分析CVE-2012-0158完善静态检测工具
2016-11-22 00:15
876 查看
最近在完善样本检测工具,分析了很多VT 上0158的样本,漏洞很简单,先说一说遇到的比较奇特的样本
1office ppt和XLS都存在彩蛋,存在默认密码
XLS 默认密码是 VelvetSweatshop
PPT 的默认密码是 /01Hannes Ruescher/01
这种情况静态检测工具基本没有办法,从VT上看整个免杀的效果也是非常好的
2 双漏洞结合的,这种情况可能是黑客主要是为了保证漏洞的成功率。
下面是漏洞分析
漏洞分析
样本信息 POC
MD5 :4e8ead45bde2cf343ded6b02f13b893d57e1383e
此样本为一个RTF样本,在触发漏洞后,EIP变成了 41414141
查过查看栈回溯发现地址为275C8A0A 此地址属于模块MSCOMCTL.OCX中
通过IDA定位函数
在二进制查看工具中可以看出在41周围都是零
通过动态调试
通过硬件写断点 可以快速定位到溢出位置 覆盖的返回地址为 00127b20
详细分析上一层函数,发现是在拷贝Cob结构体里面的数据据,对数据的大小判断不严格造成的
它代表了COLLSTREAMHDR结构体
Struct COLLSTREAMHDR
{
DWORD dwMagic =0x6a626f6f43 (“Cobj”);
DWORD dwVersion=0x64
DWORD cbsize=0x8282
}
F5发现,在将结构体的名称被拷贝过去后,发现对长度判断不严格,导致溢出
1office ppt和XLS都存在彩蛋,存在默认密码
XLS 默认密码是 VelvetSweatshop
PPT 的默认密码是 /01Hannes Ruescher/01
这种情况静态检测工具基本没有办法,从VT上看整个免杀的效果也是非常好的
2 双漏洞结合的,这种情况可能是黑客主要是为了保证漏洞的成功率。
下面是漏洞分析
漏洞分析
样本信息 POC
MD5 :4e8ead45bde2cf343ded6b02f13b893d57e1383e
此样本为一个RTF样本,在触发漏洞后,EIP变成了 41414141
查过查看栈回溯发现地址为275C8A0A 此地址属于模块MSCOMCTL.OCX中
通过IDA定位函数
在二进制查看工具中可以看出在41周围都是零
通过动态调试
通过硬件写断点 可以快速定位到溢出位置 覆盖的返回地址为 00127b20
详细分析上一层函数,发现是在拷贝Cob结构体里面的数据据,对数据的大小判断不严格造成的
它代表了COLLSTREAMHDR结构体
Struct COLLSTREAMHDR
{
DWORD dwMagic =0x6a626f6f43 (“Cobj”);
DWORD dwVersion=0x64
DWORD cbsize=0x8282
}
F5发现,在将结构体的名称被拷贝过去后,发现对长度判断不严格,导致溢出
相关文章推荐
- <2012 12 02> linux下利用valgrind工具进行内存泄露检测和性能分析
- CVE-2012-0158分析
- CVE-2012-0158个人分析
- CVE-2012-0158 MSCOMCTL控件漏洞分析
- CVE-2012-0158基于exp分析
- CVE-2012-0158 MSCOMCTL控件漏洞分析
- cve-2012-0158漏洞分析
- 内存泄漏检测和静态代码分析等工具简单列举
- 代码静态分析工具PC-LINT安装配置
- 静态代码检测工具---PC-lint 【转】
- 代码静态分析工具PC-LINT安装配置[转]
- php 静态 代码 分析 工具
- 代码静态分析工具PC-LINT安装配置--step by step[转]
- 代码静态分析工具
- 开源的C++静态分析工具
- C++代码静态分析工具-Prefast
- [hyddd安全性测试笔记2]浅淡静态代码分析工具
- 静态代码检测工具:PC-Lint(for c/c++)
- 静态代码检测工具---PC-lint
- 静态代码检测工具---PC-lint