[原创]CVE-2014-0322 0day Exploit分析-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]CVE-2014-0322 0day Exploit分析

发表于: 2014-2-17 10:55 14126

[原创]CVE-2014-0322 0day Exploit分析

古河

2014-2-17 10:55

14126

查看主题内容

收藏・44

免费・5

支持

最新回复 (72) ◀ 1 2 3
kxzjchen 雪币： 190 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 470 粉丝 0 关注私信	kxzjchen 51 楼围观大牛 2014-2-26 16:08 0
Ridiculous 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	Ridiculous 52 楼古河大牛的文章深入浅出，娓娓道来，思路清晰，读过之后能够很快理解相关的技术精华。本人属于初学者，非常喜欢这样的文章，希望大牛多出此类精品，吾辈感激不尽 2014-2-27 07:58 0
破北雪币： 218 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	破北 53 楼请教一下，为什么我在MSHTML!CMarkup::NotifyElementEnterTree处下断没反应啊……直接弹出错误对话框……纠结啊=。= 2014-2-27 11:00 0
FthPku 雪币： 107 活跃值： (36) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 75 粉丝 2 关注私信	FthPku 54 楼本人刚接触漏洞分析，有一点不明白，为啥可以站位呢？ g_arr[a].title 和CMarkUp对象有啥关系呢？请赐教 for(a=0;a<arrLen;++a) { g_arr[a].title=d.substring(0,d.length); } 2014-2-28 10:14 0
FthPku 雪币： 107 活跃值： (36) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 75 粉丝 2 关注私信	FthPku 55 楼有一点不明白，为啥可以站位呢？ g_arr[a].title 和CMarkUp对象有啥关系呢？请不吝赐教 2014-2-28 13:54 0
不高兴了雪币： 7 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	不高兴了 56 楼分析的如此透彻 2014-2-28 17:06 0
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 57 楼 [QUOTE=FthPku;1264487]有一点不明白，为啥可以站位呢？ g_arr[a].title 和CMarkUp对象有啥关系呢？请不吝赐教[/QUOTE] 我的理解是： var d = b.substring(0, (0x340 - 2) / 2); try { this.outerHTML = this.outerHTML //这一行代码导致DOM被释放，所以在此之前的CMarkup对象就被释放了，这样之前用于存放CMarkup的内容的那些内存就被回收变为可用状态 } catch (e) {} CollectGarbage(); for (a = 0; a < arrLen; ++a) { g_arr[a].title = d.substring(0, d.length); //然后这里的代码主要是在substring这个函数中 //会重新分配N多个字符串，应该是0x250个 //每个字符串的长度是(0x360-2)/2，这样算下来就有250M多的内存 //所以就很可能使用了刚才被回收的内存 //但是同时也不要忘记 //当前函数仍然在一个Conent Change回调函数中的流程中 //所以后续继续执行这个ChangeNotify的时候会再次使用之前的CMarkup对象 //因为本次更新通知就是由于这个CMarkup内的内容变更才发起的 //所以在这里是无法知道他自身已经被释放了的。 } 2014-2-28 18:03 0
黑殇雪币： 79 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 47 粉丝 0 关注私信	黑殇 58 楼不明觉厉顺便求样本... 2014-3-4 10:41 0
