[水平测试第二弹]新鲜出炉，MS12-060 MSCOMCTL.OCX 远程代码执行漏洞-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[水平测试第二弹]新鲜出炉，MS12-060 MSCOMCTL.OCX 远程代码执行漏洞

发表于: 2012-8-17 17:00 14505

[水平测试第二弹]新鲜出炉，MS12-060 MSCOMCTL.OCX 远程代码执行漏洞

blackwhite 活跃值

2012-8-17 17:00

14505

8月14日，微软新一轮补丁修复了一个高危漏洞，罪魁又是MSCOMCTL.OCX ，你没看错，和MS12-027同属一个漏洞ocx！

这个漏洞通过bindiff很容易就能定位，如图：

红圈处即为补丁代码

不过漏洞利用却经历了一番曲折，好在经过和团队成员连续两天连夜奋战，终于找到了稳定利用的方法，可以顺利执行shellcode，不过该漏洞无法在写字板下触发。

现在附上我构造的poc，大家可以不用考虑dep问题，看看谁能成功执行shellcode，欢迎大家品尝~~~

另外，为了降低难度重新上传了一份poc，该poc只能在office word 2003下才能在漏洞点触发！

poc.rar

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

bindiff.jpg （73.94kb，922次下载）
poc.rar （5.22kb，384次下载）

收藏・9

免费・6

支持

最新回复 (31) 1 2 ▶
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 2 楼该漏洞应该是最新的一个可利用的office漏洞,ms公告已明确说明该漏洞已有少量攻击案例. 2012-8-17 17:07 0
打狗棒雪币： 72 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 61 粉丝 0 关注私信	打狗棒 3 楼哇！厉害，啥资料都没有，全凭bindiff就能构造1day poc，还顺利执行shellcode！楼主以及楼主团队都是牛人 2012-8-17 17:16 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 4 楼漏洞构造其实很简单,知道是哪个控件,单字节fuzz很容易就能触发漏洞. 2012-8-17 19:00 0
wycdbg 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 45 粉丝 0 关注私信	wycdbg 5 楼我等菜鸟只能膜拜 2012-8-17 20:40 0
打狗棒雪币： 72 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 61 粉丝 0 关注私信	打狗棒 6 楼知道是哪个控件怎么对应到文件格式中的某个字段？ 2012-8-18 16:10 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 7 楼 3天传说的分析补丁+利用时间 2012-8-18 17:20 0
老纳雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 77 粉丝 0 关注私信	老纳 8 楼 CButtons::Load ? 2012-8-18 22:50 0
hmonster 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 23 粉丝 0 关注私信	hmonster 9 楼楼主这个poc好像不行呀！？ 2012-8-18 23:35 0
hmonster 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 23 粉丝 0 关注私信	hmonster 10 楼能不能说说适合什么环境？ 2012-8-18 23:36 0
chtq 雪币： 68 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	chtq 11 楼好像不能溢出啊？？？ 2012-8-20 11:10 0
lsjf 雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 0 关注私信	lsjf 12 楼谁能传个打上补丁后的MSCOMCTL.OCX ,搞不定诶 2012-8-20 20:04 0
cmdhz 雪币： 345 活跃值： (122) 能力值： ( LV2，RANK：150 ) 在线值：发帖 8 回帖 77 粉丝 0 关注私信	cmdhz 3 13 楼触发不了啊，一个红叉 2012-8-21 13:28 0
badboynt 雪币： 692 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 47 粉丝 0 关注私信	badboynt 14 楼红叉就是宏被禁用了点安全设置开启宏之后可以触发楼主说只能在2003下触发，我在2007下也触发成功了。目前正在分析中 2012-8-21 14:17 0
cmdhz 雪币： 345 活跃值： (122) 能力值： ( LV2，RANK：150 ) 在线值：发帖 8 回帖 77 粉丝 0 关注私信	cmdhz 3 15 楼楼主说的是，该poc只能在office word 2003下才能在漏洞点触发！ 2012-8-21 19:45 0
badboynt 雪币： 692 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 47 粉丝 0 关注私信	badboynt 16 楼是在漏洞点触发的呀 2012-8-21 20:08 0
cmdhz 雪币： 345 活跃值： (122) 能力值： ( LV2，RANK：150 ) 在线值：发帖 8 回帖 77 粉丝 0 关注私信	cmdhz 3 17 楼我看着指令不相同，倒是没有细看 2012-8-21 20:48 0
nago 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	nago 18 楼怎么好像不是在漏洞点触发啊？不知哪位牛人能看一下？我的配置： office word 2003 宏开启 poc打开时在oleaut32.dll中触发异常，代码如下： 770F4C27 mov eax, dword ptr [eax-4] ;eax处的内存不存在 2012-8-27 11:22 0
meckun 雪币： 79 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 56 粉丝 0 关注私信	meckun 19 楼可以触发，但是不太好利用吧。 2012-8-27 21:07 0
善良屠夫雪币： 201 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 159 粉丝 0 关注私信	善良屠夫 20 楼谁能给个详细分析该poc的帖子 2012-8-27 22:23 0
arjohn 雪币： 232 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	arjohn 21 楼我在xp+word 2003 sp3下触发了，指令如下 call dword ptr ds:[ecx+8] 但是ecx+8存储的地址无效啊，请楼主指导一下 2012-8-29 09:39 0
metazhou 雪币： 139 活跃值： (65) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 11 粉丝 2 关注私信	metazhou 2 22 楼感谢漏洞分享，但是，经过初步验证。此贴的poc无法利用成功。验证平台包括winxp sp2 /winxp sp3(包括中英文)。word版本包括2003 2007. 在2003下开启宏，仅仅出来几个按钮（不知道这个是不是楼主所说的shellcode后执行后的结果，如果是，确实有点萌）。 2012-9-6 16:50 0
误码率雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	误码率 23 楼 2003下能触发 call dword ptr ds:[ecx+8] ecx指向的Office安装目录下的某些dll的完整路径，这能利用？ 2012-9-25 14:52 0
清新阳光雪币： 95 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 59 粉丝 0 关注私信	清新阳光 24 楼那肯定是内存错误了啊如果内存不错肯定不是个字符串而是个虚表地址 2012-11-26 15:29 0
你在吗雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	你在吗 25 楼哎，要是2010下触发就好了。 2012-11-27 09:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

