[原创]MS08-067漏洞分析（20081025）-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]MS08-067漏洞分析（20081025）

发表于: 2008-10-25 21:56 29113

[原创]MS08-067漏洞分析（20081025）

DiYhAcK

2008-10-25 21:56

29113

前天看到微软紧急发布了一个漏洞补丁，就去看了下，发现该漏洞影响覆盖面非常广，包括Windows 2000/XP/2003/Vista/2008的各个版本，甚至还包括测试阶段的Windows 7 Pre-Beta，并且漏洞存在于Windows系统默认开启的Server服务当中，而且超越了当年风靡一时的MS06-040漏洞（又想起当年用该漏洞。。。。。。。嘿嘿）。这也难怪微软打破周二发布补丁的惯例。于是下了补丁研究研究。

下完补丁，发现被打补丁的又是 Netapi32.dll，对比原文件和补丁中的文件，有问题的函数又是NetpwPathCanonicalize（MS06-040也是这个函数，具体信息请搜索）简单说下这个函数：
该函数用于标准化一个路径，一般用于本地调用，若调用者指定了一个远程计算机名将会使用RPC。

该函数能够处理的路径类型:
1.相对路径 e.g. foo\bar
2.绝对路径 e.g. \foo\bar
3.UNC 路径 e.g. \\computer\share\foo
4.全路径 e.g. d:\foo\bar

该函数声明如下：
DWORD
NetpwPathCanonicalize(
LPWSTR PathName, //需要标准化的路径
LPWSTR Outbuf, //存储标准化后的路径的Buffer
DWORD OutbufLen, //Buffer长度
LPWSTR Prefix, //可选参数，当PathName是相对路径时有用
LPDWORD PathType, //存储路径类型
DWORD Flags // 保留，为0
)

该函数中在一个循环里使用wcscpy，恶意攻击者通过构造一个精心设计的路径将使漏洞触发。

结合IDA分析该函数：(F5 + 整理 + 主要代码)

int __stdcall NetpwPathCanonicalize(LPWSTR PathName, LPWSTR Outbuf, DWORD OutbufLen, LPWSTR Prefix, LPDWORD PathType, DWORD Flags)
{
  bool v7; 
  int result; 

  v7 = !Prefix || !*Prefix;
  Prefix = (LPWSTR)*PathType;

    if ( *PathType || (result = NetpwPathType(PathName, (int)&Prefix, 0), !result) )
    {
      if ( v7 || (result = NetpwPathType(Prefix, (int)&Flags, 0), !result) )
      {
        if ( OutbufLen != 0 )
        {
          *Outbuf = 0;
          result = CanonPathName(Prefix, PathName, Outbuf, OutbufLen, 0); //核心函数，主要处理在这里，问题也出在这里
          if ( !result )
            result = NetpwPathType(Outbuf, (int)PathType, 0);
        }
        else
        {
          result = 2123;
        }
      }
    }

  return result;
}

int __stdcall CanonPathName(LPWSTR PathPrefix, LPWSTR PathName, LPWSTR Buffer, DWORD BufferSize, LPDWORD RetSize)
{
  size_t preLen;
  size_t pathLen;
  wchar_t pathBuffer[MAX_PATH*2 + 1];

  if ( PathPrefix && *PathPrefix )
  {
    preLen = wcslen(PathPrefix);
    if ( preLen != 0)
    {
      if ( preLen > 520 ) //520 = sizeof(pathBuffer) - 1
        return 0x7Bu; // ERROR_INVALID_NAME
        
      wcscpy(pathBuffer, PathPrefix);
      
      if ( pathBuffer[preLen-1] != '\\' && pathBuffer[preLen-1] != '/') //判断前缀是否以'\'或'/'结尾
      {
          wcscat(pathBuffer, L"\\");
          ++preLen;
      }
      if ( PathName[0] == '\\' || PathName[0] == '/' )
        ++pathLen;
    }
  }
  else
  {
    pathBuffer[0] = 0;
  }
  pathLen = wcslen(PathName);

  if (pathLen + preLen > sizeof(pathBuffer) - 1)
    return 0x7Bu; // ERROR_INVALID_NAME

  wcscat(pathBuffer, PathName);

  if ( pathBuffer )
  {
    do //该循环把路径中的'/'转换成'\'
    {
      if ( *pathBuffer == '/' )
        *pathBuffer = '\\';
      ++pathBuffer;
    }
    while ( *pathBuffer );
  }
  if ( !sub_71C4A2CA() && !ConPathMacros(pathBuffer) ) //ConPathMacros中存在缓冲区溢出漏洞！！！
    return 0x7Bu;
  pathLen = 2 * wcslen(&pathBuffer) + 2;
  if ( pathLen > BufferSize )
  {
    if ( RetSize )
      *RetSize = pathLen;
    result = 0x84Bu; 
  }
  else
  {
    wcscpy(Buffer, &pathBuffer);
    result = 0;
  }
  return result;
}

