[原创]CVE-2014-0322 0day Exploit分析-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]CVE-2014-0322 0day Exploit分析

2014-2-17 10:55 13310

[原创]CVE-2014-0322 0day Exploit分析

古河

2014-2-17 10:55

13310

查看主题内容

收藏・45

点赞・1

打赏

最新回复 (72) ◀ 1 2 3
kxzjchen 雪币： 190 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 481 粉丝 0 关注私信	kxzjchen 2014-2-26 16:08 51 楼 0 围观大牛
Ridiculous 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	Ridiculous 2014-2-27 07:58 52 楼 0 古河大牛的文章深入浅出，娓娓道来，思路清晰，读过之后能够很快理解相关的技术精华。本人属于初学者，非常喜欢这样的文章，希望大牛多出此类精品，吾辈感激不尽
破北雪币： 218 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	破北 2014-2-27 11:00 53 楼 0 请教一下，为什么我在MSHTML!CMarkup::NotifyElementEnterTree处下断没反应啊……直接弹出错误对话框……纠结啊=。=
FthPku 雪币： 107 活跃值： (36) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 76 粉丝 2 关注私信	FthPku 2014-2-28 10:14 54 楼 0 本人刚接触漏洞分析，有一点不明白，为啥可以站位呢？ g_arr[a].title 和CMarkUp对象有啥关系呢？请赐教 for(a=0;a<arrLen;++a) { g_arr[a].title=d.substring(0,d.length); }
FthPku 雪币： 107 活跃值： (36) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 76 粉丝 2 关注私信	FthPku 2014-2-28 13:54 55 楼 0 有一点不明白，为啥可以站位呢？ g_arr[a].title 和CMarkUp对象有啥关系呢？请不吝赐教
不高兴了雪币： 7 活跃值： (44) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 42 粉丝 0 关注私信	不高兴了 2014-2-28 17:06 56 楼 0 分析的如此透彻
tishion 雪币： 496 活跃值： (281) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 322 粉丝 10 关注私信	tishion 9 2014-2-28 18:03 57 楼 0 [QUOTE=FthPku;1264487]有一点不明白，为啥可以站位呢？ g_arr[a].title 和CMarkUp对象有啥关系呢？请不吝赐教[/QUOTE] 我的理解是： var d = b.substring(0, (0x340 - 2) / 2); try { this.outerHTML = this.outerHTML //这一行代码导致DOM被释放，所以在此之前的CMarkup对象就被释放了，这样之前用于存放CMarkup的内容的那些内存就被回收变为可用状态 } catch (e) {} CollectGarbage(); for (a = 0; a < arrLen; ++a) { g_arr[a].title = d.substring(0, d.length); //然后这里的代码主要是在substring这个函数中 //会重新分配N多个字符串，应该是0x250个 //每个字符串的长度是(0x360-2)/2，这样算下来就有250M多的内存 //所以就很可能使用了刚才被回收的内存 //但是同时也不要忘记 //当前函数仍然在一个Conent Change回调函数中的流程中 //所以后续继续执行这个ChangeNotify的时候会再次使用之前的CMarkup对象 //因为本次更新通知就是由于这个CMarkup内的内容变更才发起的 //所以在这里是无法知道他自身已经被释放了的。 }
黑殇雪币： 79 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 44 粉丝 0 关注私信	黑殇 2014-3-4 10:41 58 楼 0 不明觉厉顺便求样本...
lasvegas 雪币： 230 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 82 粉丝 0 关注私信	lasvegas 2014-3-6 10:25 59 楼 0 [QUOTE=FthPku;1264487]有一点不明白，为啥可以站位呢？ g_arr[a].title 和CMarkUp对象有啥关系呢？请不吝赐教[/QUOTE] CMarkup对象的大小是0x340，某个title刚好使用了被释放的CMarkup对象的内存。
黑殇雪币： 79 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 44 粉丝 0 关注私信	黑殇 2014-3-12 09:20 60 楼 0 样本里的tope.as3是生成.swf用的么，用的什么编译的啊？
黑殇雪币： 79 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 44 粉丝 0 关注私信	黑殇 2014-3-12 14:59 61 楼 0 又来请问大神请问大神样本里的变量都是一大串看起来像随机的是怎么办到的
dswang 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 56 粉丝 0 关注私信	dswang 2014-3-24 15:19 62 楼 0 菜鸟报到！怎么在调试现场找到这句啊。。。 <embed src=Tope.swf width=10 height=10></embed> 怎么跟到flash执行的地方？
skyrain 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	skyrain 2014-3-24 22:21 63 楼 0 V2 的长度字段已经被篡改成了一个非常大的值 0x3ffffff0 (1073741808)后，如何调试搜索指令的部分，无法中断啊，能正常中断就已经到dll加载后了，如何调试，请大牛指教。
奮鬥雪币： 313 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 44 粉丝 0 关注私信	奮鬥 2014-3-24 23:03 64 楼 0 古河大牛就是叼。
ymlbright 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 11 粉丝 0 关注私信	ymlbright 2014-3-27 12:23 65 楼 0 分析的很透彻,通俗易懂,谢谢楼主,受教了~
黑殇雪币： 79 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 44 粉丝 0 关注私信	黑殇 2014-3-31 10:39 66 楼 0 大家对样本用的都是什么反编译软件啊
xTback 雪币： 55 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	xTback 2014-4-30 12:16 67 楼 0 样本里没有Erido.jpg呀？在哪获取Erido.jpg？？
xTback 雪币： 55 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	xTback 2014-5-3 18:14 68 楼 0 样本里没有Erido.jpg呀？在哪获取Erido.jpg？？
llongwei 雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	llongwei 2014-5-12 20:28 69 楼 0 求教在什么环境下成功？？我win7 english+ ie10 en(和ie10 zh)都不行~~~
hacknewbie 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	hacknewbie 2014-5-18 00:11 70 楼 0 请教古河大牛怎么在IE里面调试flash文件啊？
hdkbj 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	hdkbj 2014-7-17 16:00 71 楼 0 学习了！
水寿雪币： 20 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	水寿 2014-7-21 21:40 72 楼 0 mark 陈兄厉害。感谢。明天调一遍。
fatecaster 雪币： 135 活跃值： (64) 能力值： ( LV5，RANK：60 ) 在线值：发帖 39 回帖 315 粉丝 0 关注私信	fatecaster 1 2014-12-27 14:48 73 楼 0 mark一下学习，好难啊。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

