Microsoft Windows是微软发布的非常流行的操作系统。
        Microsoft Windows XP SP2和SP3,Windows Vista SP1和SP2,以及Windows
7中的Cinepak 编码解码器处理受支持格式文件的方式中存在一个远程执行代码漏洞。 如果用户打开特制的媒体文件,此漏洞可能允许执行代码。
如果用户使用管理用户权限登录,成功利用此漏洞的攻击者便可完全控制受影响的系统。
攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

     我们已知这是一个堆漏洞了,那么肯定少不了去加上hpa和ust调试支持以便于第一时间的获取崩溃信息。加载poc,崩溃信息如下:

(4a8.b8): Access violation - code c0000005 (first chance)

First chance exceptions are reported before any exception handling.

This exception may be expected and handled.

eax= ebx=0e0defc0 ecx= edx=0e6afd38 esi=0e4c1000 edi=0e4c3000

eip=73b722cc esp=0e6afd04 ebp=0e6afd30 iopl=         nv up ei pl zr na pe nc

cs=001b  ss=  ds=  es=  fs=003b  gs=             efl=

iccvid!CVDecompress+0x11e:

73b722cc f3a5            rep movs dword ptr es:[edi],dword ptr [esi] es::0e4c3000=???????? ds::0e4c1000=

目测是往堆里复制溢出了引发的异常。我们看下edi=0e4c3000到底是不是堆,!heap -p -a 0e4c3000 输出如下,看来真的是堆,符合我们的推测

:> ?edi

Evaluate expression:  = 0e4c3000

:> !heap -p -a 0e4c3000

    address 0e4c3000 found in

    _DPH_HEAP_ROOT @ a1000

    in busy allocation (  DPH_HEAP_BLOCK:         UserAddr         UserSize -         VirtAddr         VirtSize)

                                 e128c30:          e4bd000              -          e4bc000

    7c938f01 ntdll!RtlAllocateHeap+0x00000e64

    7c809a7f kernel32!LocalAlloc+0x00000058

    73b724a8 iccvid!CVDecompressBegin+0x00000080

    73b7c6a0 iccvid!DecompressBegin+0x00000214

    73b766a1 iccvid!DriverProc+0x00000198

    73b41938 MSVFW32!ICSendMessage+0x0000002b

    7cf8df11 quartz!CAVIDec::StartStreaming+0x00000278

    7cfbfa7a quartz!CVideoTransformFilter::Receive+0x000000cf

    7cf90929 quartz!CTransformInputPin::Receive+0x00000033

    7cf8e672 quartz!CBaseOutputPin::Deliver+0x00000022

    7cf90c90 quartz!CBaseMSRWorker::TryDeliverSample+0x00000102

    7cf90e0c quartz!CBaseMSRWorker::PushLoop+0x0000015e

    7cf8ce28 quartz!CBaseMSRWorker::DoRunLoop+0x0000004a

    7cf8dbde quartz!CBaseMSRWorker::ThreadProc+0x00000039

    7c80b729 kernel32!BaseThreadStart+0x00000037

我们这里简单的算一个数学问题e4bd000+6000=E4C3000,而异常时正断在E4C3000这也是页堆的功劳,不了解页堆的可以看我前面写的博文或者《软件调试》。我们再来看看ecx的值

:> ? ecx

Evaluate expression:  =

很明显这个ecx是小于堆的0x6000个字节的。我们对73b722cc下断,来看看到底谁造成的溢出。我们重新断下结果如下,可以看出ecx=800,而edi=0f488000,我们知道堆底在f486000+6000=F48C000明显没有溢出。我们推测是经过了多次复制才导致了溢出,对这个复制语句上方下条件记录断点,如图

'条件记录断点:'

edi=0e4cb000

ecx=

'条件记录断点:'

edi=0e4cd000

ecx=

'条件记录断点:'

edi=0e4cf000

ecx=

我们看最后的一次edi+ecx*4=0xe4cf00+0x800*4=E4EF00所以是大于,堆底的0xE4C3000+0x6000=E4CF000。就是说可以容纳0x6000个字节,但是从0x2000的位置向堆中写那么就会有0x2000个字节的溢出了。下三次条件断点,查看栈回溯即可得到如下的结果,可见这三次的栈回溯都是完全一致的,据此我们可以找到调用的位置。

