CVE-2015-3090 Exploit利用分析-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

CVE-2015-3090 Exploit利用分析

发表于: 2015-7-15 21:52 7348

CVE-2015-3090 Exploit利用分析

sushan

2015-7-15 21:52

7348

本次分析的CVE-2015-3090是对应于前几个月爆出来的Adobe Flash Player漏洞，是由于其在处理shader类中通过异步改变shader对象的width/height引发条件竞争，从而导致堆破坏，这里主要是通过覆盖某块堆中的Vector.<uint>对象的长度数值来达到成功利用，本文主要包括以下内容：
1.控制堆的布局
2.改变Vector.<uint>的长度
3.改变ByteArray结构
4.控制EIP

附件中有调试用到的文件

[课程]Android-CTF解题方法汇总！

上传的附件：

CVE-2015-3090 Exploit利用分析.doc （109.00kb，455次下载）
adobe.zip （21.52kb，270次下载）

收藏・22

免费・3

支持

最新回复 (24)
kanxue 雪币： 44229 活跃值： (19965) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 2 楼分析的不错，感谢分享！ 2015-7-15 22:34 0
joker陈雪币： 10726 活跃值： (2730) 能力值： ( LV5，RANK：71 ) 在线值：发帖 18 回帖 339 粉丝 4 关注私信	joker陈 3 楼火钳刘明。 2015-7-15 23:11 0
LessonXK 雪币： 56 活跃值： (34) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 62 粉丝 0 关注私信	LessonXK 1 4 楼感谢分享~ 2015-7-16 08:39 0
ouyangtian 雪币： 130 活跃值： (61) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	ouyangtian 5 楼顶，感谢分享 2015-7-16 08:43 0
无名侠雪币： 6890 活跃值： (8949) 能力值： ( LV17，RANK：797 ) 在线值：发帖 74 回帖 406 粉丝 564 关注私信	无名侠 12 6 楼有所耳闻。 2015-7-16 09:05 0
Concord 雪币： 27 活跃值： (597) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 134 粉丝 1 关注私信	Concord 7 楼学习了，感谢分析 2015-7-16 10:14 0
THREAD 雪币： 260 活跃值： (39) 能力值： ( LV9，RANK：144 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	THREAD 8 楼这些人 action script 用得这么熟 2015-7-16 15:17 0
tractrac 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 19 粉丝 0 关注私信	tractrac 9 楼感谢分享~ 学习了， 2015-7-16 17:43 0
fenfei 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 35 粉丝 0 关注私信	fenfei 10 楼感谢分享，先来学习一下 2015-7-16 17:48 0
dagangwood 雪币： 764 活跃值： (147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 44 粉丝 0 关注私信	dagangwood 11 楼 Thanks！！ 2015-7-17 06:33 0
Sry 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	Sry 12 楼路过拿出笔记本学习 2015-7-18 22:25 0
anywhere杨雪币： 110 活跃值： (522) 能力值： ( LV4，RANK：40 ) 在线值：发帖 56 回帖 422 粉丝 3 关注私信	anywhere杨 13 楼没看懂。 2015-7-19 12:53 0
惜u雪雪币： 189 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	惜u雪 14 楼请教下楼主，利用windbg调试Flash漏洞样本时，由于没有符号表，断点不是很好下，请问您怎么解决的？ 2015-7-19 16:17 0
maxiu 雪币： 227 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	maxiu 15 楼感谢分享 2015-7-20 20:48 0
hanfengley 雪币： 63 活跃值： (50) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	hanfengley 16 楼竟然是坛主！！ 2015-7-20 22:12 0
aliarthas 雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 26 粉丝 0 关注私信	aliarthas 17 楼听说过，先MARK 2015-7-21 19:53 0
dswang 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 55 粉丝 0 关注私信	dswang 18 楼好文章 1.控制堆的布局有一个疑问为什么能够确定异步着色会用到原来申请后释放的vector的内存空间呢？是用堆喷来保证吗？ 2015-7-22 10:52 0
sushan 雪币： 130 活跃值： (131) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 37 粉丝 0 关注私信	sushan 3 19 楼相同大小、堆管理 2015-7-22 18:34 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 20 楼感谢分享，先来学习一下 2015-7-24 16:08 0
riusksk 雪币： 433 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 252 关注私信	riusksk 41 21 楼可惜这种以后修改Vector.<uint>的长度的方式已经没法再利用了，因为adobe开始检测vector长度了。 2015-7-27 09:53 0
wingdbg 雪币： 393 活跃值： (150) 能力值： (RANK：110 ) 在线值：发帖 10 回帖 153 粉丝 9 关注私信	wingdbg 2 22 楼这么劲爆？ 2015-7-30 09:36 0
einyboy 雪币： 107 活跃值： (172) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 119 粉丝 0 关注私信	einyboy 23 楼好东西，下下来分析学习 2015-8-17 17:18 0
Keoyo 雪币： 292 活跃值： (710) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 219 粉丝 20 关注私信	Keoyo 2 24 楼说是这么说,但也有可能有绕过得方法,Win10的新机制CFG不也检测跳转地址的有效性吗？刚出来的时候说利用虚表控制EIP不行了，最后还是被绕过了。。 2015-9-5 08:47 0
riusksk 雪币： 433 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 252 关注私信	riusksk 41 25 楼已经绕过了 2015-9-6 17:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

