首页
社区
课程
招聘
[原创]CVE-2014-1761分析笔记
发表于: 2014-9-16 22:29 9284

[原创]CVE-2014-1761分析笔记

2014-9-16 22:29
9284

小弟第一次尝试独力分析漏洞,贡献小菜文一篇,水平有限,如有谬误,恳请各位大大批评指正。

附件包括:cve-2014-1761分析笔记(含格式转换小程序),
               调试用poc,
               相关外文两篇及翻译,
               RTF格式官方文档


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 3
支持
分享
最新回复 (40)
雪    币: 4
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
谢谢分享,分析的不错,继续加油哈!
2014-9-16 23:09
0
雪    币: 1784
活跃值: (512)
能力值: ( LV12,RANK:310 )
在线值:
发帖
回帖
粉丝
3
谢谢追梦兄的鼓励,小弟一定继续努力,希望有机会多多交流哈!
2014-9-17 08:08
0
雪    币: 135
活跃值: (63)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
4
学习,我也刚开始学这个,晚上忙完就看看这么弄的。
2014-9-17 08:35
0
雪    币: 1784
活跃值: (512)
能力值: ( LV12,RANK:310 )
在线值:
发帖
回帖
粉丝
5
一起加油,我也是自己摸索,文章写得水平一般,有机会多多交流O(∩_∩)O~
2014-9-17 09:05
0
雪    币: 20
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
6
感谢楼主的分享~~顺便膜拜一下poc的作者....

我有幸也分析过这个poc,有几个有意思的地方不知楼主有没有注意,共同讨论一下:
1、首先楼主有没有分析为什么要用25这个数字,如果是单纯的溢出的话其它数字也是可以的。但是改为其它数字之后申请的堆空间将不会在虚表附近。
2、listoverridecount所在leveltext之前有正好有25个leveltext,然而当中的结构很“混乱”,不知是不是老外说的混淆。
3、这个poc的“{”和"}"数量不不一致....
以上这两点我只跟了个皮毛,能力和体力有限没再细跟,希望楼主有精力看看。然后作者的rop链写的也很牛X

再次感谢楼主的慷慨大方。
2014-9-17 10:42
0
雪    币: 1784
活跃值: (512)
能力值: ( LV12,RANK:310 )
在线值:
发帖
回帖
粉丝
7
谢谢海豚兄的问题,这几个问题应该都与RTF格式有关,小弟惭愧,对RTF格式的理解连皮毛都算不上,所以文章里只是满足于走通了整个触发利用过程~~~

第一个,在相关文章[1]中好像提到,listoverridecount参数的合法值应该是0,1,9吧,当时看到poc中设置为25确实疑惑了一下,不过因为当时连整个过程都没走通,所以就暂时放下了~

第二个和第三个,说实话真的没有注意到~汗颜汗颜~~~~当时只是找到疑似ShellCode的地方就满足了,附近的结构也只是关注了下leveloverridecount的参数, lfolevel控制字的个数以及levelold等影响伪造虚函数表的关键字及其参数~

poc构造的rop链我倒是完整跟下来了,确实是膜拜啊Orz 具体的一些程序流转换实在是构思巧妙,作为安全菜鸟,能做的就是向大神学习,努力追赶吧~

关于这个漏洞,其实小弟有一些后续的想法,分析下来发现poc利用rop链确实实现了过DEP的目的,也充分利用了MSCOMCTL没有启用ASLR的特点,但是缺点也很明显,即对版本的依赖性太强了,所以下一阶段的工作就是对这个poc进行深入分析改造,最高目标是改造成通用版本,最低目标是找到改成适应各版本的思路并实现。

技术在交流中进步。今年小弟考研,客观原因没办法。希望忙完这段时间,能够有机会和大家多多交流O(∩_∩)O~
2014-9-17 11:09
0
雪    币: 45
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
嗯~~这个漏洞几个月前刚出来的时候跟踪了一下,但也只是跟踪了rop链和shellcode,确实版本限制比较厉害,不通用,自己也就没深入了!!希望早日看到你的通用版本,共同学习!!
2014-9-17 14:54
0
雪    币: 1784
活跃值: (512)
能力值: ( LV12,RANK:310 )
在线值:
发帖
回帖
粉丝
9
对的,哪怕同是office2010(非14.0.7113.5001),该POC都无法利用,关键是第一步的固定地址构造太巧了,个人猜想poc作者可能也只是用作研究吧~

如果还是现在的原理,我觉得通用版本实在够呛,原因也就在于没办法随意控制第一步的固定地址,不过据说有大大将该样本改到office2007下了,希望能够共同学习
2014-9-17 15:25
0
雪    币: 202
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
先下载拜读下
2014-9-18 22:42
0
雪    币: 4
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
我向你学习(我很菜的),论坛还是需要你这样的人才!
2014-9-19 02:05
0
雪    币: 1784
活跃值: (512)
能力值: ( LV12,RANK:310 )
在线值:
发帖
回帖
粉丝
12
谢谢支持哈,多提批评建议,互相交流哦~
2014-9-19 08:16
0
雪    币: 1784
活跃值: (512)
能力值: ( LV12,RANK:310 )
在线值:
发帖
回帖
粉丝
13
。。我还真是安全新手,一直在追赶大大们,再说在这儿说人才实在太贻笑大方了~
2014-9-19 08:18
0
雪    币: 4
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
一起学习吧,最近打算认真学习android安全
2014-9-25 23:29
0
雪    币: 1784
活跃值: (512)
能力值: ( LV12,RANK:310 )
在线值:
发帖
回帖
粉丝
15
嗯嗯,加油么么哒
2014-9-26 08:15
0
雪    币: 4
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
你联系方式给我一下.
2014-9-27 22:51
0
雪    币: 1784
活跃值: (512)
能力值: ( LV12,RANK:310 )
在线值:
发帖
回帖
粉丝
17
额,就在看雪上联系吧,其他联系方式都不太方便~
2014-9-28 07:54
0
雪    币: 56
活跃值: (34)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
18
向楼主学习了,可以多多交流
2014-9-28 08:20
0
雪    币: 1784
活跃值: (512)
能力值: ( LV12,RANK:310 )
在线值:
发帖
回帖
粉丝
19
互相学习,互相交流哈~
2014-9-28 16:48
0
雪    币: 218
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
学习中!
2014-9-28 17:26
0
雪    币: 1784
活跃值: (512)
能力值: ( LV12,RANK:310 )
在线值:
发帖
回帖
粉丝
21
互相学习,欢迎讨论批评!
2014-9-29 08:03
0
雪    币: 4
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
ok!..
2014-9-29 10:51
0
雪    币: 23
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
学习了。
2014-10-5 19:20
0
雪    币: 1784
活跃值: (512)
能力值: ( LV12,RANK:310 )
在线值:
发帖
回帖
粉丝
24
请多指教。
2014-10-9 15:12
0
雪    币: 452
活跃值: (130)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
25
在对软件结构不熟悉的情况下,仅仅通过样本来分析漏洞,博主给出了很好的方法。点赞。
2014-10-9 16:06
0
游客
登录 | 注册 方可回帖
返回
//