[原创]CVE-2012-0158 MSCOMCTL控件漏洞分析-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]CVE-2012-0158 MSCOMCTL控件漏洞分析

2012-4-27 20:55 24447

[原创]CVE-2012-0158 MSCOMCTL控件漏洞分析

chence

2012-4-27 20:55

24447

引言：一个朋友给了我一个比较新的样本，用360一扫，直接报了CVE-2012-0158。一直都觉得360对于文件病毒不敏感，这回倒是给了我一个惊讶。看来360也不能藐视。。。
网上搜了搜，没发现有分析这个漏洞的。论坛分析漏洞的文章比较少了，我下个决心自己试着分析一下，一来努力提升一下我这个菜鸟的逆向分析能力，二来为论坛的发展贡献一点棉薄之力。大致分析完毕，出拙文，与看雪坛友分享之~下面附上样本和分析文档，样本解压密码为chence.水平有限，错误之处，恳请牛人们批评指正！

感谢bitt的指点，修改了一个错误！使得这个漏洞更加有意思了，哈哈哈。。。。

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

上传的附件：

CVE-2012-0158 MSCOMCTL控件漏洞分析.pdf （214.48kb，849次下载）
cve-2012-0158.zip （60.49kb，1044次下载）
CVE-2012-0158 MSCOMCTL控件漏洞分析_修改版.pdf （218.71kb，1295次下载）

