[原创]CVE-2013-3906简要分析-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]CVE-2013-3906简要分析

2013-11-8 18:07 8069

[原创]CVE-2013-3906简要分析

isno

2013-11-8 18:07

8069

简单分析了一下大家看看对不对

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

CVE-2013-3906简要分析.rar （72.78kb，587次下载）
1fd4f3f063d641f84c5776c2c15e4621.rar （61.43kb，379次下载）

收藏・15

点赞・2

打赏

最新回复 (37) 1 2 ▶
安于此生雪币： 2660 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2044 粉丝 186 关注私信	安于此生 34 2013-11-8 19:15 2 楼 0 沙发,顶楼主!
cssembly 雪币： 8 活跃值： (242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	cssembly 2013-11-9 00:01 3 楼 0 求poc密码。。。。。。
gamehacker 雪币： 131 活跃值： (98) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 334 粉丝 2 关注私信	gamehacker 1 2013-11-9 00:05 4 楼 0 是传说中的isno大神么？
uuwhat 雪币： 29 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 152 粉丝 0 关注私信	uuwhat 2013-11-9 05:45 5 楼 0 学习下，密码靠猜么？
KooJiSung 雪币： 357 活跃值： (2643) 能力值： ( LV3，RANK：25 ) 在线值：发帖 5 回帖 691 粉丝 3 关注私信	KooJiSung 2013-11-9 06:07 6 楼 0 没注意看名字,看回复才发现,亮瞎了我的眼.. 10多年前的hacker
旧信纸雪币： 50 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 182 粉丝 1 关注私信	旧信纸 2013-11-9 06:58 7 楼 0 这贴要火还是这楼主要火？
Edvvard 雪币： 1318 活跃值： (149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 37 粉丝 0 关注私信	Edvvard 1 2013-11-11 08:28 8 楼 0 学习了，密码binvul，二进制那个poc
squallqz 雪币： 25 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	squallqz 2013-11-11 12:36 9 楼 0 这……楼主是真货吗？
guobing 雪币： 7785 活跃值： (148) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 407 粉丝 0 关注私信	guobing 2013-11-11 16:46 10 楼 0 你这个是怎样断到shellcode的呀？
llongwei 雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	llongwei 2013-11-11 17:14 11 楼 0 本人菜鸟想问问poc 怎么利用的喷射啊？？
仙果雪币： 1489 活跃值： (955) 能力值： (RANK：860 ) 在线值：发帖 66 回帖 1509 粉丝 61 关注私信	仙果 19 2013-11-11 23:28 12 楼 0 膜拜ISNO大神
范小贩雪币： 67 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 53 粉丝 0 关注私信	范小贩 2013-11-12 09:06 13 楼 0 一直不明白如何定位的shellcode
fireworld 雪币： 185 活跃值： (405) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 329 粉丝 0 关注私信	fireworld 2013-11-12 20:33 14 楼 0 下载学习感谢楼主分享啊
zrhai 雪币： 230 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 181 粉丝 0 关注私信	zrhai 2013-11-12 22:47 15 楼 0 下载学习，多谢分享！