lasvegas 雪币： 230 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 81 粉丝 0 关注私信	lasvegas 59 楼 [QUOTE=FthPku;1264487]有一点不明白，为啥可以站位呢？ g_arr[a].title 和CMarkUp对象有啥关系呢？请不吝赐教[/QUOTE] CMarkup对象的大小是0x340，某个title刚好使用了被释放的CMarkup对象的内存。 2014-3-6 10:25 0
黑殇雪币： 79 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 47 粉丝 0 关注私信	黑殇 60 楼样本里的tope.as3是生成.swf用的么，用的什么编译的啊？ 2014-3-12 09:20 0
黑殇雪币： 79 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 47 粉丝 0 关注私信	黑殇 61 楼又来请问大神请问大神样本里的变量都是一大串看起来像随机的是怎么办到的 2014-3-12 14:59 0
dswang 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 55 粉丝 0 关注私信	dswang 62 楼菜鸟报到！怎么在调试现场找到这句啊。。。 <embed src=Tope.swf width=10 height=10></embed> 怎么跟到flash执行的地方？ 2014-3-24 15:19 0
skyrain 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	skyrain 63 楼 V2 的长度字段已经被篡改成了一个非常大的值 0x3ffffff0 (1073741808)后，如何调试搜索指令的部分，无法中断啊，能正常中断就已经到dll加载后了，如何调试，请大牛指教。 2014-3-24 22:21 0
奮鬥雪币： 313 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 44 粉丝 0 关注私信	奮鬥 64 楼古河大牛就是叼。 2014-3-24 23:03 0
ymlbright 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 11 粉丝 0 关注私信	ymlbright 65 楼分析的很透彻,通俗易懂,谢谢楼主,受教了~ 2014-3-27 12:23 0
黑殇雪币： 79 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 47 粉丝 0 关注私信	黑殇 66 楼大家对样本用的都是什么反编译软件啊 2014-3-31 10:39 0
xTback 雪币： 55 活跃值： (394) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	xTback 67 楼样本里没有Erido.jpg呀？在哪获取Erido.jpg？？ 2014-4-30 12:16 0
xTback 雪币： 55 活跃值： (394) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	xTback 68 楼样本里没有Erido.jpg呀？在哪获取Erido.jpg？？ 2014-5-3 18:14 0
llongwei 雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	llongwei 69 楼求教在什么环境下成功？？我win7 english+ ie10 en(和ie10 zh)都不行~~~ 2014-5-12 20:28 0
hacknewbie 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	hacknewbie 70 楼请教古河大牛怎么在IE里面调试flash文件啊？ 2014-5-18 00:11 0
hdkbj 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	hdkbj 71 楼学习了！ 2014-7-17 16:00 0
水寿雪币： 20 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	水寿 72 楼 mark 陈兄厉害。感谢。明天调一遍。 2014-7-21 21:40 0
fatecaster 雪币： 135 活跃值： (63) 能力值： ( LV5，RANK：60 ) 在线值：发帖 39 回帖 314 粉丝 0 关注私信	fatecaster 1 73 楼 mark一下学习，好难啊。 2014-12-27 14:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