收藏・25

点赞・3

打赏

最新回复 (49) 1 2 ▶
bitt 雪币： 435 活跃值： (1117) 能力值： ( LV13，RANK：388 ) 在线值：发帖 28 回帖 639 粉丝 18 关注私信	bitt 5 2012-4-27 21:14 2 楼 0 不是没检查，检查了但没检查好哈哈 0:000> p eax=00000000 ebx=08150810 ecx=7c93056d edx=00150608 esi=001a120c edi=00000000 eip=275c8b7a esp=00122478 ebp=00122498 iopl=0 nv up ei pl zr na pe nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000246 MSCOMCTL!DllGetClassObject+0x3ab41: 275c8b7a 837df408 cmp dword ptr [ebp-0Ch],8 ss:0023:0012248c=00008282 0:000> p eax=00000000 ebx=08150810 ecx=7c93056d edx=00150608 esi=001a120c edi=00000000 eip=275c8b7e esp=00122478 ebp=00122498 iopl=0 nv up ei pl nz ac po nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000212 MSCOMCTL!DllGetClassObject+0x3ab45: 275c8b7e 0f82efa20000 jb MSCOMCTL!DllGetClassObject+0x44e3a (275d2e73) [br=0] 第二次调用之前有一次检查，但是 .. 大于号小于号写错了哈哈.........
hackerlzc 雪币： 1685 活跃值： (380) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 616 粉丝 14 关注私信	hackerlzc 10 2012-4-27 21:33 3 楼 0 果断顶。下载学习。。。。。。
chence 雪币： 1327 活跃值： (355) 能力值： ( LV11，RANK：190 ) 在线值：发帖 13 回帖 72 粉丝 2 关注私信	chence 4 2012-4-27 21:38 4 楼 0 谢谢bitt指出错误，说的很对啊
清新阳光雪币： 95 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 59 粉丝 0 关注私信	清新阳光 2012-4-27 21:40 5 楼 0 前几天也分析了这个漏洞栈溢出这个东西竟然没有栈溢出保护机制很奇怪是因为编译的时间过老么
promsied 雪币： 589 活跃值： (119) 能力值： ( LV11，RANK：190 ) 在线值：发帖 13 回帖 94 粉丝 3 关注私信	promsied 4 2012-4-27 21:44 6 楼 0 这个POC我昨天也看了下，分析起来还是比较简单的，关键得搞清楚文件格式 MSF上Office 2010的poc用ROP可过ASLR+DEP，附上 msf.doc 上传的附件： msf.doc （10.05kb，399次下载）
promsied 雪币： 589 活跃值： (119) 能力值： ( LV11，RANK：190 ) 在线值：发帖 13 回帖 94 粉丝 3 关注私信	promsied 4 2012-4-27 21:48 7 楼 0 VC5.2?
chence 雪币： 1327 活跃值： (355) 能力值： ( LV11，RANK：190 ) 在线值：发帖 13 回帖 72 粉丝 2 关注私信	chence 4 2012-4-27 22:31 8 楼 0 用peid查，真是vc5.2！
cooolie 雪币： 177 活跃值： (471) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 99 粉丝 0 关注私信	cooolie 2012-4-27 23:31 9 楼 0 support!
Vsbat 雪币： 857 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 276 粉丝 4 关注私信	Vsbat 4 2012-4-28 00:04 10 楼 0 尼玛啊 0158 彻底裸了。。。
Vsbat 雪币： 857 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 276 粉丝 4 关注私信	Vsbat 4 2012-4-28 00:07 11 楼 0 有道理看看我那个ocx是04年的。。。
xunbu 雪币： 3542 活跃值： (239) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 92 粉丝 0 关注私信	xunbu 2012-4-28 00:22 12 楼 0 最近再找这个样本，关注一下！
cooolie 雪币： 177 活跃值： (471) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 99 粉丝 0 关注私信	cooolie 2012-4-28 00:34 13 楼 0 （7ffa4512 在样本 doc 里找不到）地址在文件偏移0x1338h 处，地址后面紧跟着就是shellcode了 1245fa7f90909090909090908bc40510010000c 那个0x8282也就在这个地址上方，不过内嵌的com格式没搞清楚，等科普。
