯發現位址為275c8a0a 此位址屬於模組mscomctl.ocx中
通過ida定位函式
在二進位制檢視工具中可以看出在41周圍都是零
通過動態除錯
通過硬體寫斷點 可以快速定位到溢位位置 覆蓋的返回位址為 00127b20
詳細分析上一層函式,發現是在拷貝cob結構體裡面的資料據,對資料的大小判斷不嚴格造成的
它代表了collstreamhdr結構體
struct collstreamhdr
f5發現,在將結構體的名稱被拷貝過去後,發現對長度判斷不嚴格,導致溢位
CVE 2012 0158漏洞分析記錄
漏洞描述 該漏洞發生在office 2003 sp3 mscomctl.ocx模組中,在拷貝一段記憶體資料,由於拷貝條件邏輯錯誤,造成的棧緩衝區溢位。分析環境win7專業版 軟體 office 2003 分析工具 od,ida 漏洞分析過程 1.獲取poc 網路,論壇,metasploit 2.搭建...
CVE 2012 0158個人分析
cve 2012 0158是乙個比較有名的老漏洞了,這次從論壇上找到乙個poc檔案,利用這個poc來分析cve 2012 0158漏洞的形成。參考自此帖子,但是分析是個人獨立完成的,只是參考了poc並沒有抄襲思路。本文步驟 重現漏洞 漏洞分析 漏洞利用 總結 開啟poc檔案,結果如圖 環境如下 如圖...
CVE 2014 6332除錯分析
這個漏洞是乙個ie瀏覽器裡,vbs方面的漏洞,yuange首先放出了這個漏洞的完整dve的利用,接下來各個安全團隊都出了比較好的分析報告。這個漏洞本身的原理算是比較傳統,但是利用技術非常巧妙。置位safemode後,shellcode相當於用指令碼語言直接編寫,通用性穩定性極強。閒暇之餘,也忍不住除...