Microsoft Windows是微软发布的非常流行的操作系统。
        Microsoft Windows XP SP2和SP3,Windows Vista SP1和SP2,以及Windows
7中的Cinepak 编码解码器处理受支持格式文件的方式中存在一个远程执行代码漏洞。 如果用户打开特制的媒体文件,此漏洞可能允许执行代码。
如果用户使用管理用户权限登录,成功利用此漏洞的攻击者便可完全控制受影响的系统。
攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

     我们已知这是一个堆漏洞了,那么肯定少不了去加上hpa和ust调试支持以便于第一时间的获取崩溃信息。加载poc,崩溃信息如下:

(4a8.b8): Access violation - code c0000005 (first chance)

First chance exceptions are reported before any exception handling.

This exception may be expected and handled.

eax= ebx=0e0defc0 ecx= edx=0e6afd38 esi=0e4c1000 edi=0e4c3000

eip=73b722cc esp=0e6afd04 ebp=0e6afd30 iopl=         nv up ei pl zr na pe nc

cs=001b  ss=  ds=  es=  fs=003b  gs=             efl=

iccvid!CVDecompress+0x11e:

73b722cc f3a5            rep movs dword ptr es:[edi],dword ptr [esi] es::0e4c3000=???????? ds::0e4c1000=

目测是往堆里复制溢出了引发的异常。我们看下edi=0e4c3000到底是不是堆,!heap -p -a 0e4c3000 输出如下,看来真的是堆,符合我们的推测

:> ?edi

Evaluate expression:  = 0e4c3000

:> !heap -p -a 0e4c3000

    address 0e4c3000 found in

    _DPH_HEAP_ROOT @ a1000

    in busy allocation (  DPH_HEAP_BLOCK:         UserAddr         UserSize -         VirtAddr         VirtSize)

                                 e128c30:          e4bd000              -          e4bc000

    7c938f01 ntdll!RtlAllocateHeap+0x00000e64

    7c809a7f kernel32!LocalAlloc+0x00000058

    73b724a8 iccvid!CVDecompressBegin+0x00000080

    73b7c6a0 iccvid!DecompressBegin+0x00000214

    73b766a1 iccvid!DriverProc+0x00000198

    73b41938 MSVFW32!ICSendMessage+0x0000002b

    7cf8df11 quartz!CAVIDec::StartStreaming+0x00000278

    7cfbfa7a quartz!CVideoTransformFilter::Receive+0x000000cf

    7cf90929 quartz!CTransformInputPin::Receive+0x00000033

    7cf8e672 quartz!CBaseOutputPin::Deliver+0x00000022

    7cf90c90 quartz!CBaseMSRWorker::TryDeliverSample+0x00000102

    7cf90e0c quartz!CBaseMSRWorker::PushLoop+0x0000015e

    7cf8ce28 quartz!CBaseMSRWorker::DoRunLoop+0x0000004a

    7cf8dbde quartz!CBaseMSRWorker::ThreadProc+0x00000039

    7c80b729 kernel32!BaseThreadStart+0x00000037

我们这里简单的算一个数学问题e4bd000+6000=E4C3000,而异常时正断在E4C3000这也是页堆的功劳,不了解页堆的可以看我前面写的博文或者《软件调试》。我们再来看看ecx的值

:> ? ecx

Evaluate expression:  =

很明显这个ecx是小于堆的0x6000个字节的。我们对73b722cc下断,来看看到底谁造成的溢出。我们重新断下结果如下,可以看出ecx=800,而edi=0f488000,我们知道堆底在f486000+6000=F48C000明显没有溢出。我们推测是经过了多次复制才导致了溢出,对这个复制语句上方下条件记录断点,如图

'条件记录断点:'

edi=0e4cb000

ecx=

'条件记录断点:'

edi=0e4cd000

ecx=

'条件记录断点:'

edi=0e4cf000

ecx=

我们看最后的一次edi+ecx*4=0xe4cf00+0x800*4=E4EF00所以是大于,堆底的0xE4C3000+0x6000=E4CF000。就是说可以容纳0x6000个字节,但是从0x2000的位置向堆中写那么就会有0x2000个字节的溢出了。下三次条件断点,查看栈回溯即可得到如下的结果,可见这三次的栈回溯都是完全一致的,据此我们可以找到调用的位置。

