|
|
|---|---|
|
|
|
|
|
 谢谢追梦兄的鼓励,小弟一定继续努力,希望有机会多多交流哈!
|
|
|
|
|
|
一起加油,我也是自己摸索,文章写得水平一般,有机会多多交流O(∩_∩)O~
|
|
|
感谢楼主的分享~~顺便膜拜一下poc的作者....
我有幸也分析过这个poc,有几个有意思的地方不知楼主有没有注意,共同讨论一下: 1、首先楼主有没有分析为什么要用25这个数字,如果是单纯的溢出的话其它数字也是可以的。但是改为其它数字之后申请的堆空间将不会在虚表附近。 2、listoverridecount所在leveltext之前有正好有25个leveltext,然而当中的结构很“混乱”,不知是不是老外说的混淆。 3、这个poc的“{”和"}"数量不不一致.... 以上这两点我只跟了个皮毛,能力和体力有限没再细跟 ,希望楼主有精力看看。然后作者的rop链写的也很牛X 再次感谢楼主的慷慨大方。 |
|
|
谢谢海豚兄的问题,这几个问题应该都与RTF格式有关,小弟惭愧,对RTF格式的理解连皮毛都算不上,所以文章里只是满足于走通了整个触发利用过程~~~
第一个,在相关文章[1]中好像提到,listoverridecount参数的合法值应该是0,1,9吧,当时看到poc中设置为25确实疑惑了一下,不过因为当时连整个过程都没走通,所以就暂时放下了~  第二个和第三个,说实话真的没有注意到~汗颜汗颜~ ~~~当时只是找到疑似ShellCode的地方就满足了,附近的结构也只是关注了下leveloverridecount的参数, lfolevel控制字的个数以及levelold等影响伪造虚函数表的关键字及其参数~poc构造的rop链我倒是完整跟下来了,确实是膜拜啊Orz 具体的一些程序流转换实在是构思巧妙,作为安全菜鸟,能做的就是向大神学习,努力追赶吧~ 关于这个漏洞,其实小弟有一些后续的想法,分析下来发现poc利用rop链确实实现了过DEP的目的,也充分利用了MSCOMCTL没有启用ASLR的特点,但是缺点也很明显,即对版本的依赖性太强了,所以下一阶段的工作就是对这个poc进行深入分析改造,最高目标是改造成通用版本,最低目标是找到改成适应各版本的思路并实现。 技术在交流中进步。今年小弟考研,客观原因没办法。希望忙完这段时间,能够有机会和大家多多交流O(∩_∩)O~ 
|
|
|
嗯~~这个漏洞几个月前刚出来的时候跟踪了一下,但也只是跟踪了rop链和shellcode,确实版本限制比较厉害,不通用,自己也就没深入了!!希望早日看到你的通用版本,共同学习!!
|
|
|
对的,哪怕同是office2010(非14.0.7113.5001),该POC都无法利用,关键是第一步的固定地址构造太巧了,个人猜想poc作者可能也只是用作研究吧~
如果还是现在的原理,我觉得通用版本实在够呛,原因也就在于没办法随意控制第一步的固定地址,不过据说有大大将该样本改到office2007下了,希望能够共同学习
|
|
|
|
|
|
我向你学习(我很菜的),论坛还是需要你这样的人才!
|
|
|
谢谢支持哈,多提批评建议,互相交流哦~
|
|
|
。。我还真是安全新手,一直在追赶大大们,再说在这儿说人才实在太贻笑大方了~
|
|
|
|
|
|
嗯嗯,加油么么哒
|
|
|
你联系方式给我一下.
|
|
|
|
|
|
|
|
|
互相学习,互相交流哈~
|
|
|
|
|
|
互相学习,欢迎讨论批评!
|
|
|
|
|
|
|
|
|
请多指教。
|
|
|
|