金罡雪币： 579 活跃值： (168) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 357 粉丝 4 关注私信	金罡 1 2012-4-28 00:47 14 楼 0 学习了，我也研究过这个漏洞，发生溢出函数的内有一个CALL [reg+Imm]就搞不清楚了。好像是在解析OLESSHEADER里的数据，貌似TEB结构有一个成员是维护OLE的，里面的代码真是多啊。迷茫中。。脱壳破解是在学习汇编，分析漏洞是在学习调试。 CVE-2012-0158简单分析报告.zip 上传的附件： CVE-2012-0158简单分析报告.zip （258.48kb，377次下载）
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 442 粉丝 5 关注私信	instruder 4 2012-4-28 09:00 15 楼 0 球各种样本啊球
打狗棒雪币： 72 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 61 粉丝 0 关注私信	打狗棒 2012-4-28 09:43 16 楼 0 [QUOTE=金罡;1067866]学习了，我也研究过这个漏洞，发生溢出函数的内有一个CALL [reg+Imm]就搞不清楚了。好像是在解析OLESSHEADER里的数据，貌似TEB结构有一个成员是维护OLE的，里面的代码真是多啊。迷茫中。。脱壳破解是在学习汇编，分析漏洞是在学习调试。 66874...[/QUOTE] 简单粗暴有效调试过程很棒
cmdhz 雪币： 345 活跃值： (122) 能力值： ( LV2，RANK：150 ) 在线值：发帖 8 回帖 77 粉丝 0 关注私信	cmdhz 3 2012-4-28 09:50 17 楼 0 楼主不加载符号文件，这种报告怎么看啊
chence 雪币： 1327 活跃值： (355) 能力值： ( LV11，RANK：190 ) 在线值：发帖 13 回帖 72 粉丝 2 关注私信	chence 4 2012-4-28 09:51 18 楼 0 感谢！1245fa7f 文件中是以31 32 34 35 66 61 37 66形式存在的，WORD竟2个字节地把它合并了
cmdhz 雪币： 345 活跃值： (122) 能力值： ( LV2，RANK：150 ) 在线值：发帖 8 回帖 77 粉丝 0 关注私信	cmdhz 3 2012-4-28 09:53 19 楼 0 金罡的分析报告还清楚些
chence 雪币： 1327 活跃值： (355) 能力值： ( LV11，RANK：190 ) 在线值：发帖 13 回帖 72 粉丝 2 关注私信	chence 4 2012-4-28 09:54 20 楼 0 因为调试的时候会频繁地重启调试器，机子不怎么好，加载符号有点慢，所以就把没加了！抱歉，下次改进~
promsied 雪币： 589 活跃值： (119) 能力值： ( LV11，RANK：190 ) 在线值：发帖 13 回帖 94 粉丝 3 关注私信	promsied 4 2012-4-28 10:18 21 楼 0 [QUOTE=金罡;1067866]学习了，我也研究过这个漏洞，发生溢出函数的内有一个CALL [reg+Imm]就搞不清楚了。好像是在解析OLESSHEADER里的数据，貌似TEB结构有一个成员是维护OLE的，里面的代码真是多啊。迷茫中。。脱壳破解是在学习汇编，分析漏洞是在学习调试。 66874...[/QUOTE] 学习了，我分析的时候哦比你懒多了，直接虚拟机快照+trace
happymhx 雪币： 793 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 190 粉丝 0 关注私信	happymhx 2012-4-28 10:49 22 楼 0 感谢楼主的分享精神，学习了！本人菜鸟也把在may.doc的信息分析如下： 1.地址内容0x0000-0x283f 是完全按照漏洞POC文档格式来的见http://www.exploit-db.com/exploits/18780 2.接下来是magic标志：ABABABABEFEFEFEF 3.后面是个缓冲区保存：a.doc和a.exe文件(计算器)的释放路径和大小路径是%USERPROFILE% 4.docx格式的文件和计算器二进制文件（0xAC异或加密）大牛的shellcode没分析菜鸟水平有限期待牛人分享下
riusksk 雪币： 429 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 229 关注私信	riusksk 41 2012-4-28 11:06 23 楼 0 我感觉windbg与od\immdbg的差别除了使用方法外，最重要的一点就是在文档的篇幅上，用windbg调试然后写出的文档永远是用od\immdbg调试时写的文档的好几倍长，用od\immdbg写出来的的文档总感觉就是比较精简，呵呵……
Dstlemoner 雪币： 292 活跃值： (153) 能力值： ( LV3，RANK：30 ) 在线值：发帖 28 回帖 857 粉丝 4 关注私信	Dstlemoner 2012-4-28 11:18 24 楼 0 不是。。。。呢个 DOC的样本。。我不小心在宿主机点开了。。。没事吧我晕。。。？？？？
happymhx 雪币： 793 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 190 粉丝 0 关注私信	happymhx 2012-4-28 11:22 25 楼 0 计算器不怕哈呵呵
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