:> bu iccvid!CVDecompress+0x118 ".echo 条件记录断点:;r edi;r ecx"

:> g

条件记录断点:

edi=0f157000

ecx=

eax= ebx=0f170fc0 ecx= edx=0f4cfd38 esi=0efd0b12 edi=0f157000

eip=73b722c6 esp=0f4cfd04 ebp=0f4cfd30 iopl=         nv up ei pl zr na pe nc

cs=001b  ss=  ds=  es=  fs=003b  gs=             efl=

iccvid!CVDecompress+0x118:

73b722c6 8db700e0ffff    lea     esi,[edi-2000h]

:> kp

ChildEBP RetAddr

0f4cfd30 73b7cbf3 iccvid!CVDecompress+0x118

0f4cfd60 73b766c8 iccvid!Decompress+0x11d

0f4cfdac 73b41938 iccvid!DriverProc+0x1bf

0f4cfdd0 7cf8fa8e MSVFW32!ICSendMessage+0x2b

0f4cfe00 7cf8f9d9 quartz!CVFWDynLink::ICDecompress+0x3e

0f4cfec0 7cf90a45 quartz!CAVIDec::Transform+0x282

0f4cfeec 7cf90929 quartz!CVideoTransformFilter::Receive+0x110

0f4cff00 7cf8e672 quartz!CTransformInputPin::Receive+0x33

0f4cff10 7cf90c90 quartz!CBaseOutputPin::Deliver+0x22

0f4cff40 7cf90e0c quartz!CBaseMSRWorker::TryDeliverSample+0x102

0f4cff84 7cf8ce28 quartz!CBaseMSRWorker::PushLoop+0x15e

0f4cff9c 7cf8dbde quartz!CBaseMSRWorker::DoRunLoop+0x4a

0f4cffa4 7cf8a12f quartz!CBaseMSRWorker::ThreadProc+0x39

0f4cffb4 7c80b729 quartz!CAMThread::InitialThreadProc+0x15

0f4cffec  kernel32!BaseThreadStart+0x37

:> g

条件记录断点:

edi=0f159000

ecx=

eax= ebx=0f170fc0 ecx= edx=0f4cfd38 esi=0efd0b22 edi=0f159000

eip=73b722c6 esp=0f4cfd04 ebp=0f4cfd30 iopl=         nv up ei pl zr na pe nc

cs=001b  ss=  ds=  es=  fs=003b  gs=             efl=

iccvid!CVDecompress+0x118:

73b722c6 8db700e0ffff    lea     esi,[edi-2000h]

:> kp

ChildEBP RetAddr

0f4cfd30 73b7cbf3 iccvid!CVDecompress+0x118

0f4cfd60 73b766c8 iccvid!Decompress+0x11d

0f4cfdac 73b41938 iccvid!DriverProc+0x1bf

0f4cfdd0 7cf8fa8e MSVFW32!ICSendMessage+0x2b

0f4cfe00 7cf8f9d9 quartz!CVFWDynLink::ICDecompress+0x3e

0f4cfec0 7cf90a45 quartz!CAVIDec::Transform+0x282

0f4cfeec 7cf90929 quartz!CVideoTransformFilter::Receive+0x110

0f4cff00 7cf8e672 quartz!CTransformInputPin::Receive+0x33

0f4cff10 7cf90c90 quartz!CBaseOutputPin::Deliver+0x22

0f4cff40 7cf90e0c quartz!CBaseMSRWorker::TryDeliverSample+0x102

0f4cff84 7cf8ce28 quartz!CBaseMSRWorker::PushLoop+0x15e

0f4cff9c 7cf8dbde quartz!CBaseMSRWorker::DoRunLoop+0x4a

0f4cffa4 7cf8a12f quartz!CBaseMSRWorker::ThreadProc+0x39

0f4cffb4 7c80b729 quartz!CAMThread::InitialThreadProc+0x15

0f4cffec  kernel32!BaseThreadStart+0x37

:> g

条件记录断点:

edi=0f15b000

ecx=

eax= ebx=0f170fc0 ecx= edx=0f4cfd38 esi=0efd0b32 edi=0f15b000

eip=73b722c6 esp=0f4cfd04 ebp=0f4cfd30 iopl=         nv up ei pl zr na pe nc

cs=001b  ss=  ds=  es=  fs=003b  gs=             efl=

iccvid!CVDecompress+0x118:

