首页
社区
课程
招聘
[原创]CVE-2014-4114 SandWorm 沙虫漏洞分析报告
发表于: 2014-10-20 10:16 9485

[原创]CVE-2014-4114 SandWorm 沙虫漏洞分析报告

2014-10-20 10:16
9485
330E8D23AB82E8A0CA6D166755408EB1.ppsx.zip
│  [Content_Types].xml
│  
├─docProps
│      app.xml
│      core.xml
│      thumbnail.jpeg
│      
├─ppt
│  │  presentation.xml
│  │  presProps.xml
│  │  tableStyles.xml
│  │  viewProps.xml
│  │  
│  ├─drawings
│  │  │  vmlDrawing1.vml
│  │  │  
│  │  └─_rels
│  │          vmlDrawing1.vml.rels
│  │          
│  ├─embeddings
│  │      oleObject1.bin    [B][COLOR="Red"]嵌入的对象1,UNC地址:\\94.185.85.122\public\slide1.gif[/COLOR][/B]
│  │      oleObject2.bin    [B][COLOR="red"]嵌入的对象2,UNC地址:\\94.185.85.122\public\slides.inf[/COLOR][/B]
│  │      
│  ├─media
│  │      image1.wmf
│  │      image2.wmf
│  │      image3.gif
│  │      
│  ├─slideLayouts
│  │  │  slideLayout1.xml
│  │  │  slideLayout10.xml
│  │  │  slideLayout11.xml
│  │  │  slideLayout2.xml
│  │  │  slideLayout3.xml
│  │  │  slideLayout4.xml
│  │  │  slideLayout5.xml
│  │  │  slideLayout6.xml
│  │  │  slideLayout7.xml
│  │  │  slideLayout8.xml
│  │  │  slideLayout9.xml
│  │  │  
│  │  └─_rels
│  │          slideLayout1.xml.rels
│  │          slideLayout10.xml.rels
│  │          slideLayout11.xml.rels
│  │          slideLayout2.xml.rels
│  │          slideLayout3.xml.rels
│  │          slideLayout4.xml.rels
│  │          slideLayout5.xml.rels
│  │          slideLayout6.xml.rels
│  │          slideLayout7.xml.rels
│  │          slideLayout8.xml.rels
│  │          slideLayout9.xml.rels
│  │          
│  ├─slideMasters
│  │  │  slideMaster1.xml
│  │  │  
│  │  └─_rels
│  │          slideMaster1.xml.rels
│  │          
│  ├─slides
│  │  │  slide1.xml   [B][COLOR="red"]关键文件:其中包含了第1页幻灯片的播放动画等信息。[/COLOR][/B]
│  │  │  slide2.xml
│  │  │  slide3.xml
│  │  │  slide4.xml
│  │  │  
│  │  └─_rels
│  │          slide1.xml.rels
│  │          slide2.xml.rels
│  │          slide3.xml.rels
│  │          slide4.xml.rels
│  │          
│  ├─theme
│  │      theme1.xml
│  │      themeOverride1.xml
│  │      themeOverride2.xml
│  │      themeOverride3.xml
│  │      
│  └─_rels
│          presentation.xml.rels
│          
└─_rels
        .rels
VerbValue  Action
0  The default action for the object.
-1  Activates the object for editing. If the application that created the object supports in-place activation, the object is activated within the OLE container control.
-2  Opens the object in a separate application window. If the application that created the object supports in-place activation, the object is activated in its own window.
-3  For embedded objects, hides the application that created the object.
-4  If the object supports in-place activation, activates the object for in-place activation and shows any user interface tools. If the object doesn't support in-place activation, the object doesn't activate, and an error occurs.
-5  If the user moves the focus to the OLE container control, creates a window for the object and prepares the object to be edited. An error occurs if the object doesn't support activation on a single mouse click.
-6  Used when the object is activated for editing to discard all record of changes that the object's application can undo.

