首页
社区
课程
招聘
[水平测试第二弹]新鲜出炉,MS12-060 MSCOMCTL.OCX 远程代码执行漏洞
发表于: 2012-8-17 17:00 14504

[水平测试第二弹]新鲜出炉,MS12-060 MSCOMCTL.OCX 远程代码执行漏洞

2012-8-17 17:00
14504

8月14日,微软新一轮补丁修复了一个高危漏洞,罪魁又是MSCOMCTL.OCX ,你没看错,和MS12-027同属一个漏洞ocx!

这个漏洞通过bindiff很容易就能定位,如图:



红圈处即为补丁代码

不过漏洞利用却经历了一番曲折,好在经过和团队成员连续两天连夜奋战,终于找到了稳定利用的方法,可以顺利执行shellcode,不过该漏洞无法在写字板下触发。

现在附上我构造的poc,大家可以不用考虑dep问题,看看谁能成功执行shellcode,欢迎大家品尝~~~

另外,为了降低难度重新上传了一份poc,该poc只能在office word 2003下才能在漏洞点触发!

poc.rar


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 6
支持
分享
最新回复 (31)
雪    币: 411
活跃值: (247)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
2
该漏洞应该是最新的一个可利用的office漏洞,ms公告已明确说明该漏洞已有少量攻击案例.
2012-8-17 17:07
0
雪    币: 72
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
哇!厉害,啥资料都没有,全凭bindiff就能构造1day poc,还顺利执行shellcode!楼主以及楼主团队都是牛人
2012-8-17 17:16
0
雪    币: 411
活跃值: (247)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
漏洞构造其实很简单,知道是哪个控件,单字节fuzz很容易就能触发漏洞.
2012-8-17 19:00
0
雪    币: 9
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
我等菜鸟只能膜拜
2012-8-17 20:40
0
雪    币: 72
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
6
知道是哪个控件怎么对应到文件格式中的某个字段?
2012-8-18 16:10
0
雪    币: 146
活跃值: (182)
能力值: ( LV13,RANK:220 )
在线值:
发帖
回帖
粉丝
7
3天  传说的分析补丁+利用时间
2012-8-18 17:20
0
雪    币: 105
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
CButtons::Load ?
2012-8-18 22:50
0
雪    币: 180
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
楼主这个poc好像不行呀!?
2012-8-18 23:35
0
雪    币: 180
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
能不能说说适合什么环境?
2012-8-18 23:36
0
雪    币: 68
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
好像不能溢出啊???
2012-8-20 11:10
0
雪    币: 155
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
谁能传个打上补丁后的MSCOMCTL.OCX ,搞不定诶
2012-8-20 20:04
0
雪    币: 345
活跃值: (122)
能力值: ( LV2,RANK:150 )
在线值:
发帖
回帖
粉丝
13
触发不了啊,一个红叉
2012-8-21 13:28
0
雪    币: 692
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
14
红叉就是宏被禁用了  点安全设置开启宏之后可以触发  楼主说只能在2003下触发,我在2007下也触发成功了。 目前正在分析中
2012-8-21 14:17
0
雪    币: 345
活跃值: (122)
能力值: ( LV2,RANK:150 )
在线值:
发帖
回帖
粉丝
15
楼主说的是,该poc只能在office word 2003下才能在漏洞点触发
2012-8-21 19:45
0
雪    币: 692
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
16
是在漏洞点触发的呀
2012-8-21 20:08
0
雪    币: 345
活跃值: (122)
能力值: ( LV2,RANK:150 )
在线值:
发帖
回帖
粉丝
17
我看着指令不相同,倒是没有细看
2012-8-21 20:48
0
雪    币: 47
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
怎么好像不是在漏洞点触发啊?不知哪位牛人能看一下?

我的配置:
office word 2003
宏开启
poc打开时在oleaut32.dll中触发异常,代码如下:
770F4C27    mov  eax, dword ptr [eax-4]   ;eax处的内存不存在
2012-8-27 11:22
0
雪    币: 79
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
19
可以触发,但是不太好利用吧。
2012-8-27 21:07
0
雪    币: 201
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
谁能给个详细分析该poc的帖子
2012-8-27 22:23
0
雪    币: 232
活跃值: (40)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
21
我在xp+word 2003 sp3下触发了,指令如下
call dword ptr ds:[ecx+8]
但是ecx+8存储的地址无效啊,请楼主指导一下
2012-8-29 09:39
0
雪    币: 139
活跃值: (65)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
22
感谢漏洞分享,但是,经过初步验证。此贴的poc无法利用成功。
验证平台包括winxp sp2 /winxp sp3(包括中英文)。word版本包括2003 2007.
在2003下开启宏,仅仅出来几个按钮(不知道这个是不是楼主所说的shellcode后执行后的结果,如果是,确实有点萌)。
2012-9-6 16:50
0
雪    币: 40
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
2003下能触发 call dword ptr ds:[ecx+8]
ecx指向的Office安装目录下的某些dll的完整路径,这能利用?
2012-9-25 14:52
0
雪    币: 95
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
那肯定是 内存错误了啊 如果内存不错肯定不是个字符串 而是个虚表地址
2012-11-26 15:29
0
雪    币: 30
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
哎,要是2010下触发就好了。
2012-11-27 09:06
0
游客
登录 | 注册 方可回帖
返回
//