首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 二进制漏洞
    3. 发新帖
[求助]恶意文档查找shellcode被加了密
发表于: 2015-2-2 13:14 3119

[求助]恶意文档查找shellcode被加了密

靜夜星痕 活跃值
2015-2-2 13:14
3119
请问各位大牛们,我有个恶意文档是xlsx(cve-2012-0158),要找出它的shellcode起始位置,但是被加密了无法找出来,一直没有思路怎解决!有大牛可以教导一下吗?

有用windbg去做调试了两个点WinExec,GetFileSize但是看堆栈一直都是0没有任何信息

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (7)
仙果
雪    币: 1491
活跃值: (985)
能力值: (RANK:860 )
在线值:
发帖
回帖
粉丝
私信
2
定位0158漏洞触发的关键函数,在这个函数上下断点,就能跟踪到shellcode
2015-2-2 14:50
0
魔造师
雪    币: 34
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
上样本,大家一起找
2015-2-2 15:21
0
王lost
雪    币: 11
活跃值: (60)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
把POC放出来吧,我帮你定位
2015-2-2 15:22
0
Keoyo
雪    币: 292
活跃值: (800)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
5
加密的话有好多问题,你可以用Office viewer看下xls流,漏洞触发点在ctls流下面,而且excel本身有个彩蛋,密码是VelvetSweatshop,加密后的内容看不见,但是文档可以正常打开,你可以先把漏洞的MSCOMCTL.ocx删除,然后正常打开文档,之后重新设一个空密码,就可以看到解密后的文档了
2015-2-3 17:56
0
snowdbg
雪    币: 3171
活跃值: (76)
能力值: (RANK:250 )
在线值:
发帖
回帖
粉丝
私信
6
xlsx的 你可以尝试把后缀改为ZIP 然后解压出来 在里面找到漏洞空间对应的文件,然后就可以看到了
2015-2-4 09:24
0
靜夜星痕
雪    币: 100
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
感谢Keoyo大大~已经解决excel本身的彩蛋了!!
2015-2-5 07:48
0
靜夜星痕
雪    币: 100
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
感谢版大把后缀改了后已经解出一个bin档~继续分析中
2015-2-5 07:50
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//