[原创]LNK快捷方式文件漏洞简要分析-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]LNK快捷方式文件漏洞简要分析

发表于: 2010-7-22 00:04 74846

[原创]LNK快捷方式文件漏洞简要分析

isno

2010-7-22 00:04

74846

查看主题内容

收藏・48

免费・7

支持

最新回复 (48) ◀ 1 2
xygwf 雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 126 粉丝 0 关注私信	xygwf 26 楼不好意思, 看了 http://www.exploit-db.com/exploits/14403/ 才知道, 要用 Dbgview.exe 去看, restart explorer 进程之后就能看到很多次, 根本不需要去点击 2010-7-23 09:07 0
dongmkr 雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	dongmkr 27 楼有没有详细分析LNK格式的文章啊？我也只找到《windows平台.lnk文件感染技术研究》http://bbs.pediy.com/showthread.php?t=110426 这篇。 2010-7-23 09:25 0
kit 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	kit 28 楼实验了一下，发现一个问题。将lnk文件放到硬盘上，仅“看一眼”是不行的，但复制、重命名该文件时是可以的。删除到回收站中，只是“看一眼”就行了。是不是硬盘上的图标存在缓存？导致shell不去加载该DLL？ 2010-7-23 09:28 0
junzz 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	junzz 29 楼第三层就是后面长度为0xA2的目标文件。这里面偏移0x7A处的9C FF FF FF是用来指明快捷方式图标的index。貌似是这样的。这个说法是不准确的,这个偏移是系统的图标Id,系统默认有很多个图标ID,9CFFFFFF只是其中一个; 并且楼主可以看看"快捷方式到网络安装向导"中的此处偏移,一样为0; 2010-7-23 11:31 0
junzz 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	junzz 30 楼是和图标缓存有关,如果用TC浏览,就真的是"每次看一眼就中" 同时发现,360对此lnk的检测有漏洞 2010-7-23 11:33 0
junzz 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	junzz 31 楼小聪牛的分析流程很精准了,只有当Root节点为control paneld的时候,系统才有加载CPL这个机制; 不过360没判断这个上层节点的GUID,而是直接在Lnk Header后面开始逐节搜索,然后判断UNICODE和ANSI编码,解析为路径,再去判断路径是否存在 2010-7-23 11:38 0
古河雪币： 822 活跃值： (380) 能力值： ( LV12，RANK：310 ) 在线值：发帖 24 回帖 132 粉丝 35 关注私信	古河 6 32 楼其实不是只有dll才行的这个shortcut文件其实是控制面板应用程序(.cpl)的shortcut上改过来的, 整个流程不只是找一张图标那么简单, LoadCPLModule里面其实还会把这个cpl映射进来做redirect用, cpl的入口点(CPLApplet)会被调用 cpl文件其实就是一个dll,但是入口点是"CPlApplet", 你可以自己编一个cpl出来，替换你的dll文件，一样可以被调用起来所以要修这个漏洞没有这么简单，因为当初的设计就是要把cpl load起来做一些事情的，只能说是微软设计有缺陷。。。 2010-7-23 11:44 0
byxxdrls 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	byxxdrls 33 楼想找个样本，找到这个更好。 2010-7-23 22:13 0
snowdbg 雪币： 3171 活跃值： (76) 能力值： (RANK：250 ) 在线值：发帖 13 回帖 129 粉丝 2 关注私信	snowdbg 6 34 楼 http://www.utf.com.cn/article/s1613 2010-7-23 22:17 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 35 楼学习了。那个偏移7A处的Index是否就是漏洞被触发的关键？如果还有其他正常的ＬＩＮＫ文件在该处的数值也是全零的话，检测岂不会出问题。 2010-7-24 05:34 0