73b722c6 8db700e0ffff    lea     esi,[edi-2000h]

:> kp

ChildEBP RetAddr

0f4cfd30 73b7cbf3 iccvid!CVDecompress+0x118

0f4cfd60 73b766c8 iccvid!Decompress+0x11d

0f4cfdac 73b41938 iccvid!DriverProc+0x1bf

0f4cfdd0 7cf8fa8e MSVFW32!ICSendMessage+0x2b

0f4cfe00 7cf8f9d9 quartz!CVFWDynLink::ICDecompress+0x3e

0f4cfec0 7cf90a45 quartz!CAVIDec::Transform+0x282

0f4cfeec 7cf90929 quartz!CVideoTransformFilter::Receive+0x110

0f4cff00 7cf8e672 quartz!CTransformInputPin::Receive+0x33

0f4cff10 7cf90c90 quartz!CBaseOutputPin::Deliver+0x22

0f4cff40 7cf90e0c quartz!CBaseMSRWorker::TryDeliverSample+0x102

0f4cff84 7cf8ce28 quartz!CBaseMSRWorker::PushLoop+0x15e

0f4cff9c 7cf8dbde quartz!CBaseMSRWorker::DoRunLoop+0x4a

0f4cffa4 7cf8a12f quartz!CBaseMSRWorker::ThreadProc+0x39

0f4cffb4 7c80b729 quartz!CAMThread::InitialThreadProc+0x15

0f4cffec  kernel32!BaseThreadStart+0x37

我们对此调用及上层调用进行分析,如下所示:

.text:73B722BB                 mov     ecx, [ebx+1Ch]

.text:73B722BE                 lea     edi, [ecx+eax]

.text:73B722C1                 mov     ecx, 800h

.text:73B722C6                 lea     esi, [edi-2000h]

.text:73B722CC                 rep movsd
.text:73B7CBD8                 push    dword ptr [esi+98h]

.text:73B7CBDE                 push    edi

.text:73B7CBDF                 push    [ebp+arg_20]

.text:73B7CBE2                 push    [ebp+arg_24]

.text:73B7CBE5                 push    [ebp+arg_28]

.text:73B7CBE8                 push    [ebp+arg_C]

.text:73B7CBEB                 push    dword ptr [esi+5Ch]

.text:73B7CBEE                 call    sub_73B721AE

CVE-2010-2553 Microsoft Windows Cinepak 编码解码器解压缩漏洞 分析的更多相关文章

  1. Microsoft Windows 远程权限提升漏洞(CVE-2013-3175)(MS13-062)

    漏洞版本: Microsoft Windows XP Microsoft Windows Vista Microsoft Windows Server 2008 Microsoft Windows R ...

  2. Windows RDP的RCE漏洞分析和复现(CVE-2019-0708)

    0x00 漏洞描述 Windows系列服务器于2019年5月15号,被爆出高危漏洞,该漏洞影响范围较广如:windows2003.windows2008.windows2008 R2.windows ...

  3. CVE-2011-0104 Microsoft Office Excel缓冲区溢出漏洞 分析

    漏洞简述   Microsoft Excel是Microsoft Office组件之一,是流行的电子表格处理软件.        Microsoft Excel中存在缓冲区溢出漏洞,远程攻击者可利用此 ...

  4. [CVE-2017-8464]Microsoft Windows远程命令执行漏洞复现

    版权声明:本文为博主的原创文章,未经博主同意不得转载 前言 记录下自己的复现,保留意见 2017年6月13日,微软官方发布编号为CVE-2017-8464的漏洞公告,官方介绍Windows系统在解析快 ...