:> bu iccvid!CVDecompress+0x118 ".echo 条件记录断点:;r edi;r ecx"

:> g

条件记录断点:

edi=0f157000

ecx=

eax= ebx=0f170fc0 ecx= edx=0f4cfd38 esi=0efd0b12 edi=0f157000

eip=73b722c6 esp=0f4cfd04 ebp=0f4cfd30 iopl=         nv up ei pl zr na pe nc

cs=001b  ss=  ds=  es=  fs=003b  gs=             efl=

iccvid!CVDecompress+0x118:

73b722c6 8db700e0ffff    lea     esi,[edi-2000h]

:> kp

ChildEBP RetAddr

0f4cfd30 73b7cbf3 iccvid!CVDecompress+0x118

0f4cfd60 73b766c8 iccvid!Decompress+0x11d

0f4cfdac 73b41938 iccvid!DriverProc+0x1bf

0f4cfdd0 7cf8fa8e MSVFW32!ICSendMessage+0x2b

0f4cfe00 7cf8f9d9 quartz!CVFWDynLink::ICDecompress+0x3e

0f4cfec0 7cf90a45 quartz!CAVIDec::Transform+0x282

0f4cfeec 7cf90929 quartz!CVideoTransformFilter::Receive+0x110

0f4cff00 7cf8e672 quartz!CTransformInputPin::Receive+0x33

0f4cff10 7cf90c90 quartz!CBaseOutputPin::Deliver+0x22

0f4cff40 7cf90e0c quartz!CBaseMSRWorker::TryDeliverSample+0x102

0f4cff84 7cf8ce28 quartz!CBaseMSRWorker::PushLoop+0x15e

0f4cff9c 7cf8dbde quartz!CBaseMSRWorker::DoRunLoop+0x4a

0f4cffa4 7cf8a12f quartz!CBaseMSRWorker::ThreadProc+0x39

0f4cffb4 7c80b729 quartz!CAMThread::InitialThreadProc+0x15

0f4cffec  kernel32!BaseThreadStart+0x37

:> g

条件记录断点:

edi=0f159000

ecx=

eax= ebx=0f170fc0 ecx= edx=0f4cfd38 esi=0efd0b22 edi=0f159000

eip=73b722c6 esp=0f4cfd04 ebp=0f4cfd30 iopl=         nv up ei pl zr na pe nc

cs=001b  ss=  ds=  es=  fs=003b  gs=             efl=

iccvid!CVDecompress+0x118:

73b722c6 8db700e0ffff    lea     esi,[edi-2000h]

:> kp

ChildEBP RetAddr

0f4cfd30 73b7cbf3 iccvid!CVDecompress+0x118

0f4cfd60 73b766c8 iccvid!Decompress+0x11d

0f4cfdac 73b41938 iccvid!DriverProc+0x1bf

0f4cfdd0 7cf8fa8e MSVFW32!ICSendMessage+0x2b

0f4cfe00 7cf8f9d9 quartz!CVFWDynLink::ICDecompress+0x3e

0f4cfec0 7cf90a45 quartz!CAVIDec::Transform+0x282

0f4cfeec 7cf90929 quartz!CVideoTransformFilter::Receive+0x110

0f4cff00 7cf8e672 quartz!CTransformInputPin::Receive+0x33

0f4cff10 7cf90c90 quartz!CBaseOutputPin::Deliver+0x22

0f4cff40 7cf90e0c quartz!CBaseMSRWorker::TryDeliverSample+0x102

0f4cff84 7cf8ce28 quartz!CBaseMSRWorker::PushLoop+0x15e

0f4cff9c 7cf8dbde quartz!CBaseMSRWorker::DoRunLoop+0x4a

0f4cffa4 7cf8a12f quartz!CBaseMSRWorker::ThreadProc+0x39

0f4cffb4 7c80b729 quartz!CAMThread::InitialThreadProc+0x15

0f4cffec  kernel32!BaseThreadStart+0x37

:> g

条件记录断点:

edi=0f15b000

ecx=

eax= ebx=0f170fc0 ecx= edx=0f4cfd38 esi=0efd0b32 edi=0f15b000

eip=73b722c6 esp=0f4cfd04 ebp=0f4cfd30 iopl=         nv up ei pl zr na pe nc

cs=001b  ss=  ds=  es=  fs=003b  gs=             efl=

iccvid!CVDecompress+0x118:

73b722c6 8db700e0ffff    lea     esi,[edi-2000h]

:> kp

ChildEBP RetAddr

0f4cfd30 73b7cbf3 iccvid!CVDecompress+0x118

0f4cfd60 73b766c8 iccvid!Decompress+0x11d

0f4cfdac 73b41938 iccvid!DriverProc+0x1bf

0f4cfdd0 7cf8fa8e MSVFW32!ICSendMessage+0x2b

0f4cfe00 7cf8f9d9 quartz!CVFWDynLink::ICDecompress+0x3e

0f4cfec0 7cf90a45 quartz!CAVIDec::Transform+0x282

0f4cfeec 7cf90929 quartz!CVideoTransformFilter::Receive+0x110

0f4cff00 7cf8e672 quartz!CTransformInputPin::Receive+0x33

0f4cff10 7cf90c90 quartz!CBaseOutputPin::Deliver+0x22

0f4cff40 7cf90e0c quartz!CBaseMSRWorker::TryDeliverSample+0x102

0f4cff84 7cf8ce28 quartz!CBaseMSRWorker::PushLoop+0x15e

0f4cff9c 7cf8dbde quartz!CBaseMSRWorker::DoRunLoop+0x4a

0f4cffa4 7cf8a12f quartz!CBaseMSRWorker::ThreadProc+0x39

0f4cffb4 7c80b729 quartz!CAMThread::InitialThreadProc+0x15

0f4cffec  kernel32!BaseThreadStart+0x37

我们对此调用及上层调用进行分析,如下所示:

.text:73B722BB                 mov     ecx, [ebx+1Ch]

.text:73B722BE                 lea     edi, [ecx+eax]

.text:73B722C1                 mov     ecx, 800h

.text:73B722C6                 lea     esi, [edi-2000h]

.text:73B722CC                 rep movsd
.text:73B7CBD8                 push    dword ptr [esi+98h]

.text:73B7CBDE                 push    edi

.text:73B7CBDF                 push    [ebp+arg_20]

.text:73B7CBE2                 push    [ebp+arg_24]

.text:73B7CBE5                 push    [ebp+arg_28]

.text:73B7CBE8                 push    [ebp+arg_C]

.text:73B7CBEB                 push    dword ptr [esi+5Ch]

.text:73B7CBEE                 call    sub_73B721AE

CVE-2010-2553 Microsoft Windows Cinepak 编码解码器解压缩漏洞 分析的更多相关文章

  1. Microsoft Windows 远程权限提升漏洞(CVE-2013-3175)(MS13-062)

    漏洞版本: Microsoft Windows XP Microsoft Windows Vista Microsoft Windows Server 2008 Microsoft Windows R ...

  2. Windows RDP的RCE漏洞分析和复现(CVE-2019-0708)

    0x00 漏洞描述 Windows系列服务器于2019年5月15号,被爆出高危漏洞,该漏洞影响范围较广如:windows2003.windows2008.windows2008 R2.windows ...

  3. CVE-2011-0104 Microsoft Office Excel缓冲区溢出漏洞 分析

    漏洞简述   Microsoft Excel是Microsoft Office组件之一,是流行的电子表格处理软件.        Microsoft Excel中存在缓冲区溢出漏洞,远程攻击者可利用此 ...

  4. [CVE-2017-8464]Microsoft Windows远程命令执行漏洞复现

    版权声明:本文为博主的原创文章,未经博主同意不得转载 前言 记录下自己的复现,保留意见 2017年6月13日,微软官方发布编号为CVE-2017-8464的漏洞公告,官方介绍Windows系统在解析快 ...

