首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 二进制漏洞
    3. 发新帖
[原创]CVE-2013-0640漏洞利用分析 - 附POC
2013-2-22 08:11 21103

[原创]CVE-2013-0640漏洞利用分析 - 附POC

古河 活跃值
6
2013-2-22 08:11
21103

古河@pediy.com
新浪微博 @古河120,欢迎交流、互粉,谢绝搅基
http://weibo.com/1874932054

原文太长,我慢慢整理排版,请大家先看pdf版本

           

摘要

在最近的pdf 0day漏洞攻击中,同一个样本使用了两个漏洞。其中一个是CVE-2013-0640,这个漏洞存在于Adode的XFA(XML Forms Architecture)处理模块AcroForm.api中,该漏洞被用于得到任意代码的执行权限。另一个是CVE-2013-0641, 该漏洞存在于Adobe sandbox的broker进程中,用于从sandbox中逃逸,获取高权限。

关于CVE-2013-0641,国内外的安全研究人员已经有很详细的分析了,本文就不再赘述:

http://blog.vulnhunt.com/index.php/2013/02/21/cve-2013-0641-analysis-of-acrobat-reader-sandbox-escape/
http://blogs.mcafee.com/mcafee-labs/digging-into-the-sandbox-escape-technique-of-the-recent-pdf-exploit.

在对该样本的分析过程中,我们发现该样本为了能在开启了DEP和ASLR的机器上成功exploit,首先会利用CVE-2013-0640泄露AcroForm.api的基地址,接着使用这个基地址构造ROP,突破DEP的防护。

本文将着重分析CVE-2013-0640这个漏洞,包括触发方式、触发后产生的效果、以及该样本如何利用这个漏洞来泄露AcroForm.api的基地址。本文不会讨论基址泄露后的ROP构造问题。同时我们在附件中提供了2个POC文件,其中一个名为”crash.pdf”,用于演示如何使用CVE-2013-0640来控制EIP,另一个名为”leak.pdf”,用于演示如何利用该地址来泄露AcroForm.api的基地址。

请注意: 本文在调试原始样本以及构造POC的过程中,使用的是Windows XP SP3英文版,以及Adobe Reader 11.0.1,如果换其他Windows版本或者Adobe Reader版本,POC可能会无法正常工作。最后,本文分析的样本来自互联网,本文提供的POC仅供交流学习目的,请勿将其用于非法用途,由此造成的后果,与作者无关。
另由于笔者自身水平有限,文中难免疏漏错误之处,欢迎大家批评指正!

POC密码为: virus

CVE-2013-0640分析.pdf
poc.zip

[培训]内核驱动高级班,冲击BAT一流互联网大厂工 作,每周日13:00-18:00直播授课

上传的附件:
收藏
点赞4
打赏
分享
最新回复 (44)
instruder
雪    币: 146
活跃值: (182)
能力值: ( LV13,RANK:220 )
在线值:
发帖
回帖
粉丝
私信
instruder 4 2013-2-22 08:51
2
0
沙发啊 啊 顶
范小贩
雪    币: 67
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
范小贩 2013-2-22 08:52
3
0
楼主好人啊,更是牛人
范小贩
雪    币: 67
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
范小贩 2013-2-22 08:53
4
0
你牛,我看完以为自己是第一个看到的
ymxia
雪    币: 232
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
ymxia 2013-2-22 09:09
5
0
先膜拜大牛 再慢慢看!
riusksk
雪    币: 431
活跃值: (1875)
能力值: ( LV17,RANK:1820 )
在线值:
发帖
回帖
粉丝
私信
riusksk 41 2013-2-22 09:26
6
0
最近的pdf、swf 0day都是用地址泄露来绕过ASLR了,已成主流了
仙果
雪    币: 1489
活跃值: (955)
能力值: (RANK:860 )
在线值:
发帖
回帖
粉丝
私信
仙果 19 2013-2-22 09:28
7
0
谢谢。古河的文章
zhuliang
雪    币: 1098
活跃值: (193)
能力值: (RANK:210 )
在线值:
发帖
回帖
粉丝
私信
zhuliang 5 2013-2-22 09:36
8
0
好文,感谢陈兄!
cscoder
雪    币: 403
活跃值: (330)
能力值: ( LV12,RANK:230 )
在线值:
发帖
回帖
粉丝
私信
cscoder 5 2013-2-22 09:45
9
0
非常感谢古河的分享!
hellok
雪    币: 227
活跃值: (120)
能力值: ( LV10,RANK:160 )
在线值:
发帖
回帖
粉丝
私信
hellok 3 2013-2-22 09:48
10
0
围观学习~~~~~
promsied
雪    币: 589
活跃值: (119)
能力值: ( LV11,RANK:190 )
在线值:
发帖
回帖
粉丝
私信
promsied 4 2013-2-22 10:05
11
0
先回帖再学习
Artmiss
雪    币: 19
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
Artmiss 2013-2-22 10:18
12
0
后排占位学习~
Fido
雪    币: 107
活跃值: (311)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
Fido 2013-2-22 10:19
13
0
谢谢分享..这个不顶不行啊....很强大的说...
BMZYNX
雪    币: 585
活跃值: (40)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
BMZYNX 1 2013-2-22 10:26
14
0
感谢、下载学习~
cmdhz
雪    币: 345
活跃值: (122)
能力值: ( LV2,RANK:150 )
在线值:
发帖
回帖
粉丝
私信
cmdhz 3 2013-2-22 10:35
15
0
顶古河牛。认真学习。
南宫世家
雪    币: 62
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
南宫世家 2013-2-22 10:43
16
0
学习。。。。。。太厉害。。
happymhx
雪    币: 793
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
happymhx 2013-2-22 11:17
17
0
感谢分享,学习了!
darkplayer
雪    币: 284
活跃值: (34)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
darkplayer 2013-2-22 13:30
18
0
mark.mark.
lideq
雪    币: 4
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
lideq 2013-2-22 15:23
19
0
谢谢古河兄,呵呵
su汪妮
雪    币: 65
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
su汪妮 2013-2-22 16:37
20
0
好多洞洞可以用啊
webappsec
雪    币: 1217
活跃值: (566)
能力值: (RANK:30 )
在线值:
发帖
回帖
粉丝
私信
webappsec 2013-2-23 08:38
21
0
必须支持……
safeboy
雪    币: 12
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
safeboy 2013-2-23 08:39
22
0
膜拜牛人,学些一下
boywhp
雪    币: 1233
活跃值: (907)
能力值: ( LV12,RANK:750 )
在线值:
发帖
回帖
粉丝
私信
boywhp 12 2013-2-23 20:08
23
0
友情客串~~~
MRShi
雪    币: 17
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
MRShi 2013-2-23 21:54
24
0
太好了,之前拿到POC都不知道怎么处理,这下学习一下了
kindsjay
雪    币: 310
活跃值: (159)
能力值: ( LV12,RANK:200 )
在线值:
发帖
回帖
粉丝
私信
kindsjay 4 2013-2-24 17:15
25
0
adobe 古
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回