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 36 楼哎，又多了一种病毒传染途径了 2010-7-24 16:33 0
lofullen 雪币： 292 活跃值： (126) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 111 粉丝 2 关注私信	lofullen 37 楼呵呵，这漏洞用来U盘传播病毒有点浪费，微软说这漏洞补上还得一段时间，发挥想象吧，我得好好利用一下 2010-7-24 18:24 0
lofullen 雪币： 292 活跃值： (126) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 111 粉丝 2 关注私信	lofullen 38 楼顺便在这里提个问题。。。 EnumResourceNames 资源名称枚举法的缺点是需要函数回调得到，不方便，如果是无窗口的程序还得以消息的方式通知，太麻烦了。有没有什么方法能获取默认，也就是第一个 RT_GROUP_ICON 格式的图标资源名称。 2010-7-24 18:25 0
zphdebug 雪币： 95 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 62 粉丝 1 关注私信	zphdebug 1 39 楼本人一菜鸟，想问下如何用od调试lnk文件，那位高手教下方法 2010-7-30 15:20 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 40 楼 LNK是由资源管理器来识别的，所以其实是用OD调试explorer.exe进程，可在前面提到的那些函数上下断。 2010-7-30 20:45 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 41 楼楼主帖子精彩，跟帖补充的也精彩，学习了。 2010-7-30 23:04 0
ccnyou 雪币： 81 活跃值： (55) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 104 粉丝 0 关注私信	ccnyou 42 楼但不理解人家怎么用来传病毒，要弄几十个文件出来遍历文件夹，又不能隐藏。傻子看到都知道中毒啦。而且我测试时机子不停地加载dll，几乎死机 2010-8-16 05:26 0
孤行有你雪币： 255 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 250 粉丝 0 关注私信	孤行有你 44 楼有测试代码吗 2010-10-11 11:50 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 45 楼不错的方法应该不会被杀 2010-10-11 13:24 0
艾米雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	艾米 46 楼不是不会被杀，而是已经被杀烂了卡巴貌似还好诺顿在使用网络路径“\\”时必杀，使用本地路径会检测后缀，如果是dll就杀掉，cpl则放行大蜘蛛在0x7A处是00 00 00 00的时候，只要后面跟有文件名就会杀 ………… 不知道pif的利用方法有没有人研究过？应该还有些价值吧 2010-10-19 02:01 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 47 楼恩..10楼可以加精 2010-10-20 12:22 0
oatzhang 雪币： 2477 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	oatzhang 48 楼看看多少分看看多少分 2011-6-15 14:37 0
zouzhiyong 雪币： 216 活跃值： (144) 能力值： ( LV10，RANK：160 ) 在线值：发帖 26 回帖 251 粉丝 2 关注私信	zouzhiyong 3 49 楼感谢LZ，mark一下～～ 2011-6-15 21:04 0
baohongyu 雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 211 粉丝 0 关注私信	baohongyu 50 楼技术文章，都要顶滴 2011-6-17 09:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

