[水平测试第二弹]新鲜出炉，MS12-060 MSCOMCTL.OCX 远程代码执行漏洞-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[水平测试第二弹]新鲜出炉，MS12-060 MSCOMCTL.OCX 远程代码执行漏洞

2012-8-17 17:00 13745

[水平测试第二弹]新鲜出炉，MS12-060 MSCOMCTL.OCX 远程代码执行漏洞

blackwhite 活跃值

2012-8-17 17:00

13745

8月14日，微软新一轮补丁修复了一个高危漏洞，罪魁又是MSCOMCTL.OCX ，你没看错，和MS12-027同属一个漏洞ocx！

这个漏洞通过bindiff很容易就能定位，如图：

红圈处即为补丁代码

不过漏洞利用却经历了一番曲折，好在经过和团队成员连续两天连夜奋战，终于找到了稳定利用的方法，可以顺利执行shellcode，不过该漏洞无法在写字板下触发。

现在附上我构造的poc，大家可以不用考虑dep问题，看看谁能成功执行shellcode，欢迎大家品尝~~~

另外，为了降低难度重新上传了一份poc，该poc只能在office word 2003下才能在漏洞点触发！

poc.rar

阿里云助力开发者！2核2G 3M带宽不限流量！6.18限时价，开发者可享99元/年，续费同价！

上传的附件：

bindiff.jpg （73.94kb，922次下载）
poc.rar （5.22kb，384次下载）

收藏・9

点赞・3

打赏

最新回复 (31) 1 2 ▶
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 249 粉丝 3 关注私信	blackwhite 1 2012-8-17 17:07 2 楼 0 该漏洞应该是最新的一个可利用的office漏洞,ms公告已明确说明该漏洞已有少量攻击案例.
打狗棒雪币： 72 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 61 粉丝 0 关注私信	打狗棒 2012-8-17 17:16 3 楼 0 哇！厉害，啥资料都没有，全凭bindiff就能构造1day poc，还顺利执行shellcode！楼主以及楼主团队都是牛人
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 249 粉丝 3 关注私信	blackwhite 1 2012-8-17 19:00 4 楼 0 漏洞构造其实很简单,知道是哪个控件,单字节fuzz很容易就能触发漏洞.
wycdbg 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 45 粉丝 0 关注私信	wycdbg 2012-8-17 20:40 5 楼 0 我等菜鸟只能膜拜
打狗棒雪币： 72 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 61 粉丝 0 关注私信	打狗棒 2012-8-18 16:10 6 楼 0 知道是哪个控件怎么对应到文件格式中的某个字段？
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 442 粉丝 5 关注私信	instruder 4 2012-8-18 17:20 7 楼 0 3天传说的分析补丁+利用时间
老纳雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 77 粉丝 0 关注私信	老纳 2012-8-18 22:50 8 楼 0 CButtons::Load ?
hmonster 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 23 粉丝 0 关注私信	hmonster 2012-8-18 23:35 9 楼 0 楼主这个poc好像不行呀！？
hmonster 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 23 粉丝 0 关注私信	hmonster 2012-8-18 23:36 10 楼 0 能不能说说适合什么环境？
chtq 雪币： 68 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	chtq 2012-8-20 11:10 11 楼 0 好像不能溢出啊？？？
lsjf 雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	lsjf 2012-8-20 20:04 12 楼 0 谁能传个打上补丁后的MSCOMCTL.OCX ,搞不定诶
