[原创]新鲜出炉 - MS12-004-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]新鲜出炉 - MS12-004

发表于: 2012-1-19 00:48 17385

[原创]新鲜出炉 - MS12-004

古河

2012-1-19 00:48

17385

RT，虽然是MediaPlayer的，但是还是可以通过IE触发

这个漏洞本身通过补丁比较不难定位，但是在下前两天虽然定位了漏洞，但是却没有能写出好的exploit

直到今天看到了

http://www.vupen.com/blog/20120117.Advanced_Exploitation_of_Windows_MS12-004_CVE-2012-0003.php

这篇帖子，实在感叹exploit在这些高手的手里，真的玩成了一种艺术，无法学习，只能膜拜

照着vupen帖子的思路构造了一个poc，供大家学习研究, xp sp3, winmm.dll版本5.1.2600.5512, mshtml 6.0.2900.5512，测试通过

shellcode就不写在POC里了，0c0c0c10，大家都懂的，值得一提的是利用这个漏洞还可以泄露模块地址信息，从而构造ROP，这个有时间在写了，或者估计exploit-db或者metaspolit不久就会出来ROP版本的吧

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

Windows XP Professional sp3-2012-01-19-00-31-36.png （49.19kb，1677次下载）
poc.zip （15.85kb，338次下载）

收藏・17

免费・6

支持

最新回复 (31) 1 2 ▶
djxh 雪币： 1685 活跃值： (709) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 145 粉丝 1 关注私信	djxh 2 楼沙发 2012-1-19 03:05 0
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 3 楼谢谢楼主的分享啊。 2012-1-19 10:10 0
小P孩儿雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 483 粉丝 0 关注私信	小P孩儿 4 楼前排留坐。。。。。 2012-1-21 23:10 0
cscoder 雪币： 403 活跃值： (330) 能力值： ( LV12，RANK：230 ) 在线值：发帖 20 回帖 77 粉丝 2 关注私信	cscoder 5 5 楼感谢楼主分享！ 2012-1-25 10:06 0
心狱雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	心狱 6 楼非常感谢！！！！！！！！！！！！！ 2012-1-26 05:04 0
柔情似水雪币： 1579 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 272 粉丝 0 关注私信	柔情似水 7 楼真的不懂，我要好好学习了 2012-1-26 22:37 0
清风刀客雪币： 434 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	清风刀客 8 楼表示真心要学习 2012-1-28 22:40 0
宋明谦雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	宋明谦 9 楼不懂。看不懂 2012-1-29 14:14 0
kmsmxpro 雪币： 123 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 82 粉丝 0 关注私信	kmsmxpro 10 楼站位学习！！！！ 2012-1-30 08:53 0
古河雪币： 822 活跃值： (380) 能力值： ( LV12，RANK：310 ) 在线值：发帖 24 回帖 132 粉丝 35 关注私信	古河 6 11 楼 NND, 放假第一天回来就看到有人拿我的poc去挂马挂马的那位兄台，你就直接拿去用了啊，好歹打声招呼撒? http://blog.trendmicro.com/malware-leveraging-midi-remote-code-execution-vulnerability-found 上传的附件： 2.png （112.71kb，1313次下载） 2012-1-30 12:52 0
梦里花开雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	梦里花开 12 楼大哥，我这里本地IE6点开就正常播放midi了？这样不对的吧？ 2012-1-30 15:18 0
俊虎雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 133 粉丝 0 关注私信	俊虎 13 楼拜读站位学习！！！！ 2012-1-30 15:30 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 14 楼古河，有没用在IE8下稳定触发的版本呢？ 2012-1-31 19:00 0
古河雪币： 822 活跃值： (380) 能力值： ( LV12，RANK：310 ) 在线值：发帖 24 回帖 132 粉丝 35 关注私信	古河 6 15 楼 28号exploit-db上出了MetaSpolit版本，有IE8的Target http://www.exploit-db.com/exploits/18426/ 没有仔细看，不过貌似只支持xp3+IE8? 也就是说还没有过ASLR的版本。要过ASLR的话，可以照vupen的Blog所述，用相同的漏洞泄露mshtml的模块基地址 2012-1-31 19:26 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 16 楼能不能一起分析下？做一个比较稳定的版本，我提取的MSF的版本不够稳定 2012-1-31 20:07 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 17 楼搞个Win7 + IE9 的出来吧！！！ 2012-1-31 21:09 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 18 楼貌似不针对Win7，大哥 2012-2-1 10:37 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 19 楼英文资料上说可以针对win7+IE9,这个得好好看看咯。。呵呵 2012-2-1 11:09 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 20 楼 MSF升级了下，GUI不好用了，谁知道怎么解决？ 2012-2-1 11:51 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 21 楼有时不崩溃的挂上windbg 就知道哦啊了 2012-2-1 11:57 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 22 楼大家猜测下这个漏洞是怎么发现的哈我认为是通过手工找的换成我我肯定找不到这纠结 2012-2-1 12:06 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 23 楼即使发现了，我也不知道该如何利用。 2012-2-1 17:24 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 24 楼这个也是有可能的，利用heaplib在IE9上实现heap spray，再结合ROP绕过DEP 2012-2-1 17:26 0
snowdbg 雪币： 3171 活跃值： (76) 能力值： (RANK：250 ) 在线值：发帖 13 回帖 129 粉丝 2 关注私信	snowdbg 6 25 楼关键是看内存泄露的情况了 2012-2-2 09:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