blackwhite

发帖

247

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (31) 1 2 ▶
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 2 楼该漏洞应该是最新的一个可利用的office漏洞,ms公告已明确说明该漏洞已有少量攻击案例. 2012-8-17 17:07 0
打狗棒雪币： 72 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 61 粉丝 0 关注私信	打狗棒 3 楼哇！厉害，啥资料都没有，全凭bindiff就能构造1day poc，还顺利执行shellcode！楼主以及楼主团队都是牛人 2012-8-17 17:16 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 4 楼漏洞构造其实很简单,知道是哪个控件,单字节fuzz很容易就能触发漏洞. 2012-8-17 19:00 0
wycdbg 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 45 粉丝 0 关注私信	wycdbg 5 楼我等菜鸟只能膜拜 2012-8-17 20:40 0
打狗棒雪币： 72 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 61 粉丝 0 关注私信	打狗棒 6 楼知道是哪个控件怎么对应到文件格式中的某个字段？ 2012-8-18 16:10 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 7 楼 3天传说的分析补丁+利用时间 2012-8-18 17:20 0
老纳雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 77 粉丝 0 关注私信	老纳 8 楼 CButtons::Load ? 2012-8-18 22:50 0
hmonster 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 23 粉丝 0 关注私信	hmonster 9 楼楼主这个poc好像不行呀！？ 2012-8-18 23:35 0
hmonster 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 23 粉丝 0 关注私信	hmonster 10 楼能不能说说适合什么环境？ 2012-8-18 23:36 0
chtq 雪币： 68 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	chtq 11 楼好像不能溢出啊？？？ 2012-8-20 11:10 0
lsjf 雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 0 关注私信	lsjf 12 楼谁能传个打上补丁后的MSCOMCTL.OCX ,搞不定诶 2012-8-20 20:04 0
cmdhz 雪币： 345 活跃值： (122) 能力值： ( LV2，RANK：150 ) 在线值：发帖 8 回帖 77 粉丝 0 关注私信	cmdhz 3 13 楼触发不了啊，一个红叉 2012-8-21 13:28 0
badboynt 雪币： 692 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 47 粉丝 0 关注私信	badboynt 14 楼红叉就是宏被禁用了点安全设置开启宏之后可以触发楼主说只能在2003下触发，我在2007下也触发成功了。目前正在分析中 2012-8-21 14:17 0
cmdhz 雪币： 345 活跃值： (122) 能力值： ( LV2，RANK：150 ) 在线值：发帖 8 回帖 77 粉丝 0 关注私信	cmdhz 3 15 楼楼主说的是，该poc只能在office word 2003下才能在漏洞点触发！ 2012-8-21 19:45 0
badboynt 雪币： 692 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 47 粉丝 0 关注私信	badboynt 16 楼是在漏洞点触发的呀 2012-8-21 20:08 0
cmdhz 雪币： 345 活跃值： (122) 能力值： ( LV2，RANK：150 ) 在线值：发帖 8 回帖 77 粉丝 0 关注私信	cmdhz 3 17 楼我看着指令不相同，倒是没有细看 2012-8-21 20:48 0
nago 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	nago 18 楼怎么好像不是在漏洞点触发啊？不知哪位牛人能看一下？我的配置： office word 2003 宏开启 poc打开时在oleaut32.dll中触发异常，代码如下： 770F4C27 mov eax, dword ptr [eax-4] ;eax处的内存不存在 2012-8-27 11:22 0
meckun 雪币： 79 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 56 粉丝 0 关注私信	meckun 19 楼可以触发，但是不太好利用吧。 2012-8-27 21:07 0
善良屠夫雪币： 201 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 159 粉丝 0 关注私信	善良屠夫 20 楼谁能给个详细分析该poc的帖子 2012-8-27 22:23 0
arjohn 雪币： 232 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	arjohn 21 楼我在xp+word 2003 sp3下触发了，指令如下 call dword ptr ds:[ecx+8] 但是ecx+8存储的地址无效啊，请楼主指导一下 2012-8-29 09:39 0
metazhou 雪币： 139 活跃值： (65) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 11 粉丝 2 关注私信	metazhou 2 22 楼感谢漏洞分享，但是，经过初步验证。此贴的poc无法利用成功。验证平台包括winxp sp2 /winxp sp3(包括中英文)。word版本包括2003 2007. 在2003下开启宏，仅仅出来几个按钮（不知道这个是不是楼主所说的shellcode后执行后的结果，如果是，确实有点萌）。 2012-9-6 16:50 0
误码率雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	误码率 23 楼 2003下能触发 call dword ptr ds:[ecx+8] ecx指向的Office安装目录下的某些dll的完整路径，这能利用？ 2012-9-25 14:52 0
清新阳光雪币： 95 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 59 粉丝 0 关注私信	清新阳光 24 楼那肯定是内存错误了啊如果内存不错肯定不是个字符串而是个虚表地址 2012-11-26 15:29 0
你在吗雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	你在吗 25 楼哎，要是2010下触发就好了。 2012-11-27 09:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复