cmdhz 雪币： 345 活跃值： (122) 能力值： ( LV2，RANK：150 ) 在线值：发帖 8 回帖 77 粉丝 0 关注私信	cmdhz 3 2012-8-21 13:28 13 楼 0 触发不了啊，一个红叉
badboynt 雪币： 692 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 47 粉丝 0 关注私信	badboynt 2012-8-21 14:17 14 楼 0 红叉就是宏被禁用了点安全设置开启宏之后可以触发楼主说只能在2003下触发，我在2007下也触发成功了。目前正在分析中
cmdhz 雪币： 345 活跃值： (122) 能力值： ( LV2，RANK：150 ) 在线值：发帖 8 回帖 77 粉丝 0 关注私信	cmdhz 3 2012-8-21 19:45 15 楼 0 楼主说的是，该poc只能在office word 2003下才能在漏洞点触发！
badboynt 雪币： 692 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 47 粉丝 0 关注私信	badboynt 2012-8-21 20:08 16 楼 0 是在漏洞点触发的呀
cmdhz 雪币： 345 活跃值： (122) 能力值： ( LV2，RANK：150 ) 在线值：发帖 8 回帖 77 粉丝 0 关注私信	cmdhz 3 2012-8-21 20:48 17 楼 0 我看着指令不相同，倒是没有细看
nago 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	nago 2012-8-27 11:22 18 楼 0 怎么好像不是在漏洞点触发啊？不知哪位牛人能看一下？我的配置： office word 2003 宏开启 poc打开时在oleaut32.dll中触发异常，代码如下： 770F4C27 mov eax, dword ptr [eax-4] ;eax处的内存不存在
meckun 雪币： 79 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 56 粉丝 0 关注私信	meckun 2012-8-27 21:07 19 楼 0 可以触发，但是不太好利用吧。
善良屠夫雪币： 201 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 160 粉丝 0 关注私信	善良屠夫 2012-8-27 22:23 20 楼 0 谁能给个详细分析该poc的帖子
arjohn 雪币： 232 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	arjohn 2012-8-29 09:39 21 楼 0 我在xp+word 2003 sp3下触发了，指令如下 call dword ptr ds:[ecx+8] 但是ecx+8存储的地址无效啊，请楼主指导一下
metazhou 雪币： 139 活跃值： (65) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 11 粉丝 2 关注私信	metazhou 2 2012-9-6 16:50 22 楼 0 感谢漏洞分享，但是，经过初步验证。此贴的poc无法利用成功。验证平台包括winxp sp2 /winxp sp3(包括中英文)。word版本包括2003 2007. 在2003下开启宏，仅仅出来几个按钮（不知道这个是不是楼主所说的shellcode后执行后的结果，如果是，确实有点萌）。
误码率雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 67 粉丝 0 关注私信	误码率 2012-9-25 14:52 23 楼 0 2003下能触发 call dword ptr ds:[ecx+8] ecx指向的Office安装目录下的某些dll的完整路径，这能利用？
清新阳光雪币： 95 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 59 粉丝 0 关注私信	清新阳光 2012-11-26 15:29 24 楼 0 那肯定是内存错误了啊如果内存不错肯定不是个字符串而是个虚表地址
你在吗雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	你在吗 2012-11-27 09:06 25 楼 0 哎，要是2010下触发就好了。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