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 3
支持
分享
最新回复 (59)
雪    币: 2664
活跃值: (3395)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
2
support shineast大大!!! 学习
2014-10-20 10:21
0
雪    币: 260
活跃值: (249)
能力值: ( LV12,RANK:350 )
在线值:
发帖
回帖
粉丝
3
坐等精华~~
2014-10-20 10:25
0
雪    币: 2323
活跃值: (4118)
能力值: ( LV12,RANK:530 )
在线值:
发帖
回帖
粉丝
4
之前在百度安全中心微信上发布,不过马上就删了,没看到,现在又在看雪上看到了,多谢分享
2014-10-20 10:32
0
雪    币: 16495
活跃值: (2518)
能力值: ( LV9,RANK:147 )
在线值:
发帖
回帖
粉丝
5
前排围观学习,感谢分享
2014-10-20 10:33
0
雪    币: 6
活跃值: (1201)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
早就拿到样本了?
2014-10-20 12:29
0
雪    币: 240
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
分析的比较透彻的一个
2014-10-20 13:09
0
雪    币: 100
活跃值: (328)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
学习。。。
2014-10-20 13:16
0
雪    币: 12
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
yaseng亲友团前来支持
2014-10-20 13:31
0
雪    币: 46
活跃值: (37)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
10
带着yaseng来支持
2014-10-20 13:32
0
雪    币: 222
活跃值: (44)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
11
样本扩散的比较厉害,很容易抓到。
2014-10-20 13:43
0
雪    币: 222
活跃值: (44)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
12
谢谢!
分析得不够深入,期待大家更牛的发现。
2014-10-20 13:47
0
雪    币: 11370
活跃值: (3386)
能力值: (RANK:520 )
在线值:
发帖
回帖
粉丝
13
能发下样本不?
2014-10-20 14:49
0
雪    币: 230
活跃值: (106)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
之前分析也没仔细研究 inf 是如何执行起来的,
学习了,多谢分享!
2014-10-20 15:30
0
雪    币: 222
活跃值: (44)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
15
卡饭上已经可以下载这个样本了。
http://bbs.kafan.cn/thread-1778851-1-1.html
2014-10-20 17:02
0
雪    币: 79
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
请教楼主,为什么直接改bin里面的IP,实验不成功,嵌入的那两个对象是怎么生成的
2014-10-20 17:16
0
雪    币: 56
活跃值: (34)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
17
多谢分享~
2014-10-20 18:42
0
雪    币: 222
活跃值: (44)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
18
你改了ip,例如127.0.0.1,然后需要在本地开一个共享,UNC路径要可以访问下载。
两个对象的嵌入方法非常简单,直接拖到ppt第一页即可。
2014-10-20 19:22
0
雪    币: 219
活跃值: (848)
能力值: (RANK:290 )
在线值:
发帖
回帖
粉丝
19
支持1!!@
2014-10-20 19:28
0
雪    币: 6
活跃值: (1201)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
卡饭无阅读权限,能否本地备份一份啊
2014-10-20 20:42
0
雪    币: 79
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
谢谢楼主解答,我第二个问题不是想问怎么嵌入的,是想问这两个对象嵌入之前是什么。还有不用UNC的话直接用IIS好像不可以,求解释
2014-10-21 08:11
0
雪    币: 213
活跃值: (90)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
请教:请问通过什么协议下载的文件  \\94.185.85.122\public\slides.inf?多谢了
2014-10-21 09:07
0
雪    币: 45
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
谁能 帮忙分享个样本吗??卡饭 没账号,下载不了,先谢谢了
2014-10-21 09:31
0
雪    币: 11217
活跃值: (17796)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
来看一看,了解一下情况
2014-10-21 10:51
0
雪    币: 10
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
当ppsx播放时这两个文件会被自动下载到临时目录 %TEMP% 下,不知道下载在哪个目录下了,能请教一下吗?
新手,刚开始调漏洞,还要往这个漏洞里注入东西。
2014-10-21 15:41
0
游客
登录 | 注册 方可回帖
返回
//