  5. [EXP]Microsoft Windows MSHTML Engine - "Edit" Remote Code Execution

    # Exploit Title: Microsoft Windows (CVE-2019-0541) MSHTML Engine "Edit" Remote Code Execut ...

  6. Microsoft Windows CVE-2017-8464 LNK 远程代码执行漏洞(复现)

    2017年6月13日,微软官方发布编号为CVE-2017-8464的漏洞公告,官方介绍Windows系统在解析快捷方式时存在远程执行任意代码的高危漏洞,黑客可以通过U盘.网络共享等途径触发漏洞,完全控 ...

  7. Microsoft Windows* SDK May 2010 或较新版本(兼容 2010 年 6 月 DirectX SDK)GPU Detect

    原文链接 下载代码样本 特性/描述 日期: 2016 年 5 月 5 日 GPU Detect 是一种简短的示例,演示了检测系统中主要显卡硬件(包括第六代智能英特尔® 酷睿™ 处理器产品家族)的方式. ...

  8. Oracle Fusion Applications (11.1.8) Media Pack and Oracle Application Development Framework 11g (11.1.1.7.2) for Microsoft Windows x64 (64-bit)

    Oracle Fusion Applications (11.1.8) Media Pack for Microsoft Windows x64 (64-bit) 重新搜索   常见问题    提示  ...

  9. Installing node-oracledb on Microsoft Windows

    版本 7 由 Laura Ramsey-Oracle 于 2015-10-19 下午11:46创建,最后由 cj 于 2015-10-22 下午7:44修改. Installing node-orac ...

随机推荐

  1. Linux可执行文件后缀问题

    一般来说,可执行文件没有扩展名. Linux不根据扩展名判断文件类型,而是根据文件的内容来判断.所以扩展名的作用是帮助人来识别文件,对于Linux系统本身来说没有什么用处. .sh结尾表示是shell ...

  2. matlab --- plot画图

    plot画的图形在上一个plot的figure中:hold on 添加图例:legend({'X','Y'}) 限制X轴Y轴的坐标范围:xlim([380 780]);ylim([0 2]) 或 ax ...

  3. gulp+webpack配置

    转自:https://www.jianshu.com/p/2549c793bb27 gulp gulp是前端开发过程中对代码进行构建的工具,是自动化项目的构建利器:她不仅能对网站资源进行优化,而且在开 ...

  4. 二维数组和指针(C语言)

    二维数组和指针 二维数组和指针1.二维数组和数组元素的地址若有以下定义:int *p, a[3][4]; 1)二维数组a由若干个一维数组组成在C语言中定义的二维数组实际上是一个一维数组,这个一维数组的 ...

  5. Shell记录-Shell脚本基础(五)

    Linux中的ps命令是Process Status的缩写.ps命令用来列出系统中当前运行的那些进程.ps命令列出的是当前那些进程的快照,就是执行ps命令的那个时刻的那些进程,如果想要动态的显示进程信 ...

  6. IntelliJ IDEA编码格式设置

    之前一直使用eclipse能够熟悉的设置工程和文件的编码格式,现在换成IntelliJ IDEA设置编码格式的地方有点变化,按照如图所示进行设置: 这里要将Transparent native-to- ...

  7. Python学习笔记4-os,sys模块

    一.os模块 import os print(os.getcwd())#取当前工作目录 os.chmod("/usr/local",7)#给文件/目录加权限 print(os.ch ...

  8. nodejs使用记录

    安装 下载64or32的安装程序,狂点下一步,无脑安装.然后检查一下: npm 使用npm -v命令检查npm是否可用 然后我们就可以使用npm了,npm语法如下: npm install <M ...

  9. Java入门系列(二)Java常用关键字

    53个关键字 在JAVA中目前一共有53个关键字:其中由51+2个保留字=53个关键字 访问控制 private protected public default              类.方法和 ...

  10. [整理]C结构实现位段(bit field)

    #include <stdio.h> #include <string.h> typedef struct A{ int a:5; int b:3; unsigned c:8; ...