首页
社区
课程
招聘
[原创]CVE-2014-0322 0day Exploit分析
发表于: 2014-2-17 10:55 14126

[原创]CVE-2014-0322 0day Exploit分析

2014-2-17 10:55
14126
收藏
免费 5
支持
分享
最新回复 (72)
雪    币: 190
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
51
围观大牛
2014-2-26 16:08
0
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
52
古河大牛的文章深入浅出,娓娓道来,思路清晰,读过之后能够很快理解相关的技术精华。本人属于初学者,非常喜欢这样的文章,希望大牛多出此类精品,吾辈感激不尽
2014-2-27 07:58
0
雪    币: 218
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
53
请教一下,为什么我在MSHTML!CMarkup::NotifyElementEnterTree处下断没反应啊……直接弹出错误对话框……纠结啊=。=
2014-2-27 11:00
0
雪    币: 107
活跃值: (36)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
54
本人刚接触漏洞分析,有一点不明白,为啥可以站位呢?  g_arr[a].title 和CMarkUp对象有啥关系呢? 请赐教
for(a=0;a<arrLen;++a)
{
      g_arr[a].title=d.substring(0,d.length);
}
2014-2-28 10:14
0
雪    币: 107
活跃值: (36)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
55
有一点不明白,为啥可以站位呢?  g_arr[a].title 和CMarkUp对象有啥关系呢? 请不吝赐教
2014-2-28 13:54
0
雪    币: 7
活跃值: (75)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
56
分析的如此透彻
2014-2-28 17:06
0
雪    币: 496
活跃值: (286)
能力值: ( LV13,RANK:400 )
在线值:
发帖
回帖
粉丝
57
[QUOTE=FthPku;1264487]有一点不明白,为啥可以站位呢?  g_arr[a].title 和CMarkUp对象有啥关系呢? 请不吝赐教[/QUOTE]

我的理解是:

var d = b.substring(0, (0x340 - 2) / 2);
try {
    this.outerHTML = this.outerHTML  
//这一行代码导致DOM被释放,所以在此之前的CMarkup对象就被释放了,这样之前用于存放CMarkup的内容的那些内存就被回收变为可用状态
} catch (e) {}
CollectGarbage();
for (a = 0; a < arrLen; ++a) {
    g_arr[a].title = d.substring(0, d.length);
//然后这里的代码主要是在substring这个函数中
//会重新分配N多个字符串,应该是0x250个
//每个字符串的长度是(0x360-2)/2,这样算下来就有250M多的内存
//所以就很可能使用了刚才被回收的内存
//但是同时也不要忘记
//当前函数仍然在一个Conent Change回调函数中的流程中
//所以后续继续执行这个ChangeNotify的时候会再次使用之前的CMarkup对象
//因为本次更新通知就是由于这个CMarkup内的内容变更才发起的
//所以在这里是无法知道他自身已经被释放了的。
}
2014-2-28 18:03
0
雪    币: 79
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
58
不明觉厉 顺便求样本...
2014-3-4 10:41
0
雪    币: 230
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
59
[QUOTE=FthPku;1264487]有一点不明白,为啥可以站位呢?  g_arr[a].title 和CMarkUp对象有啥关系呢? 请不吝赐教[/QUOTE]

CMarkup对象的大小是0x340,某个title刚好使用了被释放的CMarkup对象的内存。
2014-3-6 10:25
0
雪    币: 79
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
60
样本里的tope.as3是生成.swf用的么,用的什么编译的啊?
2014-3-12 09:20
0
雪    币: 79
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
61
又来请问大神 请问大神 样本里的变量都是一大串看起来像随机的 是怎么办到的
2014-3-12 14:59
0
雪    币: 50
活跃值: (10)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
62
菜鸟报到!
怎么在调试现场找到这句啊。。。
<embed src=Tope.swf width=10 height=10></embed>
怎么跟到flash执行的地方?
2014-3-24 15:19
0
雪    币: 195
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
63
V2 的长度字段已经被篡改成了一个非常大的值 0x3ffffff0 (1073741808)后,如何调试搜索指令的部分,无法中断啊,能正常中断就已经到dll加载后了,如何调试,请大牛指教。
2014-3-24 22:21
0
雪    币: 313
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
64
古河大牛就是叼。
2014-3-24 23:03
0
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
65
分析的很透彻,通俗易懂,谢谢楼主,受教了~
2014-3-27 12:23
0
雪    币: 79
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
66
大家对样本用的都是什么反编译软件啊
2014-3-31 10:39
0
雪    币: 55
活跃值: (394)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
67
样本里没有Erido.jpg呀?在哪获取Erido.jpg??
2014-4-30 12:16
0
雪    币: 55
活跃值: (394)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
68
样本里没有Erido.jpg呀?在哪获取Erido.jpg??
2014-5-3 18:14
0
雪    币: 45
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
69
求教在什么环境下成功??
我win7 english+ ie10 en(和ie10 zh)都不行~~~
2014-5-12 20:28
0
雪    币: 23
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
70
请教古河大牛怎么在IE里面调试flash文件啊?
2014-5-18 00:11
0
雪    币: 8
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
71
学习了!
2014-7-17 16:00
0
雪    币: 20
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
72
mark 陈兄厉害。感谢。明天调一遍。
2014-7-21 21:40
0
雪    币: 135
活跃值: (63)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
73
mark一下学习,好难啊。
2014-12-27 14:48
0
游客
登录 | 注册 方可回帖
返回
//