古河

发帖

132

回帖

310

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (72) ◀ 1 2 3
kxzjchen 雪币： 190 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 470 粉丝 0 关注私信	kxzjchen 51 楼围观大牛 2014-2-26 16:08 0
Ridiculous 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	Ridiculous 52 楼古河大牛的文章深入浅出，娓娓道来，思路清晰，读过之后能够很快理解相关的技术精华。本人属于初学者，非常喜欢这样的文章，希望大牛多出此类精品，吾辈感激不尽 2014-2-27 07:58 0
破北雪币： 218 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	破北 53 楼请教一下，为什么我在MSHTML!CMarkup::NotifyElementEnterTree处下断没反应啊……直接弹出错误对话框……纠结啊=。= 2014-2-27 11:00 0
FthPku 雪币： 107 活跃值： (36) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 75 粉丝 2 关注私信	FthPku 54 楼本人刚接触漏洞分析，有一点不明白，为啥可以站位呢？ g_arr[a].title 和CMarkUp对象有啥关系呢？请赐教 for(a=0;a<arrLen;++a) { g_arr[a].title=d.substring(0,d.length); } 2014-2-28 10:14 0
FthPku 雪币： 107 活跃值： (36) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 75 粉丝 2 关注私信	FthPku 55 楼有一点不明白，为啥可以站位呢？ g_arr[a].title 和CMarkUp对象有啥关系呢？请不吝赐教 2014-2-28 13:54 0
不高兴了雪币： 7 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	不高兴了 56 楼分析的如此透彻 2014-2-28 17:06 0
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 57 楼 [QUOTE=FthPku;1264487]有一点不明白，为啥可以站位呢？ g_arr[a].title 和CMarkUp对象有啥关系呢？请不吝赐教[/QUOTE] 我的理解是： var d = b.substring(0, (0x340 - 2) / 2); try { this.outerHTML = this.outerHTML //这一行代码导致DOM被释放，所以在此之前的CMarkup对象就被释放了，这样之前用于存放CMarkup的内容的那些内存就被回收变为可用状态 } catch (e) {} CollectGarbage(); for (a = 0; a < arrLen; ++a) { g_arr[a].title = d.substring(0, d.length); //然后这里的代码主要是在substring这个函数中 //会重新分配N多个字符串，应该是0x250个 //每个字符串的长度是(0x360-2)/2，这样算下来就有250M多的内存 //所以就很可能使用了刚才被回收的内存 //但是同时也不要忘记 //当前函数仍然在一个Conent Change回调函数中的流程中 //所以后续继续执行这个ChangeNotify的时候会再次使用之前的CMarkup对象 //因为本次更新通知就是由于这个CMarkup内的内容变更才发起的 //所以在这里是无法知道他自身已经被释放了的。 } 2014-2-28 18:03 0
黑殇雪币： 79 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 47 粉丝 0 关注私信	黑殇 58 楼不明觉厉顺便求样本... 2014-3-4 10:41 0
lasvegas 雪币： 230 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 81 粉丝 0 关注私信	lasvegas 59 楼 [QUOTE=FthPku;1264487]有一点不明白，为啥可以站位呢？ g_arr[a].title 和CMarkUp对象有啥关系呢？请不吝赐教[/QUOTE] CMarkup对象的大小是0x340，某个title刚好使用了被释放的CMarkup对象的内存。 2014-3-6 10:25 0
黑殇雪币： 79 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 47 粉丝 0 关注私信	黑殇 60 楼样本里的tope.as3是生成.swf用的么，用的什么编译的啊？ 2014-3-12 09:20 0
黑殇雪币： 79 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 47 粉丝 0 关注私信	黑殇 61 楼又来请问大神请问大神样本里的变量都是一大串看起来像随机的是怎么办到的 2014-3-12 14:59 0
dswang 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 55 粉丝 0 关注私信	dswang 62 楼菜鸟报到！怎么在调试现场找到这句啊。。。 <embed src=Tope.swf width=10 height=10></embed> 怎么跟到flash执行的地方？ 2014-3-24 15:19 0
skyrain 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	skyrain 63 楼 V2 的长度字段已经被篡改成了一个非常大的值 0x3ffffff0 (1073741808)后，如何调试搜索指令的部分，无法中断啊，能正常中断就已经到dll加载后了，如何调试，请大牛指教。 2014-3-24 22:21 0
奮鬥雪币： 313 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 44 粉丝 0 关注私信	奮鬥 64 楼古河大牛就是叼。 2014-3-24 23:03 0
ymlbright 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 11 粉丝 0 关注私信	ymlbright 65 楼分析的很透彻,通俗易懂,谢谢楼主,受教了~ 2014-3-27 12:23 0
黑殇雪币： 79 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 47 粉丝 0 关注私信	黑殇 66 楼大家对样本用的都是什么反编译软件啊 2014-3-31 10:39 0
xTback 雪币： 55 活跃值： (394) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	xTback 67 楼样本里没有Erido.jpg呀？在哪获取Erido.jpg？？ 2014-4-30 12:16 0
xTback 雪币： 55 活跃值： (394) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	xTback 68 楼样本里没有Erido.jpg呀？在哪获取Erido.jpg？？ 2014-5-3 18:14 0
llongwei 雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	llongwei 69 楼求教在什么环境下成功？？我win7 english+ ie10 en(和ie10 zh)都不行~~~ 2014-5-12 20:28 0
hacknewbie 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	hacknewbie 70 楼请教古河大牛怎么在IE里面调试flash文件啊？ 2014-5-18 00:11 0
hdkbj 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	hdkbj 71 楼学习了！ 2014-7-17 16:00 0
水寿雪币： 20 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	水寿 72 楼 mark 陈兄厉害。感谢。明天调一遍。 2014-7-21 21:40 0
fatecaster 雪币： 135 活跃值： (63) 能力值： ( LV5，RANK：60 ) 在线值：发帖 39 回帖 314 粉丝 0 关注私信	fatecaster 1 73 楼 mark一下学习，好难啊。 2014-12-27 14:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复