[原创]MS11-092补丁分析-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]MS11-092补丁分析

发表于: 2011-12-23 21:45 7475

[原创]MS11-092补丁分析

hellok

2011-12-23 21:45

7475

这个补丁出来有几天了，以前没DIFF比较过，所以这次很感兴趣，欢迎指出错误。
由于IDA版本问题。用不起来BINDIFF,只好用DarunGrim了。也蛮强的，结果如下

改动较大的是这个：sub_147CF40A sub_147CF412 6

又是添加又是修改，我们近IDA看，整理后，如下

signed int __thiscall sub_147CF40A(void *this, int temp2)
{
......
  v19 = this;
  result_1 = 0;
  if ( temp2 )
  {
    src_copy = temp2 + 16;
    if ( *temp2 == 'ilaV' && (parm1 = *(temp2 + 4), parm1_ = *(temp2 + 4), parm2 = *(temp2 + 8), parm2 <= 512) )
    {                                           // Vali
      offset = 0;
      v21 = 0;
      if ( parm1 > 0 )
      {
        while ( v21 < 128 )
        {
          total_size_ = *(src_copy + 16);
          v5 = total_size_ + offset;
          total_size = *(src_copy + 16);        // 拷贝大小
          offset += total_size_;
          if ( total_size_ < 0 || v5 < 0 || v5 > parm2 )
          {
            result_1 = -2147024809;
            break;
          }
          mem_address = alloc_bstr_0x20u();
          mem_address_ = mem_address;
          mem_address__ = mem_address;
          if ( !mem_address )
          {
            result_1 = -2147024882;
            goto error;
          }
          result_1 = adapt_new_mem(mem_address, *src_copy, *(src_copy + 4), 0);
          if ( result_1 < 0 )
            goto error;
          data_size = total_size_ - 32;
          if ( total_size_ - 32 > 0 )
          {
            length = (data_size + 1) >> 1;      // BSTR长度
            BSTR_address = SysAllocStringLen_(&bstrString, (data_size + 1) >> 1);
            parm3 = (mem_address_ + 24);
            sub_147CE7E8(parm3, BSTR_address);
            SysFreeString(bstrString);          // if ( !*v12 || !SysStringLen(*v12) ){error!}
            (*parm3)[length - 1] = 0;           // V11 指针？
            memcpy(*parm3, (src_copy + 32), total_size - 32);
            SysStringByteLen(*parm3);
            SysStringByteLen(*parm3);
            total_size_ = total_size;
            mem_address_ = mem_address__;
          }
          sub_147CF06A(mem_address_);
          src_copy += total_size_;
          ++v21;
          if ( v21 >= parm1_ )
            break;
        }
        if ( result_1 >= 0 )
          goto LABEL_21;
error:
        sub_147CF3EE(v19);
      }
LABEL_21:
      result = result_1;
    }
    else
    {
      result = -2147024809;
    }
  }
  else
  {
    result = -2147024809;
  }
  return result;
}

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

2.gif （31.76kb，362次下载）
3.jpg （72.05kb，365次下载）
4.jpg （68.70kb，362次下载）
EncDec.zip （499.64kb，47次下载）
1.gif （100.45kb，362次下载）