古河

发帖

132

回帖

310

RANK

关注

私信

他的文章

[原创]CVE-2014-0322 0day Exploit分析

[原创]CVE-2013-0074和Silverlight Exploit

[原创]CVE-2013-0640漏洞利用分析 - 附POC

[原创]cve-2012-1535漏洞调试分析（附样本）

关于我们

联系我们

企业服务

看雪公众号

最新回复 (72) ◀ 1 2 3
kxzjchen 雪币： 190 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 481 粉丝 0 关注私信	kxzjchen 2014-2-26 16:08 51 楼 0 围观大牛
Ridiculous 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	Ridiculous 2014-2-27 07:58 52 楼 0 古河大牛的文章深入浅出，娓娓道来，思路清晰，读过之后能够很快理解相关的技术精华。本人属于初学者，非常喜欢这样的文章，希望大牛多出此类精品，吾辈感激不尽
破北雪币： 218 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	破北 2014-2-27 11:00 53 楼 0 请教一下，为什么我在MSHTML!CMarkup::NotifyElementEnterTree处下断没反应啊……直接弹出错误对话框……纠结啊=。=
FthPku 雪币： 107 活跃值： (36) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 76 粉丝 2 关注私信	FthPku 2014-2-28 10:14 54 楼 0 本人刚接触漏洞分析，有一点不明白，为啥可以站位呢？ g_arr[a].title 和CMarkUp对象有啥关系呢？请赐教 for(a=0;a<arrLen;++a) { g_arr[a].title=d.substring(0,d.length); }
FthPku 雪币： 107 活跃值： (36) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 76 粉丝 2 关注私信	FthPku 2014-2-28 13:54 55 楼 0 有一点不明白，为啥可以站位呢？ g_arr[a].title 和CMarkUp对象有啥关系呢？请不吝赐教
不高兴了雪币： 7 活跃值： (44) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 42 粉丝 0 关注私信	不高兴了 2014-2-28 17:06 56 楼 0 分析的如此透彻
tishion 雪币： 496 活跃值： (281) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 322 粉丝 10 关注私信	tishion 9 2014-2-28 18:03 57 楼 0 [QUOTE=FthPku;1264487]有一点不明白，为啥可以站位呢？ g_arr[a].title 和CMarkUp对象有啥关系呢？请不吝赐教[/QUOTE] 我的理解是： var d = b.substring(0, (0x340 - 2) / 2); try { this.outerHTML = this.outerHTML //这一行代码导致DOM被释放，所以在此之前的CMarkup对象就被释放了，这样之前用于存放CMarkup的内容的那些内存就被回收变为可用状态 } catch (e) {} CollectGarbage(); for (a = 0; a < arrLen; ++a) { g_arr[a].title = d.substring(0, d.length); //然后这里的代码主要是在substring这个函数中 //会重新分配N多个字符串，应该是0x250个 //每个字符串的长度是(0x360-2)/2，这样算下来就有250M多的内存 //所以就很可能使用了刚才被回收的内存 //但是同时也不要忘记 //当前函数仍然在一个Conent Change回调函数中的流程中 //所以后续继续执行这个ChangeNotify的时候会再次使用之前的CMarkup对象 //因为本次更新通知就是由于这个CMarkup内的内容变更才发起的 //所以在这里是无法知道他自身已经被释放了的。 }
黑殇雪币： 79 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 44 粉丝 0 关注私信	黑殇 2014-3-4 10:41 58 楼 0 不明觉厉顺便求样本...
