CVE-2012-0158个人分析
2016-03-22 15:31
936 查看
CVE-2012-0158是一个比较有名的老漏洞了,这次从论坛上找到一个poc文件,利用这个poc来分析CVE-2012-0158漏洞的形成。
http://bbs.pediy.com/showthread.php?t=207638
参考自此帖子,但是分析是个人独立完成的,只是参考了poc并没有抄袭思路。
本文步骤:重现漏洞-->漏洞分析-->漏洞利用-->总结
环境如下
如图可见漏洞复现成功,弹出一个计算器。
首先定位shellcode在内存中的地址,这里使用的是通过对api下断点找到shellcode的地址。
如图。可见此时shellcode已在栈中。00121461即为栈中空间,从3个nop起为shellcode
在此时看一下栈的整体结构,如下图
4个byte的nop之后接的便是shellcode,根据栈溢出的特点我猜测,7FFA4512为覆盖栈返回地址的地方。跟一下发现如图
原来7FFA4512处是一个jmp esp
这是一个常见的栈溢出跳板。据此我判断这是一个使用跳板地址覆盖栈返回地址的栈溢出,而且此时的esp正好指向shellcode的起始位置,4个byte的nop用来
抵消retn 0x8造成的esp下移。据此栈示意图如下
接下来查找是哪里发生的覆盖,因为是当前函数的栈祯发生溢出,说明肯定是子函数或者当前函数导致的覆盖。但是本栈祯已经被覆盖的一塌糊涂了,怎么知道这个函数的地址呢?
那么就只能对栈进行回溯,正好可以发现一个已经用过的函数返回地址,找到发生溢出的这个栈祯。经过单步跟进最终发现产生问题的语句在这里,如图
可见是一个rep movs导致的溢出。
如图可知溢出函数处于mscomctl模块
http://bbs.pediy.com/showthread.php?t=207638
参考自此帖子,但是分析是个人独立完成的,只是参考了poc并没有抄袭思路。
本文步骤:重现漏洞-->漏洞分析-->漏洞利用-->总结
1.重现漏洞
打开poc文件,结果如图环境如下
如图可见漏洞复现成功,弹出一个计算器。
2.漏洞分析
通过已有的POC找出漏洞产生的原因。首先定位shellcode在内存中的地址,这里使用的是通过对api下断点找到shellcode的地址。
如图。可见此时shellcode已在栈中。00121461即为栈中空间,从3个nop起为shellcode
在此时看一下栈的整体结构,如下图
4个byte的nop之后接的便是shellcode,根据栈溢出的特点我猜测,7FFA4512为覆盖栈返回地址的地方。跟一下发现如图
原来7FFA4512处是一个jmp esp
这是一个常见的栈溢出跳板。据此我判断这是一个使用跳板地址覆盖栈返回地址的栈溢出,而且此时的esp正好指向shellcode的起始位置,4个byte的nop用来
抵消retn 0x8造成的esp下移。据此栈示意图如下
接下来查找是哪里发生的覆盖,因为是当前函数的栈祯发生溢出,说明肯定是子函数或者当前函数导致的覆盖。但是本栈祯已经被覆盖的一塌糊涂了,怎么知道这个函数的地址呢?
那么就只能对栈进行回溯,正好可以发现一个已经用过的函数返回地址,找到发生溢出的这个栈祯。经过单步跟进最终发现产生问题的语句在这里,如图
可见是一个rep movs导致的溢出。
如图可知溢出函数处于mscomctl模块
相关文章推荐
- Ello讲述Haar人脸检测:易懂、很详细、值得围观
- ZOJ3844Easy Task
- java.lang.UnsatisfiedLinkError: Couldn't load hello-jni from loader
- ArcGIS教程:地理处理服务示例(河流网络)(二)
- VS2015中使用QT5.6.0
- Linux IO实时监控iostat命令详解
- 你真的懂得tableview cell的两个重用方法嘛
- android中tween动画自定义
- maven插件
- KCU105自测
- 凸优化理论——无约束最优化方法 + Lagrange multipliers + KKT conditions
- Android Notification通知专题
- SpringMvc学习心得(五)控制器产生与构建
- MySQL权限篇之ALL与SUPER
- 搜索之转弯问题
- docker源码分享
- Android自定义刮刮乐控件
- Java基础学习总结——Java对象的序列化和反序列化
- JMS和ActiveMQ
- zxing2.0二维码生成(JAVA版)