  5. [EXP]Microsoft Windows MSHTML Engine - "Edit" Remote Code Execution

    # Exploit Title: Microsoft Windows (CVE-2019-0541) MSHTML Engine "Edit" Remote Code Execut ...

  6. Microsoft Windows CVE-2017-8464 LNK 远程代码执行漏洞(复现)

    2017年6月13日,微软官方发布编号为CVE-2017-8464的漏洞公告,官方介绍Windows系统在解析快捷方式时存在远程执行任意代码的高危漏洞,黑客可以通过U盘.网络共享等途径触发漏洞,完全控 ...

  7. Microsoft Windows* SDK May 2010 或较新版本(兼容 2010 年 6 月 DirectX SDK)GPU Detect

    原文链接 下载代码样本 特性/描述 日期: 2016 年 5 月 5 日 GPU Detect 是一种简短的示例,演示了检测系统中主要显卡硬件(包括第六代智能英特尔® 酷睿™ 处理器产品家族)的方式. ...

  8. Oracle Fusion Applications (11.1.8) Media Pack and Oracle Application Development Framework 11g (11.1.1.7.2) for Microsoft Windows x64 (64-bit)

    Oracle Fusion Applications (11.1.8) Media Pack for Microsoft Windows x64 (64-bit) 重新搜索   常见问题    提示  ...

  9. Installing node-oracledb on Microsoft Windows

    版本 7 由 Laura Ramsey-Oracle 于 2015-10-19 下午11:46创建,最后由 cj 于 2015-10-22 下午7:44修改. Installing node-orac ...

随机推荐

  1. RabbitMQ 运转流程

    生产者发送消息 1.生产者连接到 RabbitMQ Broker,建立一个连接(Connection),开启一个信道(Channel) 2.生产者声明一个交换器,并设置相关属性,比如交换机类型.是否持 ...

  2. 线性回归,感知机,逻辑回归(GD,SGD)

    线性回归 线性回归是一个回归问题,即用一条线去拟合训练数据 线性回归的模型: 通过训练数据学习一个特征的线性组合,以此作为预测函数. 训练目标:根据训练数据学习参数(w1,w2, ... , wn,b ...

  3. P3355 骑士共存问题

    P3355 骑士共存问题 题目描述 在一个 n*n (n <= 200)个方格的国际象棋棋盘上,马(骑士)可以攻击的棋盘方格如图所示.棋盘上某些方格设置了障碍,骑士不得进入 对于给定的 n*n ...

  4. java反射机制的理解

    反射机制是什么概念?大多都有介绍,指的是程序在运行状态中,能够加载一个只有类名的类,加载完之后会在堆上产生一个Class对象.通过这个 Class对象可以获得类的属性.方法和其他类信息.之前对反射的应 ...

  5. gson转换对象为json字符串时对特殊字符编码的问题

    使用google的gson进行object和json的转换,如下: public static String object2json(Object obj) { Gson gson = new Gso ...

  6. Linux下压缩文件-1

    tar负责打包,gzip负责压缩 tar-c: 建立压缩档案-x:解压-t:查看内容-r:向压缩归档文件末尾追加文件-u:更新原压缩包中的文件 这五个是独立的命令,压缩解压都要用到其中一个,可以和别的 ...

  7. C++模拟OC的多重自动释放池

    使用过OC的都知道,OC的引用计数机制用起来还比较方便.于是就仿照OC的形式搞了个C++引用计数. 支持多重自动释放池,每次autorelease都会放到栈顶的自动释放池中. 自动释放池也可以像变量一 ...

  8. bzoj 5085: 最大——结论题qwq

    Description 给你一个n×m的矩形,要你找一个子矩形,价值为左上角左下角右上角右下角这四个数的最小值,要你最大化矩形 的价值. Input 第一行两个数n,m,接下来n行每行m个数,用来描述 ...

  9. Scala2.10.4在CentOS7中的安装与配置

    随着基于内存的大数据计算框架——spark的火爆流行,用于编写spark内核的Scala语言也随之流行开来.由于其编写代码的简洁性,受到了越来越多程序员的喜爱.我今天给大家展示的时Scala2.10. ...

  10. 【转】.NET+AE开发中常见几种非托管对象的释放

    尝试读取或写入受保护的内存.这通常指示其他内存已损坏. 今天在开发时遇到一个问题:" 未处理 System.AccessViolationException Message="尝试 ...