首页
论坛
课程
招聘
[原创]CVE-2013-0640漏洞利用分析 - 附POC
2013-2-22 08:11 18464

[原创]CVE-2013-0640漏洞利用分析 - 附POC

2013-2-22 08:11
18464

古河@pediy.com
新浪微博 @古河120,欢迎交流、互粉,谢绝搅基
http://weibo.com/1874932054


原文太长,我慢慢整理排版,请大家先看pdf版本

           

摘要

在最近的pdf 0day漏洞攻击中,同一个样本使用了两个漏洞。其中一个是CVE-2013-0640,这个漏洞存在于Adode的XFA(XML Forms Architecture)处理模块AcroForm.api中,该漏洞被用于得到任意代码的执行权限。另一个是CVE-2013-0641, 该漏洞存在于Adobe sandbox的broker进程中,用于从sandbox中逃逸,获取高权限。

关于CVE-2013-0641,国内外的安全研究人员已经有很详细的分析了,本文就不再赘述:

http://blog.vulnhunt.com/index.php/2013/02/21/cve-2013-0641-analysis-of-acrobat-reader-sandbox-escape/
http://blogs.mcafee.com/mcafee-labs/digging-into-the-sandbox-escape-technique-of-the-recent-pdf-exploit.

在对该样本的分析过程中,我们发现该样本为了能在开启了DEP和ASLR的机器上成功exploit,首先会利用CVE-2013-0640泄露AcroForm.api的基地址,接着使用这个基地址构造ROP,突破DEP的防护。

本文将着重分析CVE-2013-0640这个漏洞,包括触发方式、触发后产生的效果、以及该样本如何利用这个漏洞来泄露AcroForm.api的基地址。本文不会讨论基址泄露后的ROP构造问题。同时我们在附件中提供了2个POC文件,其中一个名为”crash.pdf”,用于演示如何使用CVE-2013-0640来控制EIP,另一个名为”leak.pdf”,用于演示如何利用该地址来泄露AcroForm.api的基地址。

请注意: 本文在调试原始样本以及构造POC的过程中,使用的是Windows XP SP3英文版,以及Adobe Reader 11.0.1,如果换其他Windows版本或者Adobe Reader版本,POC可能会无法正常工作。最后,本文分析的样本来自互联网,本文提供的POC仅供交流学习目的,请勿将其用于非法用途,由此造成的后果,与作者无关。
另由于笔者自身水平有限,文中难免疏漏错误之处,欢迎大家批评指正!


POC密码为: virus

CVE-2013-0640分析.pdf
poc.zip

[注意] 欢迎加入看雪团队!base上海,招聘CTF安全工程师,将兴趣和工作融合在一起!看雪20年安全圈的口碑,助你快速成长!

上传的附件:
收藏
点赞1
打赏
分享
最新回复 (44)
雪    币: 83
活跃值: 活跃值 (22)
能力值: ( LV13,RANK:220 )
在线值:
发帖
回帖
粉丝
instruder 活跃值 4 2013-2-22 08:51
2
0
沙发啊 啊 顶
雪    币: 67
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
范小贩 活跃值 2013-2-22 08:52
3
0
楼主好人啊,更是牛人
雪    币: 67
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
范小贩 活跃值 2013-2-22 08:53
4
0
你牛,我看完以为自己是第一个看到的
雪    币: 232
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ymxia 活跃值 2013-2-22 09:09
5
0
先膜拜大牛 再慢慢看!
雪    币: 26
活跃值: 活跃值 (844)
能力值: ( LV17,RANK:1820 )
在线值:
发帖
回帖
粉丝
riusksk 活跃值 41 2013-2-22 09:26
6
0
最近的pdf、swf 0day都是用地址泄露来绕过ASLR了,已成主流了
雪    币: 1356
活跃值: 活跃值 (387)
能力值: (RANK:860 )
在线值:
发帖
回帖
粉丝
仙果 活跃值 19 2013-2-22 09:28
7
0
谢谢。古河的文章
雪    币: 1066
活跃值: 活跃值 (91)
能力值: (RANK:210 )
在线值:
发帖
回帖
粉丝
zhuliang 活跃值 5 2013-2-22 09:36
8
0
好文,感谢陈兄!
雪    币: 427
活跃值: 活跃值 (21)
能力值: ( LV12,RANK:230 )
在线值:
发帖
回帖
粉丝
cscoder 活跃值 5 2013-2-22 09:45
9
0
非常感谢古河的分享!
雪    币: 199
活跃值: 活跃值 (25)
能力值: ( LV10,RANK:160 )
在线值:
发帖
回帖
粉丝
hellok 活跃值 3 2013-2-22 09:48
10
0
围观学习~~~~~
雪    币: 562
活跃值: 活跃值 (28)
能力值: ( LV11,RANK:190 )
在线值:
发帖
回帖
粉丝
promsied 活跃值 4 2013-2-22 10:05
11
0
先回帖再学习
雪    币: 19
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Artmiss 活跃值 2013-2-22 10:18
12
0
后排占位学习~
雪    币: 106
活跃值: 活跃值 (210)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Fido 活跃值 2013-2-22 10:19
13
0
谢谢分享..这个不顶不行啊....很强大的说...
雪    币: 578
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
BMZYNX 活跃值 1 2013-2-22 10:26
14
0
感谢、下载学习~
雪    币: 321
活跃值: 活跃值 (16)
能力值: ( LV2,RANK:150 )
在线值:
发帖
回帖
粉丝
cmdhz 活跃值 3 2013-2-22 10:35
15
0
顶古河牛。认真学习。
雪    币: 62
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
南宫世家 活跃值 2013-2-22 10:43
16
0
学习。。。。。。太厉害。。
雪    币: 793
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
happymhx 活跃值 2013-2-22 11:17
17
0
感谢分享,学习了!
雪    币: 284
活跃值: 活跃值 (34)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
darkplayer 活跃值 2013-2-22 13:30
18
0
mark.mark.
雪    币: 4
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
lideq 活跃值 2013-2-22 15:23
19
0
谢谢古河兄,呵呵
雪    币: 65
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
su汪妮 活跃值 2013-2-22 16:37
20
0
好多洞洞可以用啊
雪    币: 1193
活跃值: 活跃值 (314)
能力值: (RANK:30 )
在线值:
发帖
回帖
粉丝
webappsec 活跃值 2013-2-23 08:38
21
0
必须支持……
雪    币: 12
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
safeboy 活跃值 2013-2-23 08:39
22
0
膜拜牛人,学些一下
雪    币: 1034
活跃值: 活跃值 (69)
能力值: ( LV12,RANK:750 )
在线值:
发帖
回帖
粉丝
boywhp 活跃值 12 2013-2-23 20:08
23
0
友情客串~~~
雪    币: 17
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
MRShi 活跃值 2013-2-23 21:54
24
0
太好了,之前拿到POC都不知道怎么处理,这下学习一下了
雪    币: 276
活跃值: 活跃值 (23)
能力值: ( LV12,RANK:200 )
在线值:
发帖
回帖
粉丝
kindsjay 活跃值 4 2013-2-24 17:15
25
0
adobe 古
游客
登录 | 注册 方可回帖
返回