[原创]CVE-2011-0611 分析-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]CVE-2011-0611 分析

发表于: 2011-7-29 17:40 14889

[原创]CVE-2011-0611 分析

pende

2011-7-29 17:40

14889

CVE-2011-0611 分析

参考文献：

http://secunia.com/blog/210/

写的理由：

回过头来看，Secunia的文章对该样本的分析已经非常详尽了，但是，在最初拿到样本，对照文章逐步对其进行解剖时，总是会许多无从下手的问题。

所以，就有了写这篇分析的想法，一方面是锻炼英文，一方面是因为“Happiness is only real when shared“，希望大牛们对文章中的错误

作出指正。好了，言归正传，下面就开始进入正题吧。

漏洞概述：

此处不再赘述。

分析正文：

Secunia的样本是一个嵌入了Flash的Word文档，文档名为"Disentangling Industrial Policy and Competition Policy.doc"，可以在文章附件获取到

，嵌入的Flash偏移地址是0x2E08，流大小为0x2775字节。我们分析的样本是Metasploit中的CVE-2011-0611.swf，大小为1484字节，文件不同，原理一

致。

图片 Head.jpg

在对SWF格式零知识的情况下，用Flasm对样本进行反编译，命令行为 flasm -d CVE-2011-0611.swf > Now.txt，提示解码错误。

图片 DecodeErrorOne.JPG

错误信息为常量池(constant pool)长度错误，与Secunia文章中提到的第一个错误一致。

************************************************************************************************************************************

ActionRecode格式为：

值域类型描述

ActionCode UI8 Action类型
Length 如果Code大于0x80，长度为UI16 ActionCode后面数据的字节数

常量池的格式为：

值域类型描述

ActionConstantPool UI8 0x88
Count UI16 常量个数
ConstantPool STRING[Count] 字符串常量

说明：在每个Action Block首部，如果有任何变量，方法或字符串使用了两次以上，那么Flash会建立一个常量池。实际上，只要有一个变量使用了一次以上，该代码块中的所有字符串都会加入该池。

************************************************************************************************************************************

错误的常量池改正后为：

图片 HeadCorrected.JPG

再次使用Flasm进行反编译，解码结果仍然提示 Disassembly may be incomplete：wrong action length encountered，即错误的Action长度。一个一个记录的检查肯定坑爹，使用010 Editor + SWF

Template进行格式检查，模板结果显示SWF解析至DoAction段就出现了错误。打开DoAction节点，错误发生在0x5B1处。

图片 TemplateResult.JPG

图片 ParseError.JPG

发生错误的记录类型为0x96，ActionPush

************************************************************************************************************************************

值域类型描述

ActionPush ActionRecord 0x96，ActionRecord的长度为值类型和值的字节数
Type UI8 0 = 以Null为终止符的字符串
1 = 32位小端浮点数
以下类型在SWF >= 5 版本有效
2 = null
3 = undefined
4 = register
5 = boolean
6 = 64位双精度小端double
7 = 32位小端integer
8 = constant 8
9 = constant 16

************************************************************************************************************************************

该ActionPush记录为 96 27 01 FB 68 DB 39 D5 54 73 34 0F 46 40 9E 66 12

首先记录长度错误，将 27 01 修改为 0E 00，然后修改一个字节的类型，将 FB 修改为 00 字符串类型。

再次使用Flasm进行反编译，结果提示表示一个Action中存在分支结构，这些分支结构即为Secunia提到的复杂混淆，下面的工作是消除这些混淆。反编
译结果中存在较多形同如下代码的无效指令：

push FALSE, 326943637, 326943739 //压入两个数
oldEquals //是否相等，显然不等
not //结果取反为真
branchIfTrue label44 //满足跳转

将所有的没有必要的前向跳转和后向跳转去掉，例如：

label2:
branch label8
label4:
... ...
label8:
push X_PROPERTY, UNDEF, X_PROPERTY, c:0
branch label4

可以简化为：

label2:
push X_PROPERTY, UNDEF, X_PROPERTY, c:0
... ...