chence

发帖

回帖

190

RANK

关注

私信

他的文章

[原创]贵阳大数据及网络安全精英对抗赛Reverse EZRE_0解题

[求助]请大家帮忙看看这种格式

[翻译]使用反序列漏洞攻破JAVA MESSAGE

[求助]宽带连接下使用winpcap的问题

[原创]AES算法之理论与编程结合篇

关于我们

联系我们

企业服务

看雪公众号

最新回复 (49) 1 2 ▶
bitt 雪币： 435 活跃值： (1117) 能力值： ( LV13，RANK：388 ) 在线值：发帖 28 回帖 639 粉丝 18 关注私信	bitt 5 2012-4-27 21:14 2 楼 0 不是没检查，检查了但没检查好哈哈 0:000> p eax=00000000 ebx=08150810 ecx=7c93056d edx=00150608 esi=001a120c edi=00000000 eip=275c8b7a esp=00122478 ebp=00122498 iopl=0 nv up ei pl zr na pe nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000246 MSCOMCTL!DllGetClassObject+0x3ab41: 275c8b7a 837df408 cmp dword ptr [ebp-0Ch],8 ss:0023:0012248c=00008282 0:000> p eax=00000000 ebx=08150810 ecx=7c93056d edx=00150608 esi=001a120c edi=00000000 eip=275c8b7e esp=00122478 ebp=00122498 iopl=0 nv up ei pl nz ac po nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000212 MSCOMCTL!DllGetClassObject+0x3ab45: 275c8b7e 0f82efa20000 jb MSCOMCTL!DllGetClassObject+0x44e3a (275d2e73) [br=0] 第二次调用之前有一次检查，但是 .. 大于号小于号写错了哈哈.........
hackerlzc 雪币： 1685 活跃值： (380) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 616 粉丝 14 关注私信	hackerlzc 10 2012-4-27 21:33 3 楼 0 果断顶。下载学习。。。。。。
chence 雪币： 1327 活跃值： (355) 能力值： ( LV11，RANK：190 ) 在线值：发帖 13 回帖 72 粉丝 2 关注私信	chence 4 2012-4-27 21:38 4 楼 0 谢谢bitt指出错误，说的很对啊
清新阳光雪币： 95 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 59 粉丝 0 关注私信	清新阳光 2012-4-27 21:40 5 楼 0 前几天也分析了这个漏洞栈溢出这个东西竟然没有栈溢出保护机制很奇怪是因为编译的时间过老么
promsied 雪币： 589 活跃值： (119) 能力值： ( LV11，RANK：190 ) 在线值：发帖 13 回帖 94 粉丝 3 关注私信	promsied 4 2012-4-27 21:44 6 楼 0 这个POC我昨天也看了下，分析起来还是比较简单的，关键得搞清楚文件格式 MSF上Office 2010的poc用ROP可过ASLR+DEP，附上 msf.doc 上传的附件： msf.doc （10.05kb，399次下载）
promsied 雪币： 589 活跃值： (119) 能力值： ( LV11，RANK：190 ) 在线值：发帖 13 回帖 94 粉丝 3 关注私信	promsied 4 2012-4-27 21:48 7 楼 0 VC5.2?
chence 雪币： 1327 活跃值： (355) 能力值： ( LV11，RANK：190 ) 在线值：发帖 13 回帖 72 粉丝 2 关注私信	chence 4 2012-4-27 22:31 8 楼 0 用peid查，真是vc5.2！
cooolie 雪币： 177 活跃值： (471) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 99 粉丝 0 关注私信	cooolie 2012-4-27 23:31 9 楼 0 support!
Vsbat 雪币： 857 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 276 粉丝 4 关注私信	Vsbat 4 2012-4-28 00:04 10 楼 0 尼玛啊 0158 彻底裸了。。。
Vsbat 雪币： 857 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 276 粉丝 4 关注私信	Vsbat 4 2012-4-28 00:07 11 楼 0 有道理看看我那个ocx是04年的。。。
xunbu 雪币： 3542 活跃值： (239) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 92 粉丝 0 关注私信	xunbu 2012-4-28 00:22 12 楼 0 最近再找这个样本，关注一下！
cooolie 雪币： 177 活跃值： (471) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 99 粉丝 0 关注私信	cooolie 2012-4-28 00:34 13 楼 0 （7ffa4512 在样本 doc 里找不到）地址在文件偏移0x1338h 处，地址后面紧跟着就是shellcode了 1245fa7f90909090909090908bc40510010000c 那个0x8282也就在这个地址上方，不过内嵌的com格式没搞清楚，等科普。