isno

发帖

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (48) ◀ 1 2
xygwf 雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 126 粉丝 0 关注私信	xygwf 26 楼不好意思, 看了 http://www.exploit-db.com/exploits/14403/ 才知道, 要用 Dbgview.exe 去看, restart explorer 进程之后就能看到很多次, 根本不需要去点击 2010-7-23 09:07 0
dongmkr 雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	dongmkr 27 楼有没有详细分析LNK格式的文章啊？我也只找到《windows平台.lnk文件感染技术研究》http://bbs.pediy.com/showthread.php?t=110426 这篇。 2010-7-23 09:25 0
kit 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	kit 28 楼实验了一下，发现一个问题。将lnk文件放到硬盘上，仅“看一眼”是不行的，但复制、重命名该文件时是可以的。删除到回收站中，只是“看一眼”就行了。是不是硬盘上的图标存在缓存？导致shell不去加载该DLL？ 2010-7-23 09:28 0
junzz 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	junzz 29 楼第三层就是后面长度为0xA2的目标文件。这里面偏移0x7A处的9C FF FF FF是用来指明快捷方式图标的index。貌似是这样的。这个说法是不准确的,这个偏移是系统的图标Id,系统默认有很多个图标ID,9CFFFFFF只是其中一个; 并且楼主可以看看"快捷方式到网络安装向导"中的此处偏移,一样为0; 2010-7-23 11:31 0
junzz 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	junzz 30 楼是和图标缓存有关,如果用TC浏览,就真的是"每次看一眼就中" 同时发现,360对此lnk的检测有漏洞 2010-7-23 11:33 0
junzz 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	junzz 31 楼小聪牛的分析流程很精准了,只有当Root节点为control paneld的时候,系统才有加载CPL这个机制; 不过360没判断这个上层节点的GUID,而是直接在Lnk Header后面开始逐节搜索,然后判断UNICODE和ANSI编码,解析为路径,再去判断路径是否存在 2010-7-23 11:38 0
古河雪币： 822 活跃值： (380) 能力值： ( LV12，RANK：310 ) 在线值：发帖 24 回帖 132 粉丝 35 关注私信	古河 6 32 楼其实不是只有dll才行的这个shortcut文件其实是控制面板应用程序(.cpl)的shortcut上改过来的, 整个流程不只是找一张图标那么简单, LoadCPLModule里面其实还会把这个cpl映射进来做redirect用, cpl的入口点(CPLApplet)会被调用 cpl文件其实就是一个dll,但是入口点是"CPlApplet", 你可以自己编一个cpl出来，替换你的dll文件，一样可以被调用起来所以要修这个漏洞没有这么简单，因为当初的设计就是要把cpl load起来做一些事情的，只能说是微软设计有缺陷。。。 2010-7-23 11:44 0
byxxdrls 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	byxxdrls 33 楼想找个样本，找到这个更好。 2010-7-23 22:13 0
snowdbg 雪币： 3171 活跃值： (76) 能力值： (RANK：250 ) 在线值：发帖 13 回帖 129 粉丝 2 关注私信	snowdbg 6 34 楼 http://www.utf.com.cn/article/s1613 2010-7-23 22:17 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 35 楼学习了。那个偏移7A处的Index是否就是漏洞被触发的关键？如果还有其他正常的ＬＩＮＫ文件在该处的数值也是全零的话，检测岂不会出问题。 2010-7-24 05:34 0
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 36 楼哎，又多了一种病毒传染途径了 2010-7-24 16:33 0
lofullen 雪币： 292 活跃值： (126) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 111 粉丝 2 关注私信	lofullen 37 楼呵呵，这漏洞用来U盘传播病毒有点浪费，微软说这漏洞补上还得一段时间，发挥想象吧，我得好好利用一下 2010-7-24 18:24 0
lofullen 雪币： 292 活跃值： (126) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 111 粉丝 2 关注私信	lofullen 38 楼顺便在这里提个问题。。。 EnumResourceNames 资源名称枚举法的缺点是需要函数回调得到，不方便，如果是无窗口的程序还得以消息的方式通知，太麻烦了。有没有什么方法能获取默认，也就是第一个 RT_GROUP_ICON 格式的图标资源名称。 2010-7-24 18:25 0
zphdebug 雪币： 95 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 62 粉丝 1 关注私信	zphdebug 1 39 楼本人一菜鸟，想问下如何用od调试lnk文件，那位高手教下方法 2010-7-30 15:20 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 40 楼 LNK是由资源管理器来识别的，所以其实是用OD调试explorer.exe进程，可在前面提到的那些函数上下断。 2010-7-30 20:45 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 41 楼楼主帖子精彩，跟帖补充的也精彩，学习了。 2010-7-30 23:04 0
ccnyou 雪币： 81 活跃值： (55) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 104 粉丝 0 关注私信	ccnyou 42 楼但不理解人家怎么用来传病毒，要弄几十个文件出来遍历文件夹，又不能隐藏。傻子看到都知道中毒啦。而且我测试时机子不停地加载dll，几乎死机 2010-8-16 05:26 0
孤行有你雪币： 255 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 250 粉丝 0 关注私信	孤行有你 44 楼有测试代码吗 2010-10-11 11:50 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 45 楼不错的方法应该不会被杀 2010-10-11 13:24 0
艾米雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	艾米 46 楼不是不会被杀，而是已经被杀烂了卡巴貌似还好诺顿在使用网络路径“\\”时必杀，使用本地路径会检测后缀，如果是dll就杀掉，cpl则放行大蜘蛛在0x7A处是00 00 00 00的时候，只要后面跟有文件名就会杀 ………… 不知道pif的利用方法有没有人研究过？应该还有些价值吧 2010-10-19 02:01 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 47 楼恩..10楼可以加精 2010-10-20 12:22 0
oatzhang 雪币： 2477 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	oatzhang 48 楼看看多少分看看多少分 2011-6-15 14:37 0
zouzhiyong 雪币： 216 活跃值： (144) 能力值： ( LV10，RANK：160 ) 在线值：发帖 26 回帖 251 粉丝 2 关注私信	zouzhiyong 3 49 楼感谢LZ，mark一下～～ 2011-6-15 21:04 0
baohongyu 雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 211 粉丝 0 关注私信	baohongyu 50 楼技术文章，都要顶滴 2011-6-17 09:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复