能力值:
( LV8,RANK:130 )
|
-
-
26 楼
特来支持!
|
能力值:
( LV10,RANK:170 )
|
-
-
27 楼
就是临时目录啊。
在win7下,就是 C:\Users\{username}\AppData\Local\Temp
|
能力值:
( LV2,RANK:10 )
|
-
-
28 楼
发现TEMP没有,难道是我的样本不对吗或是没有搭建服务器之类的?
样本的hash:70b8d220469c8071029795d32ea91829f683e3fbbaa8b978a31a0974daee8aaf
我运行样本后,程序直接崩溃了。
Packager.dll的一个函数将这两个文件从网络上下载下来并保存在临时目录中,该函数是CPackage::OLE2MPlayerReadFromStream,用什么工具查看这个函数?
|
能力值:
( LV2,RANK:10 )
|
-
-
29 楼
话说这个\\94.185.85.122\public\slides.inf是UNC路径的话是怎么做到在外网下载的,求大腿解释
|
能力值:
( LV10,RANK:170 )
|
-
-
30 楼
当然是用IDA啦
|
能力值:
( LV2,RANK:10 )
|
-
-
31 楼
好东西,,多谢分享...
|
能力值:
( LV2,RANK:10 )
|
-
-
32 楼
哦哦,好,我试试,多谢,另外要往这个漏洞里注入东西应该怎么做,像弹出会话框之类的。
|
能力值:
( LV2,RANK:10 )
|
-
-
33 楼
直接改嵌入对象的地址,攻击是不是就不能执行了?
|
能力值:
( LV2,RANK:10 )
|
-
-
34 楼
卡饭没有权限,能不能直接发个附件呢,非常感谢
|
能力值:
( LV2,RANK:10 )
|
-
-
35 楼
楼主分析里说的自己生成的PPT里的slide1.xml,为什么添上了少的那几条语句,PPT第一页直接损坏了呢
|
能力值:
( LV4,RANK:50 )
|
-
-
36 楼
我看了翰海源和安天的分析,有个关键的地方没弄明白,为什么都要说\\x.x.x.x\xx.inf这个文件的地址是WEBDAV地址,我看明明只能是UNC地址的.这对攻击的场景还是有很大关系的.
|
能力值:
( LV8,RANK:130 )
|
-
-
37 楼
http://blog.xecure-lab.com/2014/10/cve-2014-4114-pptx-apt-xecure-lab.html
现在有不需要远程下载,直接把exe内嵌在pptx里的了。
不过这个CompObj stream我没搞明白怎么用,谁有内嵌版的样本啊?
|
能力值:
( LV4,RANK:50 )
|
-
-
38 楼
打开的时候咋个还是有个提示哦。
|
能力值:
( LV2,RANK:10 )
|
-
-
39 楼
我传一下我下载的样本,不会调这个漏洞,求助!!!
|
能力值:
( LV2,RANK:10 )
|
-
-
40 楼
改IP后,文件就损坏了,不能执行了,要怎么改这个IP?
|
能力值:
( LV2,RANK:10 )
|
-
-
41 楼
|
能力值:
( LV4,RANK:50 )
|
-
-
42 楼
你妹的。。。。楼主这个洞你还是没分析完全哈。
除了VERB这儿还有个关键地方。
|
能力值:
( LV4,RANK:50 )
|
-
-
43 楼
总结了一下关键要点
远程利用方式:
两个要点:
1.要修改CMD为3,也就是执行右键菜单的第二项,执行第一项也就默认的打开是有提示的.
2.要修改OLE对象的CLSID为{00022602-0000-0000-C000-000000000046},这样在实际数据中才能以UNC路径(注意不是WEBDAV)方式引用INF文件,同时可以跳过下载文件提示(makefileunsafe),因为程序把UNC路径当成的本地文件!
-----------
本地利用方式:
1.修改CMD同上
2.本地方式只能绑EXE,本地方式不能跳过下载文件提示,但是如果是绑EXE(菜单项第二项为以管理员方式运行),如果有UAC则提示UAC,如果没有UAC则EXE可直接运行!
-----------
结论:比较鸡肋的漏洞!
|
能力值:
( LV2,RANK:10 )
|
-
-
44 楼
现在把public目录下的东西放在自己的主机上了(之前的链接已经失效了),然后把地址改为自己主机的位置了,但是把样本修改后就无法运行了,不知道什么原因,求大神指导。
|
能力值:
( LV4,RANK:50 )
|
-
-
45 楼
要重新打包。用WINRAR就可以
|
能力值:
( LV2,RANK:10 )
|
-
-
46 楼
WINRAR是哪个版本的,试了好几个压缩软件都不行,压缩回去就打不开了。
|
能力值:
( LV2,RANK:10 )
|
-
-
47 楼
我传一个我修改对象地址后的压缩包,麻烦帮我看看怎么才能运行。谢谢!!!
|
能力值:
( LV2,RANK:10 )
|
-
-
48 楼
|
能力值:
( LV3,RANK:30 )
|
-
-
49 楼
这东西,从资源管控角度讲,office系列软件是不该生成exe文件的,一旦生成,直接拦截并报警,一样可以起到防御效果,不过某些喜欢搞所谓 技术流的,这么高深的玩玩倒也可以
|
能力值:
( LV2,RANK:10 )
|
-
-
50 楼
新人菜鸟求教,为什么我打不开修改后的ppt提示: 无法打开演示文稿。防病毒程序可能阻止您打开此演示文稿。若要解决此问题,请确保防病毒程序为最新版本并且运行正常。如果问题仍然存在,并且该演示文稿来自您信任的人员,请关闭防病毒程序,然后重新尝试打开演示文稿。如果执行此操作,则在打开了演示文稿之后,请务必重新打开防病毒软件。
但是我虚拟机上没有杀毒软件,防火墙关了也不行,我用的是office2010
|
|
|