金罡雪币： 579 活跃值： (168) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 357 粉丝 4 关注私信	金罡 1 2012-4-28 00:47 14 楼 0 学习了，我也研究过这个漏洞，发生溢出函数的内有一个CALL [reg+Imm]就搞不清楚了。好像是在解析OLESSHEADER里的数据，貌似TEB结构有一个成员是维护OLE的，里面的代码真是多啊。迷茫中。。脱壳破解是在学习汇编，分析漏洞是在学习调试。 CVE-2012-0158简单分析报告.zip 上传的附件： CVE-2012-0158简单分析报告.zip （258.48kb，377次下载）
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 442 粉丝 5 关注私信	instruder 4 2012-4-28 09:00 15 楼 0 球各种样本啊球
打狗棒雪币： 72 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 61 粉丝 0 关注私信	打狗棒 2012-4-28 09:43 16 楼 0 [QUOTE=金罡;1067866]学习了，我也研究过这个漏洞，发生溢出函数的内有一个CALL [reg+Imm]就搞不清楚了。好像是在解析OLESSHEADER里的数据，貌似TEB结构有一个成员是维护OLE的，里面的代码真是多啊。迷茫中。。脱壳破解是在学习汇编，分析漏洞是在学习调试。 66874...[/QUOTE] 简单粗暴有效调试过程很棒
cmdhz 雪币： 345 活跃值： (122) 能力值： ( LV2，RANK：150 ) 在线值：发帖 8 回帖 77 粉丝 0 关注私信	cmdhz 3 2012-4-28 09:50 17 楼 0 楼主不加载符号文件，这种报告怎么看啊
chence 雪币： 1327 活跃值： (355) 能力值： ( LV11，RANK：190 ) 在线值：发帖 13 回帖 72 粉丝 2 关注私信	chence 4 2012-4-28 09:51 18 楼 0 感谢！1245fa7f 文件中是以31 32 34 35 66 61 37 66形式存在的，WORD竟2个字节地把它合并了
cmdhz 雪币： 345 活跃值： (122) 能力值： ( LV2，RANK：150 ) 在线值：发帖 8 回帖 77 粉丝 0 关注私信	cmdhz 3 2012-4-28 09:53 19 楼 0 金罡的分析报告还清楚些
chence 雪币： 1327 活跃值： (355) 能力值： ( LV11，RANK：190 ) 在线值：发帖 13 回帖 72 粉丝 2 关注私信	chence 4 2012-4-28 09:54 20 楼 0 因为调试的时候会频繁地重启调试器，机子不怎么好，加载符号有点慢，所以就把没加了！抱歉，下次改进~
promsied 雪币： 589 活跃值： (119) 能力值： ( LV11，RANK：190 ) 在线值：发帖 13 回帖 94 粉丝 3 关注私信	promsied 4 2012-4-28 10:18 21 楼 0 [QUOTE=金罡;1067866]学习了，我也研究过这个漏洞，发生溢出函数的内有一个CALL [reg+Imm]就搞不清楚了。好像是在解析OLESSHEADER里的数据，貌似TEB结构有一个成员是维护OLE的，里面的代码真是多啊。迷茫中。。脱壳破解是在学习汇编，分析漏洞是在学习调试。 66874...[/QUOTE] 学习了，我分析的时候哦比你懒多了，直接虚拟机快照+trace
happymhx 雪币： 793 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 190 粉丝 0 关注私信	happymhx 2012-4-28 10:49 22 楼 0 感谢楼主的分享精神，学习了！本人菜鸟也把在may.doc的信息分析如下： 1.地址内容0x0000-0x283f 是完全按照漏洞POC文档格式来的见http://www.exploit-db.com/exploits/18780 2.接下来是magic标志：ABABABABEFEFEFEF 3.后面是个缓冲区保存：a.doc和a.exe文件(计算器)的释放路径和大小路径是%USERPROFILE% 4.docx格式的文件和计算器二进制文件（0xAC异或加密）大牛的shellcode没分析菜鸟水平有限期待牛人分享下
riusksk 雪币： 429 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 229 关注私信	riusksk 41 2012-4-28 11:06 23 楼 0 我感觉windbg与od\immdbg的差别除了使用方法外，最重要的一点就是在文档的篇幅上，用windbg调试然后写出的文档永远是用od\immdbg调试时写的文档的好几倍长，用od\immdbg写出来的的文档总感觉就是比较精简，呵呵……
Dstlemoner 雪币： 292 活跃值： (153) 能力值： ( LV3，RANK：30 ) 在线值：发帖 28 回帖 857 粉丝 4 关注私信	Dstlemoner 2012-4-28 11:18 24 楼 0 不是。。。。呢个 DOC的样本。。我不小心在宿主机点开了。。。没事吧我晕。。。？？？？
happymhx 雪币： 793 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 190 粉丝 0 关注私信	happymhx 2012-4-28 11:22 25 楼 0 计算器不怕哈呵呵
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复