魔造师雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	魔造师 2013-11-13 08:27 16 楼 0 用zip把docx解压缩出来，找到ActiveX文件夹，shellocde在Active*.bin中
guobing 雪币： 7785 活跃值： (148) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 407 粉丝 0 关注私信	guobing 2013-11-13 09:36 17 楼 0 谢谢～～，解压出来看了下，好多ActiveX .bin 40个的，还是没有找到，不过这个不是重要的。呃想问，当调试这个word的时候是怎样能断到那个溢出点,这个肯定跟之前的不一样吧，比如断函数什么的，这个shellcode没什么api，比如GetFileSize，并且它还检测几个函数是否hook。不过按照lz发的那个OGL.DLL下面那个汇编码，我sxe ogl.dll 然后搜索这个模块中的特征符： 3be076ad 55 push ebp 3be076ae 8bec mov ebp,esp 3be076b0 0fb78fec000000 movzx ecx,word ptr [edi+0ECh] 它们的地址是不一样的。然后断到这，就可以分析了，准备看点tiff格式，毕竟俺刚入门，慢慢摸索。话说这个样本中的链接已经不能下载了，在temp中写了个域名访问错误的文件。还有样本有时成功有时直接就挂了，蛋疼。
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 249 粉丝 3 关注私信	blackwhite 1 2013-11-13 20:56 18 楼 0 我是来膜拜楼主的.你是我的偶象.....................................宝刀未老啊.牛!
曹小杰雪币： 19 活跃值： (100) 能力值： ( LV5，RANK：60 ) 在线值：发帖 15 回帖 59 粉丝 0 关注私信	曹小杰 1 2013-11-14 12:09 19 楼 0 菜鸟路过，如何测试POC？
rowp 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	rowp 2013-11-15 11:16 20 楼 0 activex 内存 40*20M
rekken 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	rekken 2013-11-15 12:11 21 楼 0 请问你测试时这个样本可以成功运行吗？我用xp sp2+office2010 以及xpsp3+office2007没有成功根据isno大神的分析，最后调用call dword ptr [eax+20] ;0x08080808 恰好覆盖了函数指针但我执行到这的时候，eax为0x0438a838，所以就成了call [0438a858] // 0x3be21654。不是0x08080808呀？
rowp 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	rowp 2013-11-15 15:46 22 楼 0 [QUOTE=rekken;1239590]请问你测试时这个样本可以成功运行吗？我用xp sp2+office2010 以及xpsp3+office2007没有成功根据isno大神的分析，最后调用call dword ptr [eax+20] ;0x08080808 恰好覆盖了函数指针但我执行到这的时候，eax为0x04...[/QUOTE] 跟进去呗，最后调用是在call [eax+0x28]. 纠正下，每个块2M，上面打错了
rekken 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	rekken 2013-11-15 18:02 23 楼 0 [QUOTE=rowp;1239678]跟进去呗，最后调用是在call [eax+0x28]. 纠正下，每个块2M，上面打错了[/QUOTE] call [eax+0x28] ？继续跟踪进去也没有遇到这条指令呀？后来跟踪着就崩溃到了msvcr80!leadupVec+0x52了。 isno的分析文章不是说在地址3BE2027F执行call [eax+0x20]时就会跳转到0x08080808吗？
playdong 雪币： 13 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 12 粉丝 0 关注私信	playdong 2013-11-19 17:42 24 楼 0 各位大牛，我想问一下，如果将shellcode替换的话，怎么打包回去重新生成一个*.docx呢？多谢了
范小贩雪币： 67 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 53 粉丝 0 关注私信	范小贩 2013-11-21 15:29 25 楼 0 不知道按照zip格式再压缩回去怎么样
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

