首页
论坛
专栏
课程

[原创]CVE-2014-1761分析笔记

2014-9-16 22:29 4102

[原创]CVE-2014-1761分析笔记

2014-9-16 22:29
4102
小弟第一次尝试独力分析漏洞,贡献小菜文一篇,水平有限,如有谬误,恳请各位大大批评指正。

附件包括:cve-2014-1761分析笔记(含格式转换小程序),
               调试用poc,
               相关外文两篇及翻译,
               RTF格式官方文档

[公告]LV6级以上的看雪会员可以免费获得《2019安全开发者峰会》门票一张!!

上传的附件:
最新回复 (40)
追梦zhuimeng 2014-9-16 23:09
2
0
谢谢分享,分析的不错,继续加油哈!
木无聊偶 4 2014-9-17 08:08
3
0
谢谢追梦兄的鼓励,小弟一定继续努力,希望有机会多多交流哈!
fatecaster 1 2014-9-17 08:35
4
0
学习,我也刚开始学这个,晚上忙完就看看这么弄的。
木无聊偶 4 2014-9-17 09:05
5
0
一起加油,我也是自己摸索,文章写得水平一般,有机会多多交流O(∩_∩)O~
hai海豚 2014-9-17 10:42
6
0
感谢楼主的分享~~顺便膜拜一下poc的作者....

我有幸也分析过这个poc,有几个有意思的地方不知楼主有没有注意,共同讨论一下:
1、首先楼主有没有分析为什么要用25这个数字,如果是单纯的溢出的话其它数字也是可以的。但是改为其它数字之后申请的堆空间将不会在虚表附近。
2、listoverridecount所在leveltext之前有正好有25个leveltext,然而当中的结构很“混乱”,不知是不是老外说的混淆。
3、这个poc的“{”和"}"数量不不一致....
以上这两点我只跟了个皮毛,能力和体力有限没再细跟,希望楼主有精力看看。然后作者的rop链写的也很牛X

再次感谢楼主的慷慨大方。
木无聊偶 4 2014-9-17 11:09
7
0
谢谢海豚兄的问题,这几个问题应该都与RTF格式有关,小弟惭愧,对RTF格式的理解连皮毛都算不上,所以文章里只是满足于走通了整个触发利用过程~~~

第一个,在相关文章[1]中好像提到,listoverridecount参数的合法值应该是0,1,9吧,当时看到poc中设置为25确实疑惑了一下,不过因为当时连整个过程都没走通,所以就暂时放下了~

第二个和第三个,说实话真的没有注意到~汗颜汗颜~~~~当时只是找到疑似ShellCode的地方就满足了,附近的结构也只是关注了下leveloverridecount的参数, lfolevel控制字的个数以及levelold等影响伪造虚函数表的关键字及其参数~

poc构造的rop链我倒是完整跟下来了,确实是膜拜啊Orz 具体的一些程序流转换实在是构思巧妙,作为安全菜鸟,能做的就是向大神学习,努力追赶吧~

关于这个漏洞,其实小弟有一些后续的想法,分析下来发现poc利用rop链确实实现了过DEP的目的,也充分利用了MSCOMCTL没有启用ASLR的特点,但是缺点也很明显,即对版本的依赖性太强了,所以下一阶段的工作就是对这个poc进行深入分析改造,最高目标是改造成通用版本,最低目标是找到改成适应各版本的思路并实现。

技术在交流中进步。今年小弟考研,客观原因没办法。希望忙完这段时间,能够有机会和大家多多交流O(∩_∩)O~
llongwei 2014-9-17 14:54
8
0
嗯~~这个漏洞几个月前刚出来的时候跟踪了一下,但也只是跟踪了rop链和shellcode,确实版本限制比较厉害,不通用,自己也就没深入了!!希望早日看到你的通用版本,共同学习!!
木无聊偶 4 2014-9-17 15:25
9
0
对的,哪怕同是office2010(非14.0.7113.5001),该POC都无法利用,关键是第一步的固定地址构造太巧了,个人猜想poc作者可能也只是用作研究吧~

如果还是现在的原理,我觉得通用版本实在够呛,原因也就在于没办法随意控制第一步的固定地址,不过据说有大大将该样本改到office2007下了,希望能够共同学习
ilovehk 2014-9-18 22:42
10
0
先下载拜读下
追梦zhuimeng 2014-9-19 02:05
11
0
我向你学习(我很菜的),论坛还是需要你这样的人才!
木无聊偶 4 2014-9-19 08:16
12
0
谢谢支持哈,多提批评建议,互相交流哦~
木无聊偶 4 2014-9-19 08:18
13
0
。。我还真是安全新手,一直在追赶大大们,再说在这儿说人才实在太贻笑大方了~
追梦zhuimeng 2014-9-25 23:29
14
0
一起学习吧,最近打算认真学习android安全
木无聊偶 4 2014-9-26 08:15
15
0
嗯嗯,加油么么哒
追梦zhuimeng 2014-9-27 22:51
16
0
你联系方式给我一下.
木无聊偶 4 2014-9-28 07:54
17
0
额,就在看雪上联系吧,其他联系方式都不太方便~
LessonXK 1 2014-9-28 08:20
18
0
向楼主学习了,可以多多交流
木无聊偶 4 2014-9-28 16:48
19
0
互相学习,互相交流哈~
lmbi 2014-9-28 17:26
20
0
学习中!
木无聊偶 4 2014-9-29 08:03
21
0
互相学习,欢迎讨论批评!
追梦zhuimeng 2014-9-29 10:51
22
0
ok!..
by苏格兰 2014-10-5 19:20
23
0
学习了。
木无聊偶 4 2014-10-9 15:12
24
0
请多指教。
lizhenhuan 2 2014-10-9 16:06
25
0
在对软件结构不熟悉的情况下,仅仅通过样本来分析漏洞,博主给出了很好的方法。点赞。
木无聊偶 4 2014-10-9 16:48
26
0
谢谢,因为时间不充裕,来不及仔细研究RTF格式标准和office内部机制,加之水平有限,所以只是简单回溯了整个触发流程,技术粗糙,见笑了~