blackwhite

发帖

249

回帖

RANK

关注

私信

他的文章

[原创]IE6/7 EXP通用不死技巧

[原创]再读堆风水MS06-067调试笔记

VEH函数入口的快速定位

[原创]永信至诚e春秋平台CTF比赛放大镜后门分析

[讨论]2014中国黑客榜(beta版)

关于我们

联系我们

企业服务

看雪公众号

最新回复 (31) 1 2 ▶
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 249 粉丝 3 关注私信	blackwhite 1 2012-8-17 17:07 2 楼 0 该漏洞应该是最新的一个可利用的office漏洞,ms公告已明确说明该漏洞已有少量攻击案例.
打狗棒雪币： 72 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 61 粉丝 0 关注私信	打狗棒 2012-8-17 17:16 3 楼 0 哇！厉害，啥资料都没有，全凭bindiff就能构造1day poc，还顺利执行shellcode！楼主以及楼主团队都是牛人
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 249 粉丝 3 关注私信	blackwhite 1 2012-8-17 19:00 4 楼 0 漏洞构造其实很简单,知道是哪个控件,单字节fuzz很容易就能触发漏洞.
wycdbg 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 45 粉丝 0 关注私信	wycdbg 2012-8-17 20:40 5 楼 0 我等菜鸟只能膜拜
打狗棒雪币： 72 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 61 粉丝 0 关注私信	打狗棒 2012-8-18 16:10 6 楼 0 知道是哪个控件怎么对应到文件格式中的某个字段？
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 442 粉丝 5 关注私信	instruder 4 2012-8-18 17:20 7 楼 0 3天传说的分析补丁+利用时间
老纳雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 77 粉丝 0 关注私信	老纳 2012-8-18 22:50 8 楼 0 CButtons::Load ?
hmonster 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 23 粉丝 0 关注私信	hmonster 2012-8-18 23:35 9 楼 0 楼主这个poc好像不行呀！？
hmonster 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 23 粉丝 0 关注私信	hmonster 2012-8-18 23:36 10 楼 0 能不能说说适合什么环境？
chtq 雪币： 68 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	chtq 2012-8-20 11:10 11 楼 0 好像不能溢出啊？？？
lsjf 雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	lsjf 2012-8-20 20:04 12 楼 0 谁能传个打上补丁后的MSCOMCTL.OCX ,搞不定诶
cmdhz 雪币： 345 活跃值： (122) 能力值： ( LV2，RANK：150 ) 在线值：发帖 8 回帖 77 粉丝 0 关注私信	cmdhz 3 2012-8-21 13:28 13 楼 0 触发不了啊，一个红叉
badboynt 雪币： 692 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 47 粉丝 0 关注私信	badboynt 2012-8-21 14:17 14 楼 0 红叉就是宏被禁用了点安全设置开启宏之后可以触发楼主说只能在2003下触发，我在2007下也触发成功了。目前正在分析中
cmdhz 雪币： 345 活跃值： (122) 能力值： ( LV2，RANK：150 ) 在线值：发帖 8 回帖 77 粉丝 0 关注私信	cmdhz 3 2012-8-21 19:45 15 楼 0 楼主说的是，该poc只能在office word 2003下才能在漏洞点触发！
badboynt 雪币： 692 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 47 粉丝 0 关注私信	badboynt 2012-8-21 20:08 16 楼 0 是在漏洞点触发的呀
cmdhz 雪币： 345 活跃值： (122) 能力值： ( LV2，RANK：150 ) 在线值：发帖 8 回帖 77 粉丝 0 关注私信	cmdhz 3 2012-8-21 20:48 17 楼 0 我看着指令不相同，倒是没有细看
nago 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	nago 2012-8-27 11:22 18 楼 0 怎么好像不是在漏洞点触发啊？不知哪位牛人能看一下？我的配置： office word 2003 宏开启 poc打开时在oleaut32.dll中触发异常，代码如下： 770F4C27 mov eax, dword ptr [eax-4] ;eax处的内存不存在
meckun 雪币： 79 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 56 粉丝 0 关注私信	meckun 2012-8-27 21:07 19 楼 0 可以触发，但是不太好利用吧。
善良屠夫雪币： 201 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 160 粉丝 0 关注私信	善良屠夫 2012-8-27 22:23 20 楼 0 谁能给个详细分析该poc的帖子
arjohn 雪币： 232 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	arjohn 2012-8-29 09:39 21 楼 0 我在xp+word 2003 sp3下触发了，指令如下 call dword ptr ds:[ecx+8] 但是ecx+8存储的地址无效啊，请楼主指导一下
metazhou 雪币： 139 活跃值： (65) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 11 粉丝 2 关注私信	metazhou 2 2012-9-6 16:50 22 楼 0 感谢漏洞分享，但是，经过初步验证。此贴的poc无法利用成功。验证平台包括winxp sp2 /winxp sp3(包括中英文)。word版本包括2003 2007. 在2003下开启宏，仅仅出来几个按钮（不知道这个是不是楼主所说的shellcode后执行后的结果，如果是，确实有点萌）。
误码率雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 67 粉丝 0 关注私信	误码率 2012-9-25 14:52 23 楼 0 2003下能触发 call dword ptr ds:[ecx+8] ecx指向的Office安装目录下的某些dll的完整路径，这能利用？
清新阳光雪币： 95 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 59 粉丝 0 关注私信	清新阳光 2012-11-26 15:29 24 楼 0 那肯定是内存错误了啊如果内存不错肯定不是个字符串而是个虚表地址
你在吗雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	你在吗 2012-11-27 09:06 25 楼 0 哎，要是2010下触发就好了。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复