去混淆结果“代码块一”为，已经将常量索引用具体字符串替代:

frame 0
    	constants 'String', 'length', 'charCodeAt', 'fromCharCode', 'charAt', 'case', 'TextFormat', 'size', 'ABCDE'... ...
	
	function2 default (r:2='') ()
      		push X_PROPERTY, UNDEF, X_PROPERTY, 'String'
      		new
      		setRegister r:3
      		pop
      		setRegister r:1
      		pop
      		setRegister r:1
      		pop
     	label1:
      		push r:1, r:2, 'length'
      		getMember
      		lessThan
      		not
      		branchIfTrue label2
      		push r:1, 1, r:2, 'charAt'
      		callMethod
      		trace
      		push r:3, r:1, 1, r:2, 'charCodeAt'
      		callMethod
      		push 3
      		subtract
      		push 1, 'String'
      		getVariable
      		push 'fromCharCode'
      		callMethod
      		add
      		setRegister r:3
      		pop
      		push r:1
      		increment
      		setRegister r:1
      		pop
      		branch label1
     	label2:
      		push r:3
      		return
    	end // of function default

frame 0
	function2 foo(r:1 = 'strParam_1', r:2 = 'strParam_2')()
		push r:strParam_1, 'length'
		getmember
		trace
		push r:strParam_2, 'length'
		getmember
		trace
	end
	
	push 'Flash', 'Adobe', 2, 'foo'	//AVM 支持连续push
	callFunction
	pop
	end

default(string){
	var i = string.length;
	var res;
	while(i)
	{
		var a = string.charAt(i);
		a = a - 3;
		res += a;
		i--;
	}
	return res
}

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

CVE-2011-0611.pdf （690.34kb，307次下载）
CVE-2011-0611.rar （1.09kb，240次下载）
Head.JPG （23.78kb，1092次下载）
HeadCorrected.JPG （24.09kb，1095次下载）
DecodeErrorOne.JPG （15.71kb，1092次下载）
TemplateResult.JPG （23.45kb，1095次下载）
ParseError.JPG （10.08kb，1101次下载）