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

2.JPG （139.49kb，2857次下载）
MS08067.rar （114.30kb，720次下载）

收藏・46

免费・7

支持

最新回复 (73) 1 2 3 ▶
lunglungyu 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 339 粉丝 0 关注私信	lunglungyu 1 2 楼在ＤＥＢＵＧＭＡＮ看到了　可惜没威望。发到这里正好　虽然不懂漏洞利用 2008-10-25 21:58 0
warcraft 雪币： 232 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 21 回帖 357 粉丝 0 关注私信	warcraft 3 楼不错的文章简明扼要～ 2008-10-25 22:56 0
ayarei 雪币： 216 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 34 粉丝 0 关注私信	ayarei 1 4 楼还贴到这里了啊 2008-10-25 23:19 0
jinyh 雪币： 312 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 54 粉丝 0 关注私信	jinyh 5 楼 /////不顶实在不行了 ----顶后悔了,加个注释 2008-10-25 23:59 0
muwanqing 雪币： 190 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 62 回帖 165 粉丝 0 关注私信	muwanqing 6 楼可否远程溢出？？ 2008-10-26 01:06 0
raullen 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	raullen 7 楼可以指那儿打那儿 2008-10-26 08:41 0
newjueqi 雪币： 251 活跃值： (25) 能力值： ( LV9，RANK：290 ) 在线值：发帖 22 回帖 392 粉丝 2 关注私信	newjueqi 7 8 楼学习ing 2008-10-26 09:56 0
netvvqq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	netvvqq 9 楼看看会编程就是好啊 ·~~~ 抓紧学习去~~~~ 2008-10-26 14:48 0
jmpjerryy 雪币： 339 活跃值： (29) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 122 粉丝 2 关注私信	jmpjerryy 2 10 楼不顶不行。大牛这么快就出原理了。赞。学习学习 2008-10-26 15:01 0
lingaonbvm 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	lingaonbvm 11 楼 milw0rm都还没有呢，难道高手都写remote exploit去了？ 2008-10-26 15:24 0
fool 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 146 粉丝 0 关注私信	fool 12 楼占个位慢慢看~ 2008-10-26 15:55 0
glery 雪币： 233 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 156 粉丝 0 关注私信	glery 2 13 楼收藏学习 2008-10-26 16:39 0
vxasm 雪币： 2056 活跃值： (13) 能力值： ( LV13，RANK：250 ) 在线值：发帖 22 回帖 310 粉丝 1 关注私信	vxasm 6 14 楼学习，lz的动作真快。 2008-10-26 20:51 0
莽莽雪币： 179 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 120 粉丝 0 关注私信	莽莽 15 楼强贴留名哈哈 2008-10-26 21:24 0
DiYhAcK 雪币： 354 活跃值： (10) 能力值： ( LV8，RANK：120 ) 在线值：发帖 6 回帖 96 粉丝 0 关注私信	DiYhAcK 2 16 楼附件补上了。 2008-10-26 21:29 0
莽莽雪币： 179 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 120 粉丝 0 关注私信	莽莽 17 楼楼主给的地址http://www.microsoft.com/technet/sec.../MS08-067.mspx是如何变成 http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx 的呢？我直接复制 http://www.microsoft.com/technet/sec.../MS08-067.mspx到地址栏的话，访问不了。有人知道么？我用的是FireFox 3.0 2008-10-26 21:39 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 18 楼不要复制，直接点就是了。用UBB代码插入一个超链接就行了。至于显示的时候，过长的地址会自动省略掉的，论坛的程序就是这样的。 2008-10-26 22:05 0
happywrw 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	happywrw 19 楼浅显，不易懂，嘿嘿 2008-10-26 22:05 0
sungy 雪币： 547 活跃值： (2195) 能力值： ( LV7，RANK：100 ) 在线值：发帖 146 回帖 665 粉丝 31 关注私信	sungy 1 20 楼这么强的漏洞还附带利用源码，真是高人啊 2008-10-26 22:27 0
robin 雪币： 138 活跃值： (108) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	robin 1 21 楼顶···，看得真解渴！~ 2008-10-26 23:26 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 22 楼咋没人解释一下怎么构造路径会溢出啊? 貌似楼主也没真正理解啊~~ 2008-10-26 23:50 0
DiYhAcK 雪币： 354 活跃值： (10) 能力值： ( LV8，RANK：120 ) 在线值：发帖 6 回帖 96 粉丝 0 关注私信	DiYhAcK 2 23 楼构造能够触发溢出的路径在附件中已经说得很清楚了，楼上不明白的话可以自己调试跟踪一下附件中bug.cpp文件里的函数 2008-10-26 23:56 0
Aleaxander 雪币： 111 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 182 粉丝 0 关注私信	Aleaxander 1 24 楼强，学习个... 2008-10-27 00:40 0
梦魇颖雨雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 163 粉丝 0 关注私信	梦魇颖雨 25 楼支持一个 DebugMan要声望才能看见是一件非常锤子的事情!!!!!!!!!!!!!!!! 2008-10-27 00:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