isno

发帖

回帖

130

RANK

关注

私信

他的文章

[原创]CVE-2013-3906简要分析

[原创]三行代码获取特定广播的所有接收者

[原创]LNK快捷方式文件漏洞简要分析

关于我们

联系我们

企业服务

看雪公众号

最新回复 (37) 1 2 ▶
安于此生雪币： 2660 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2044 粉丝 186 关注私信	安于此生 34 2013-11-8 19:15 2 楼 0 沙发,顶楼主!
cssembly 雪币： 8 活跃值： (242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	cssembly 2013-11-9 00:01 3 楼 0 求poc密码。。。。。。
gamehacker 雪币： 131 活跃值： (98) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 334 粉丝 2 关注私信	gamehacker 1 2013-11-9 00:05 4 楼 0 是传说中的isno大神么？
uuwhat 雪币： 29 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 152 粉丝 0 关注私信	uuwhat 2013-11-9 05:45 5 楼 0 学习下，密码靠猜么？
KooJiSung 雪币： 357 活跃值： (2643) 能力值： ( LV3，RANK：25 ) 在线值：发帖 5 回帖 691 粉丝 3 关注私信	KooJiSung 2013-11-9 06:07 6 楼 0 没注意看名字,看回复才发现,亮瞎了我的眼.. 10多年前的hacker
旧信纸雪币： 50 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 182 粉丝 1 关注私信	旧信纸 2013-11-9 06:58 7 楼 0 这贴要火还是这楼主要火？
Edvvard 雪币： 1318 活跃值： (149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 37 粉丝 0 关注私信	Edvvard 1 2013-11-11 08:28 8 楼 0 学习了，密码binvul，二进制那个poc
squallqz 雪币： 25 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	squallqz 2013-11-11 12:36 9 楼 0 这……楼主是真货吗？
guobing 雪币： 7785 活跃值： (148) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 407 粉丝 0 关注私信	guobing 2013-11-11 16:46 10 楼 0 你这个是怎样断到shellcode的呀？
llongwei 雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	llongwei 2013-11-11 17:14 11 楼 0 本人菜鸟想问问poc 怎么利用的喷射啊？？
仙果雪币： 1489 活跃值： (955) 能力值： (RANK：860 ) 在线值：发帖 66 回帖 1509 粉丝 61 关注私信	仙果 19 2013-11-11 23:28 12 楼 0 膜拜ISNO大神
范小贩雪币： 67 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 53 粉丝 0 关注私信	范小贩 2013-11-12 09:06 13 楼 0 一直不明白如何定位的shellcode
fireworld 雪币： 185 活跃值： (405) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 329 粉丝 0 关注私信	fireworld 2013-11-12 20:33 14 楼 0 下载学习感谢楼主分享啊
zrhai 雪币： 230 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 181 粉丝 0 关注私信	zrhai 2013-11-12 22:47 15 楼 0 下载学习，多谢分享！
魔造师雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	魔造师 2013-11-13 08:27 16 楼 0 用zip把docx解压缩出来，找到ActiveX文件夹，shellocde在Active*.bin中
guobing 雪币： 7785 活跃值： (148) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 407 粉丝 0 关注私信	guobing 2013-11-13 09:36 17 楼 0 谢谢～～，解压出来看了下，好多ActiveX .bin 40个的，还是没有找到，不过这个不是重要的。呃想问，当调试这个word的时候是怎样能断到那个溢出点,这个肯定跟之前的不一样吧，比如断函数什么的，这个shellcode没什么api，比如GetFileSize，并且它还检测几个函数是否hook。不过按照lz发的那个OGL.DLL下面那个汇编码，我sxe ogl.dll 然后搜索这个模块中的特征符： 3be076ad 55 push ebp 3be076ae 8bec mov ebp,esp 3be076b0 0fb78fec000000 movzx ecx,word ptr [edi+0ECh] 它们的地址是不一样的。然后断到这，就可以分析了，准备看点tiff格式，毕竟俺刚入门，慢慢摸索。话说这个样本中的链接已经不能下载了，在temp中写了个域名访问错误的文件。还有样本有时成功有时直接就挂了，蛋疼。
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 249 粉丝 3 关注私信	blackwhite 1 2013-11-13 20:56 18 楼 0 我是来膜拜楼主的.你是我的偶象.....................................宝刀未老啊.牛!
曹小杰雪币： 19 活跃值： (100) 能力值： ( LV5，RANK：60 ) 在线值：发帖 15 回帖 59 粉丝 0 关注私信	曹小杰 1 2013-11-14 12:09 19 楼 0 菜鸟路过，如何测试POC？
rowp 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	rowp 2013-11-15 11:16 20 楼 0 activex 内存 40*20M
rekken 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	rekken 2013-11-15 12:11 21 楼 0 请问你测试时这个样本可以成功运行吗？我用xp sp2+office2010 以及xpsp3+office2007没有成功根据isno大神的分析，最后调用call dword ptr [eax+20] ;0x08080808 恰好覆盖了函数指针但我执行到这的时候，eax为0x0438a838，所以就成了call [0438a858] // 0x3be21654。不是0x08080808呀？
rowp 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	rowp 2013-11-15 15:46 22 楼 0 [QUOTE=rekken;1239590]请问你测试时这个样本可以成功运行吗？我用xp sp2+office2010 以及xpsp3+office2007没有成功根据isno大神的分析，最后调用call dword ptr [eax+20] ;0x08080808 恰好覆盖了函数指针但我执行到这的时候，eax为0x04...[/QUOTE] 跟进去呗，最后调用是在call [eax+0x28]. 纠正下，每个块2M，上面打错了
rekken 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	rekken 2013-11-15 18:02 23 楼 0 [QUOTE=rowp;1239678]跟进去呗，最后调用是在call [eax+0x28]. 纠正下，每个块2M，上面打错了[/QUOTE] call [eax+0x28] ？继续跟踪进去也没有遇到这条指令呀？后来跟踪着就崩溃到了msvcr80!leadupVec+0x52了。 isno的分析文章不是说在地址3BE2027F执行call [eax+0x20]时就会跳转到0x08080808吗？
playdong 雪币： 13 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 12 粉丝 0 关注私信	playdong 2013-11-19 17:42 24 楼 0 各位大牛，我想问一下，如果将shellcode替换的话，怎么打包回去重新生成一个*.docx呢？多谢了
范小贩雪币： 67 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 53 粉丝 0 关注私信	范小贩 2013-11-21 15:29 25 楼 0 不知道按照zip格式再压缩回去怎么样
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复