古河

发帖

132

回帖

310

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (31) 1 2 ▶
djxh 雪币： 1685 活跃值： (709) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 145 粉丝 1 关注私信	djxh 2 楼沙发 2012-1-19 03:05 0
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 3 楼谢谢楼主的分享啊。 2012-1-19 10:10 0
小P孩儿雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 483 粉丝 0 关注私信	小P孩儿 4 楼前排留坐。。。。。 2012-1-21 23:10 0
cscoder 雪币： 403 活跃值： (330) 能力值： ( LV12，RANK：230 ) 在线值：发帖 20 回帖 77 粉丝 2 关注私信	cscoder 5 5 楼感谢楼主分享！ 2012-1-25 10:06 0
心狱雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	心狱 6 楼非常感谢！！！！！！！！！！！！！ 2012-1-26 05:04 0
柔情似水雪币： 1579 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 272 粉丝 0 关注私信	柔情似水 7 楼真的不懂，我要好好学习了 2012-1-26 22:37 0
清风刀客雪币： 434 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	清风刀客 8 楼表示真心要学习 2012-1-28 22:40 0
宋明谦雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	宋明谦 9 楼不懂。看不懂 2012-1-29 14:14 0
kmsmxpro 雪币： 123 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 82 粉丝 0 关注私信	kmsmxpro 10 楼站位学习！！！！ 2012-1-30 08:53 0
古河雪币： 822 活跃值： (380) 能力值： ( LV12，RANK：310 ) 在线值：发帖 24 回帖 132 粉丝 35 关注私信	古河 6 11 楼 NND, 放假第一天回来就看到有人拿我的poc去挂马挂马的那位兄台，你就直接拿去用了啊，好歹打声招呼撒? http://blog.trendmicro.com/malware-leveraging-midi-remote-code-execution-vulnerability-found 上传的附件： 2.png （112.71kb，1313次下载） 2012-1-30 12:52 0
梦里花开雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	梦里花开 12 楼大哥，我这里本地IE6点开就正常播放midi了？这样不对的吧？ 2012-1-30 15:18 0
俊虎雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 133 粉丝 0 关注私信	俊虎 13 楼拜读站位学习！！！！ 2012-1-30 15:30 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 14 楼古河，有没用在IE8下稳定触发的版本呢？ 2012-1-31 19:00 0
古河雪币： 822 活跃值： (380) 能力值： ( LV12，RANK：310 ) 在线值：发帖 24 回帖 132 粉丝 35 关注私信	古河 6 15 楼 28号exploit-db上出了MetaSpolit版本，有IE8的Target http://www.exploit-db.com/exploits/18426/ 没有仔细看，不过貌似只支持xp3+IE8? 也就是说还没有过ASLR的版本。要过ASLR的话，可以照vupen的Blog所述，用相同的漏洞泄露mshtml的模块基地址 2012-1-31 19:26 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 16 楼能不能一起分析下？做一个比较稳定的版本，我提取的MSF的版本不够稳定 2012-1-31 20:07 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 17 楼搞个Win7 + IE9 的出来吧！！！ 2012-1-31 21:09 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 18 楼貌似不针对Win7，大哥 2012-2-1 10:37 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 19 楼英文资料上说可以针对win7+IE9,这个得好好看看咯。。呵呵 2012-2-1 11:09 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 20 楼 MSF升级了下，GUI不好用了，谁知道怎么解决？ 2012-2-1 11:51 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 21 楼有时不崩溃的挂上windbg 就知道哦啊了 2012-2-1 11:57 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 22 楼大家猜测下这个漏洞是怎么发现的哈我认为是通过手工找的换成我我肯定找不到这纠结 2012-2-1 12:06 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 23 楼即使发现了，我也不知道该如何利用。 2012-2-1 17:24 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 24 楼这个也是有可能的，利用heaplib在IE9上实现heap spray，再结合ROP绕过DEP 2012-2-1 17:26 0
snowdbg 雪币： 3171 活跃值： (76) 能力值： (RANK：250 ) 在线值：发帖 13 回帖 129 粉丝 2 关注私信	snowdbg 6 25 楼关键是看内存泄露的情况了 2012-2-2 09:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复