DiYhAcK

发帖

回帖

120

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (73) 1 2 3 ▶
lunglungyu 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 339 粉丝 0 关注私信	lunglungyu 1 2 楼在ＤＥＢＵＧＭＡＮ看到了　可惜没威望。发到这里正好　虽然不懂漏洞利用 2008-10-25 21:58 0
warcraft 雪币： 232 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 21 回帖 357 粉丝 0 关注私信	warcraft 3 楼不错的文章简明扼要～ 2008-10-25 22:56 0
ayarei 雪币： 216 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 34 粉丝 0 关注私信	ayarei 1 4 楼还贴到这里了啊 2008-10-25 23:19 0
jinyh 雪币： 312 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 54 粉丝 0 关注私信	jinyh 5 楼 /////不顶实在不行了 ----顶后悔了,加个注释 2008-10-25 23:59 0
muwanqing 雪币： 190 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 62 回帖 165 粉丝 0 关注私信	muwanqing 6 楼可否远程溢出？？ 2008-10-26 01:06 0
raullen 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	raullen 7 楼可以指那儿打那儿 2008-10-26 08:41 0
newjueqi 雪币： 251 活跃值： (25) 能力值： ( LV9，RANK：290 ) 在线值：发帖 22 回帖 392 粉丝 2 关注私信	newjueqi 7 8 楼学习ing 2008-10-26 09:56 0
netvvqq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	netvvqq 9 楼看看会编程就是好啊 ·~~~ 抓紧学习去~~~~ 2008-10-26 14:48 0
jmpjerryy 雪币： 339 活跃值： (29) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 122 粉丝 2 关注私信	jmpjerryy 2 10 楼不顶不行。大牛这么快就出原理了。赞。学习学习 2008-10-26 15:01 0
lingaonbvm 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	lingaonbvm 11 楼 milw0rm都还没有呢，难道高手都写remote exploit去了？ 2008-10-26 15:24 0
fool 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 146 粉丝 0 关注私信	fool 12 楼占个位慢慢看~ 2008-10-26 15:55 0
glery 雪币： 233 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 156 粉丝 0 关注私信	glery 2 13 楼收藏学习 2008-10-26 16:39 0
vxasm 雪币： 2056 活跃值： (13) 能力值： ( LV13，RANK：250 ) 在线值：发帖 22 回帖 310 粉丝 1 关注私信	vxasm 6 14 楼学习，lz的动作真快。 2008-10-26 20:51 0
莽莽雪币： 179 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 120 粉丝 0 关注私信	莽莽 15 楼强贴留名哈哈 2008-10-26 21:24 0
DiYhAcK 雪币： 354 活跃值： (10) 能力值： ( LV8，RANK：120 ) 在线值：发帖 6 回帖 96 粉丝 0 关注私信	DiYhAcK 2 16 楼附件补上了。 2008-10-26 21:29 0
莽莽雪币： 179 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 120 粉丝 0 关注私信	莽莽 17 楼楼主给的地址http://www.microsoft.com/technet/sec.../MS08-067.mspx是如何变成 http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx 的呢？我直接复制 http://www.microsoft.com/technet/sec.../MS08-067.mspx到地址栏的话，访问不了。有人知道么？我用的是FireFox 3.0 2008-10-26 21:39 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 18 楼不要复制，直接点就是了。用UBB代码插入一个超链接就行了。至于显示的时候，过长的地址会自动省略掉的，论坛的程序就是这样的。 2008-10-26 22:05 0
happywrw 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	happywrw 19 楼浅显，不易懂，嘿嘿 2008-10-26 22:05 0
sungy 雪币： 547 活跃值： (2195) 能力值： ( LV7，RANK：100 ) 在线值：发帖 146 回帖 665 粉丝 31 关注私信	sungy 1 20 楼这么强的漏洞还附带利用源码，真是高人啊 2008-10-26 22:27 0
robin 雪币： 138 活跃值： (108) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	robin 1 21 楼顶···，看得真解渴！~ 2008-10-26 23:26 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 22 楼咋没人解释一下怎么构造路径会溢出啊? 貌似楼主也没真正理解啊~~ 2008-10-26 23:50 0
DiYhAcK 雪币： 354 活跃值： (10) 能力值： ( LV8，RANK：120 ) 在线值：发帖 6 回帖 96 粉丝 0 关注私信	DiYhAcK 2 23 楼构造能够触发溢出的路径在附件中已经说得很清楚了，楼上不明白的话可以自己调试跟踪一下附件中bug.cpp文件里的函数 2008-10-26 23:56 0
Aleaxander 雪币： 111 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 182 粉丝 0 关注私信	Aleaxander 1 24 楼强，学习个... 2008-10-27 00:40 0
梦魇颖雨雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 163 粉丝 0 关注私信	梦魇颖雨 25 楼支持一个 DebugMan要声望才能看见是一件非常锤子的事情!!!!!!!!!!!!!!!! 2008-10-27 00:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复