收藏・14

免费・7

支持

最新回复 (23)
猪猡公园雪币： 599 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 269 粉丝 0 关注私信	猪猡公园 2 楼楼主真厉害，一边景仰一边学习。 2011-7-29 17:47 0
djxh 雪币： 1685 活跃值： (699) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 145 粉丝 1 关注私信	djxh 3 楼下载，学习~LZ辛苦鸟~ 2011-7-29 18:35 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 4 楼呵呵以为是net framework漏洞。。膜拜下 2011-7-29 18:48 0
lovesuae 雪币： 386 活跃值： (46) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 153 粉丝 3 关注私信	lovesuae 1 5 楼有了date这个泄露,很多不升级flash的人就要倒霉了,分析得很好,支持! 2011-7-30 07:51 0
张文猛雪币： 192 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	张文猛 6 楼支持下呵呵 2011-7-30 15:34 0
UUMonkey 雪币： 26 活跃值： (244) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 49 粉丝 0 关注私信	UUMonkey 7 楼上个样本呗？ 2011-8-3 15:39 0
pende 雪币： 21 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 41 粉丝 0 关注私信	pende 1 8 楼同学啊，，，，样本已上传 2011-8-4 09:24 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 9 楼谢谢分享, 漏洞贴是要持续关注的 :) 2011-8-4 09:31 0
godisagirl 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 0 关注私信	godisagirl 10 楼楼主强大，人肉去伪存真啊，学习、感谢。 2011-8-4 15:58 0
youstar 雪币： 267 活跃值： (24) 能力值： ( LV8，RANK：130 ) 在线值：发帖 16 回帖 284 粉丝 0 关注私信	youstar 2 11 楼顶顶更健康，不管你信不信，反正我是信了 2011-8-8 20:06 0
hqm 雪币： 67 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	hqm 12 楼顶哦 2011-8-10 15:00 0
UUMonkey 雪币： 26 活跃值： (244) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 49 粉丝 0 关注私信	UUMonkey 13 楼谢谢谢！ 2011-8-10 17:33 0
Greater 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 230 粉丝 0 关注私信	Greater 14 楼楼主给力的很辣 oooO ↘┏━┓ ↙ Oooo ( 踩)→┃你┃ ←(死 ) \ ( →┃√┃ ← ) / 　 \_)↗┗━┛ ↖(_/ 哈哈 2011-8-30 11:11 0
pzk 雪币： 58 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 68 粉丝 0 关注私信	pzk 15 楼学习了~~ lz分析得很好~~ 2011-9-6 19:05 0
kindsjay 雪币： 310 活跃值： (159) 能力值： ( LV12，RANK：200 ) 在线值：发帖 21 回帖 118 粉丝 1 关注私信	kindsjay 4 16 楼能否问下,要看懂这篇文章,需要什么前提知识 2011-9-15 14:37 0
wingdbg 雪币： 393 活跃值： (150) 能力值： (RANK：110 ) 在线值：发帖 10 回帖 153 粉丝 9 关注私信	wingdbg 2 17 楼楼主能提供点AS2编译规则的资料吗？我对 getProperty('a', _x)，获取'a'对象的_x属性，可以反编译为： push 'a', Y_PROPERTY, getProperty setProperty('box2', _y, getProperty('box1', _y))，可以反编译为： push 'box2', Y_PROPERTY, 'box1', 1 getProperty setProperty 涉及到的宏为 _x 0 X_PROPERTY _y 1 Y_PROPERTY 不是很懂啊。 2011-9-15 17:00 0
pende 雪币： 21 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 41 粉丝 0 关注私信	pende 1 18 楼了解AVM中操作码的格式以及对应的操作指令了解一些AS语句的语法，编译与反编译的关系一些泛面向对象基础 2011-9-16 11:58 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 19 楼佩服，非常的精彩，如果有机会的话，希望可以跟你学习 2011-9-21 23:40 0
wlksl 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 65 粉丝 0 关注私信	wlksl 20 楼楼主写的很详细,赞!!! 可是附件里没看见Disentangling Industrial Policy and Competition Policy.doc 文件呀!!谁那里有?? 2011-9-22 10:30 0
chence 雪币： 1327 活跃值： (370) 能力值： ( LV11，RANK：190 ) 在线值：发帖 13 回帖 73 粉丝 2 关注私信	chence 4 21 楼顶~ 下载下来分析分析！ 2012-1-11 20:16 0
badboynt 雪币： 692 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 47 粉丝 0 关注私信	badboynt 22 楼 lz，小白来问个问题，既然样本swf文件中存在格式错误，那么为什么直接打开依然可以触发漏洞呢？flash player为什么依然可以执行到 Date.prototype.ABCDE = SharedObject.prototype.getSize; Date.prototype.getDay = function () {this.ABCDE();}; var f:Date = new Date(1.41466385537348e-315); f.getDay(); 此处的代码？ 2012-4-16 17:26 0
scdeny 雪币： 90 活跃值： (143) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 45 粉丝 1 关注私信	scdeny 2 23 楼 Namely, the size value of 0x15 included at offset 0x3D in the SWF does not correspond to the actual size of the constants (0x14), causing some disassemblers to interpret following code from an incorrect offset. 00000030 0E 12 9D 02 00 4C 04 9D 02 00 18 00 88 15 00 09 .....L.......... 00000040 00 41 00 42 00 43 00 44 00 45 00 46 00 47 00 48 .A.B.C.D.E.F.G.H 00000050 00 49 00 A1 8E 11 00 64 65 66 61 75 6C 74 00 01 .I.....default.. This can be fixed by adding one character to the last constant. 00000050 00 49 49 00 8E 11 00 64 65 66 61 75 6C 74 00 01 .II....default.. 楼主遗漏了关键的一步，害我纠结半天，还是感谢！ 2013-5-9 15:14 0
xiaozuzhi 雪币： 181 活跃值： (977) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 33 粉丝 0 关注私信	xiaozuzhi 24 楼学习了~~不过你简化代码简化的有点厉害~~~☺ 2016-11-24 15:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