收藏・6

免费・6

支持

最新回复 (7)
MRCDG 雪币： 9 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	MRCDG 2 楼沙发，前排留名 2011-12-23 22:31 0
cscoder 雪币： 403 活跃值： (330) 能力值： ( LV12，RANK：230 ) 在线值：发帖 20 回帖 77 粉丝 2 关注私信	cscoder 5 3 楼楼主能不能把DarunGrim3的使用方式简单说说？不知道为什么我在使用DarunGrim3的时候Files Import那一步DarunGrim3Server总提示如图所示错误，不知道楼主在使用过程中遇到此类问题了吗？上传的附件： 1.jpg （44.60kb，338次下载） 2011-12-24 10:47 0
cscoder 雪币： 403 活跃值： (330) 能力值： ( LV12，RANK：230 ) 在线值：发帖 20 回帖 77 粉丝 2 关注私信	cscoder 5 4 楼我从MS补丁里面抽取出来的encdec.dll怎么只有182kb~ 2011-12-24 11:50 0
hellok 雪币： 227 活跃值： (120) 能力值： ( LV10，RANK：160 ) 在线值：发帖 10 回帖 83 粉丝 4 关注私信	hellok 3 5 楼文件路径什么的都不能有中文字符好像，然后如果导入后还是找不到此文件，找个SQLLITE修改器，修改目录下的index.db数据库。发现里面字符有错误。或什么的，呵呵。我是直接找那个文件的。没管补丁。 2011-12-24 12:16 0
古河雪币： 822 活跃值： (380) 能力值： ( LV12，RANK：310 ) 在线值：发帖 24 回帖 132 粉丝 35 关注私信	古河 6 6 楼谢谢楼主的分享，工具挺好用的这里应该也是个关键点吧，原来的是有符号比较，导致可以让TotalSize>80000000，从而可以将之后的字符串size设很大来触发漏洞，补丁后变成了无符号比较上传的附件： encdec.png （16.62kb，314次下载） 2011-12-24 13:49 0
hellok 雪币： 227 活跃值： (120) 能力值： ( LV10，RANK：160 ) 在线值：发帖 10 回帖 83 粉丝 4 关注私信	hellok 3 7 楼确实哈。好细心啊 +1+1 2011-12-24 15:13 0
cscoder 雪币： 403 活跃值： (330) 能力值： ( LV12，RANK：230 ) 在线值：发帖 20 回帖 77 粉丝 2 关注私信	cscoder 5 8 楼为了让DarunGrim3发挥其彪悍的所用，建议兄弟们在英文版的系统中运行。谢谢古河！ 2011-12-24 19:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hellok

发帖

回帖

160

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (7)
MRCDG 雪币： 9 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	MRCDG 2 楼沙发，前排留名 2011-12-23 22:31 0
cscoder 雪币： 403 活跃值： (330) 能力值： ( LV12，RANK：230 ) 在线值：发帖 20 回帖 77 粉丝 2 关注私信	cscoder 5 3 楼楼主能不能把DarunGrim3的使用方式简单说说？不知道为什么我在使用DarunGrim3的时候Files Import那一步DarunGrim3Server总提示如图所示错误，不知道楼主在使用过程中遇到此类问题了吗？上传的附件： 1.jpg （44.60kb，338次下载） 2011-12-24 10:47 0
cscoder 雪币： 403 活跃值： (330) 能力值： ( LV12，RANK：230 ) 在线值：发帖 20 回帖 77 粉丝 2 关注私信	cscoder 5 4 楼我从MS补丁里面抽取出来的encdec.dll怎么只有182kb~ 2011-12-24 11:50 0
hellok 雪币： 227 活跃值： (120) 能力值： ( LV10，RANK：160 ) 在线值：发帖 10 回帖 83 粉丝 4 关注私信	hellok 3 5 楼文件路径什么的都不能有中文字符好像，然后如果导入后还是找不到此文件，找个SQLLITE修改器，修改目录下的index.db数据库。发现里面字符有错误。或什么的，呵呵。我是直接找那个文件的。没管补丁。 2011-12-24 12:16 0
古河雪币： 822 活跃值： (380) 能力值： ( LV12，RANK：310 ) 在线值：发帖 24 回帖 132 粉丝 35 关注私信	古河 6 6 楼谢谢楼主的分享，工具挺好用的这里应该也是个关键点吧，原来的是有符号比较，导致可以让TotalSize>80000000，从而可以将之后的字符串size设很大来触发漏洞，补丁后变成了无符号比较上传的附件： encdec.png （16.62kb，314次下载） 2011-12-24 13:49 0
hellok 雪币： 227 活跃值： (120) 能力值： ( LV10，RANK：160 ) 在线值：发帖 10 回帖 83 粉丝 4 关注私信	hellok 3 7 楼确实哈。好细心啊 +1+1 2011-12-24 15:13 0
cscoder 雪币： 403 活跃值： (330) 能力值： ( LV12，RANK：230 ) 在线值：发帖 20 回帖 77 粉丝 2 关注私信	cscoder 5 8 楼为了让DarunGrim3发挥其彪悍的所用，建议兄弟们在英文版的系统中运行。谢谢古河！ 2011-12-24 19:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复