lasvegas 雪币： 230 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 82 粉丝 0 关注私信	lasvegas 2014-3-6 10:25 59 楼 0 [QUOTE=FthPku;1264487]有一点不明白，为啥可以站位呢？ g_arr[a].title 和CMarkUp对象有啥关系呢？请不吝赐教[/QUOTE] CMarkup对象的大小是0x340，某个title刚好使用了被释放的CMarkup对象的内存。
黑殇雪币： 79 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 44 粉丝 0 关注私信	黑殇 2014-3-12 09:20 60 楼 0 样本里的tope.as3是生成.swf用的么，用的什么编译的啊？
黑殇雪币： 79 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 44 粉丝 0 关注私信	黑殇 2014-3-12 14:59 61 楼 0 又来请问大神请问大神样本里的变量都是一大串看起来像随机的是怎么办到的
dswang 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 56 粉丝 0 关注私信	dswang 2014-3-24 15:19 62 楼 0 菜鸟报到！怎么在调试现场找到这句啊。。。 <embed src=Tope.swf width=10 height=10></embed> 怎么跟到flash执行的地方？
skyrain 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	skyrain 2014-3-24 22:21 63 楼 0 V2 的长度字段已经被篡改成了一个非常大的值 0x3ffffff0 (1073741808)后，如何调试搜索指令的部分，无法中断啊，能正常中断就已经到dll加载后了，如何调试，请大牛指教。
奮鬥雪币： 313 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 44 粉丝 0 关注私信	奮鬥 2014-3-24 23:03 64 楼 0 古河大牛就是叼。
ymlbright 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 11 粉丝 0 关注私信	ymlbright 2014-3-27 12:23 65 楼 0 分析的很透彻,通俗易懂,谢谢楼主,受教了~
黑殇雪币： 79 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 44 粉丝 0 关注私信	黑殇 2014-3-31 10:39 66 楼 0 大家对样本用的都是什么反编译软件啊
xTback 雪币： 55 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	xTback 2014-4-30 12:16 67 楼 0 样本里没有Erido.jpg呀？在哪获取Erido.jpg？？
xTback 雪币： 55 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	xTback 2014-5-3 18:14 68 楼 0 样本里没有Erido.jpg呀？在哪获取Erido.jpg？？
llongwei 雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	llongwei 2014-5-12 20:28 69 楼 0 求教在什么环境下成功？？我win7 english+ ie10 en(和ie10 zh)都不行~~~
hacknewbie 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	hacknewbie 2014-5-18 00:11 70 楼 0 请教古河大牛怎么在IE里面调试flash文件啊？
hdkbj 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	hdkbj 2014-7-17 16:00 71 楼 0 学习了！
水寿雪币： 20 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	水寿 2014-7-21 21:40 72 楼 0 mark 陈兄厉害。感谢。明天调一遍。
fatecaster 雪币： 135 活跃值： (64) 能力值： ( LV5，RANK：60 ) 在线值：发帖 39 回帖 315 粉丝 0 关注私信	fatecaster 1 2014-12-27 14:48 73 楼 0 mark一下学习，好难啊。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复