pende

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
猪猡公园雪币： 599 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 269 粉丝 0 关注私信	猪猡公园 2 楼楼主真厉害，一边景仰一边学习。 2011-7-29 17:47 0
djxh 雪币： 1685 活跃值： (699) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 145 粉丝 1 关注私信	djxh 3 楼下载，学习~LZ辛苦鸟~ 2011-7-29 18:35 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 4 楼呵呵以为是net framework漏洞。。膜拜下 2011-7-29 18:48 0
lovesuae 雪币： 386 活跃值： (46) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 153 粉丝 3 关注私信	lovesuae 1 5 楼有了date这个泄露,很多不升级flash的人就要倒霉了,分析得很好,支持! 2011-7-30 07:51 0
张文猛雪币： 192 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	张文猛 6 楼支持下呵呵 2011-7-30 15:34 0
UUMonkey 雪币： 26 活跃值： (244) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 49 粉丝 0 关注私信	UUMonkey 7 楼上个样本呗？ 2011-8-3 15:39 0
pende 雪币： 21 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 41 粉丝 0 关注私信	pende 1 8 楼同学啊，，，，样本已上传 2011-8-4 09:24 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 9 楼谢谢分享, 漏洞贴是要持续关注的 :) 2011-8-4 09:31 0
godisagirl 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 0 关注私信	godisagirl 10 楼楼主强大，人肉去伪存真啊，学习、感谢。 2011-8-4 15:58 0
youstar 雪币： 267 活跃值： (24) 能力值： ( LV8，RANK：130 ) 在线值：发帖 16 回帖 284 粉丝 0 关注私信	youstar 2 11 楼顶顶更健康，不管你信不信，反正我是信了 2011-8-8 20:06 0
hqm 雪币： 67 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	hqm 12 楼顶哦 2011-8-10 15:00 0
UUMonkey 雪币： 26 活跃值： (244) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 49 粉丝 0 关注私信	UUMonkey 13 楼谢谢谢！ 2011-8-10 17:33 0
Greater 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 230 粉丝 0 关注私信	Greater 14 楼楼主给力的很辣 oooO ↘┏━┓ ↙ Oooo ( 踩)→┃你┃ ←(死 ) \ ( →┃√┃ ← ) / 　 \_)↗┗━┛ ↖(_/ 哈哈 2011-8-30 11:11 0
pzk 雪币： 58 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 68 粉丝 0 关注私信	pzk 15 楼学习了~~ lz分析得很好~~ 2011-9-6 19:05 0
kindsjay 雪币： 310 活跃值： (159) 能力值： ( LV12，RANK：200 ) 在线值：发帖 21 回帖 118 粉丝 1 关注私信	kindsjay 4 16 楼能否问下,要看懂这篇文章,需要什么前提知识 2011-9-15 14:37 0
wingdbg 雪币： 393 活跃值： (150) 能力值： (RANK：110 ) 在线值：发帖 10 回帖 153 粉丝 9 关注私信	wingdbg 2 17 楼楼主能提供点AS2编译规则的资料吗？我对 getProperty('a', _x)，获取'a'对象的_x属性，可以反编译为： push 'a', Y_PROPERTY, getProperty setProperty('box2', _y, getProperty('box1', _y))，可以反编译为： push 'box2', Y_PROPERTY, 'box1', 1 getProperty setProperty 涉及到的宏为 _x 0 X_PROPERTY _y 1 Y_PROPERTY 不是很懂啊。 2011-9-15 17:00 0
pende 雪币： 21 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 41 粉丝 0 关注私信	pende 1 18 楼了解AVM中操作码的格式以及对应的操作指令了解一些AS语句的语法，编译与反编译的关系一些泛面向对象基础 2011-9-16 11:58 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 19 楼佩服，非常的精彩，如果有机会的话，希望可以跟你学习 2011-9-21 23:40 0
wlksl 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 65 粉丝 0 关注私信	wlksl 20 楼楼主写的很详细,赞!!! 可是附件里没看见Disentangling Industrial Policy and Competition Policy.doc 文件呀!!谁那里有?? 2011-9-22 10:30 0
chence 雪币： 1327 活跃值： (370) 能力值： ( LV11，RANK：190 ) 在线值：发帖 13 回帖 73 粉丝 2 关注私信	chence 4 21 楼顶~ 下载下来分析分析！ 2012-1-11 20:16 0
badboynt 雪币： 692 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 47 粉丝 0 关注私信	badboynt 22 楼 lz，小白来问个问题，既然样本swf文件中存在格式错误，那么为什么直接打开依然可以触发漏洞呢？flash player为什么依然可以执行到 Date.prototype.ABCDE = SharedObject.prototype.getSize; Date.prototype.getDay = function () {this.ABCDE();}; var f:Date = new Date(1.41466385537348e-315); f.getDay(); 此处的代码？ 2012-4-16 17:26 0
scdeny 雪币： 90 活跃值： (143) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 45 粉丝 1 关注私信	scdeny 2 23 楼 Namely, the size value of 0x15 included at offset 0x3D in the SWF does not correspond to the actual size of the constants (0x14), causing some disassemblers to interpret following code from an incorrect offset. 00000030 0E 12 9D 02 00 4C 04 9D 02 00 18 00 88 15 00 09 .....L.......... 00000040 00 41 00 42 00 43 00 44 00 45 00 46 00 47 00 48 .A.B.C.D.E.F.G.H 00000050 00 49 00 A1 8E 11 00 64 65 66 61 75 6C 74 00 01 .I.....default.. This can be fixed by adding one character to the last constant. 00000050 00 49 49 00 8E 11 00 64 65 66 61 75 6C 74 00 01 .II....default.. 楼主遗漏了关键的一步，害我纠结半天，还是感谢！ 2013-5-9 15:14 0
xiaozuzhi 雪币： 181 活跃值： (977) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 33 粉丝 0 关注私信	xiaozuzhi 24 楼学习了~~不过你简化代码简化的有点厉害~~~☺ 2016-11-24 15:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复