sushan

发帖

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
kanxue 雪币： 44229 活跃值： (19965) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 2 楼分析的不错，感谢分享！ 2015-7-15 22:34 0
joker陈雪币： 10726 活跃值： (2730) 能力值： ( LV5，RANK：71 ) 在线值：发帖 18 回帖 339 粉丝 4 关注私信	joker陈 3 楼火钳刘明。 2015-7-15 23:11 0
LessonXK 雪币： 56 活跃值： (34) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 62 粉丝 0 关注私信	LessonXK 1 4 楼感谢分享~ 2015-7-16 08:39 0
ouyangtian 雪币： 130 活跃值： (61) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	ouyangtian 5 楼顶，感谢分享 2015-7-16 08:43 0
无名侠雪币： 6890 活跃值： (8949) 能力值： ( LV17，RANK：797 ) 在线值：发帖 74 回帖 406 粉丝 564 关注私信	无名侠 12 6 楼有所耳闻。 2015-7-16 09:05 0
Concord 雪币： 27 活跃值： (597) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 134 粉丝 1 关注私信	Concord 7 楼学习了，感谢分析 2015-7-16 10:14 0
THREAD 雪币： 260 活跃值： (39) 能力值： ( LV9，RANK：144 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	THREAD 8 楼这些人 action script 用得这么熟 2015-7-16 15:17 0
tractrac 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 19 粉丝 0 关注私信	tractrac 9 楼感谢分享~ 学习了， 2015-7-16 17:43 0
fenfei 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 35 粉丝 0 关注私信	fenfei 10 楼感谢分享，先来学习一下 2015-7-16 17:48 0
dagangwood 雪币： 764 活跃值： (147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 44 粉丝 0 关注私信	dagangwood 11 楼 Thanks！！ 2015-7-17 06:33 0
Sry 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	Sry 12 楼路过拿出笔记本学习 2015-7-18 22:25 0
anywhere杨雪币： 110 活跃值： (522) 能力值： ( LV4，RANK：40 ) 在线值：发帖 56 回帖 422 粉丝 3 关注私信	anywhere杨 13 楼没看懂。 2015-7-19 12:53 0
惜u雪雪币： 189 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	惜u雪 14 楼请教下楼主，利用windbg调试Flash漏洞样本时，由于没有符号表，断点不是很好下，请问您怎么解决的？ 2015-7-19 16:17 0
maxiu 雪币： 227 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	maxiu 15 楼感谢分享 2015-7-20 20:48 0
hanfengley 雪币： 63 活跃值： (50) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	hanfengley 16 楼竟然是坛主！！ 2015-7-20 22:12 0
aliarthas 雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 26 粉丝 0 关注私信	aliarthas 17 楼听说过，先MARK 2015-7-21 19:53 0
dswang 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 55 粉丝 0 关注私信	dswang 18 楼好文章 1.控制堆的布局有一个疑问为什么能够确定异步着色会用到原来申请后释放的vector的内存空间呢？是用堆喷来保证吗？ 2015-7-22 10:52 0
sushan 雪币： 130 活跃值： (131) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 37 粉丝 0 关注私信	sushan 3 19 楼相同大小、堆管理 2015-7-22 18:34 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 20 楼感谢分享，先来学习一下 2015-7-24 16:08 0
riusksk 雪币： 433 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 252 关注私信	riusksk 41 21 楼可惜这种以后修改Vector.<uint>的长度的方式已经没法再利用了，因为adobe开始检测vector长度了。 2015-7-27 09:53 0
wingdbg 雪币： 393 活跃值： (150) 能力值： (RANK：110 ) 在线值：发帖 10 回帖 153 粉丝 9 关注私信	wingdbg 2 22 楼这么劲爆？ 2015-7-30 09:36 0
einyboy 雪币： 107 活跃值： (172) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 119 粉丝 0 关注私信	einyboy 23 楼好东西，下下来分析学习 2015-8-17 17:18 0
Keoyo 雪币： 292 活跃值： (710) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 219 粉丝 20 关注私信	Keoyo 2 24 楼说是这么说,但也有可能有绕过得方法,Win10的新机制CFG不也检测跳转地址的有效性吗？刚出来的时候说利用虚表控制EIP不行了，最后还是被绕过了。。 2015-9-5 08:47 0
riusksk 雪币： 433 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 252 关注私信	riusksk 41 25 楼已经绕过了 2015-9-6 17:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复