安全客
去年10月底,我得到一个与大众视野中不太一样的CVE-2016-0189利用样本。本文我将描述该CVE-2016-0189样本的利用方式,读者在后面将会看到,利用过程中的错位手法和CVE-2014-6332,CVE-2017-0149,CVE-2018-8174以及CVE-2018-8373几乎一致。
本文是对我在Bluehat Shanghai 2019演讲内容的一个拓展性总结。在本文中,我将总结2010年到2018年出现的Office相关0day/1day漏洞。我将对每种类型的漏洞做一次梳理,并对每个漏洞的相关分析文章进行引用和归类。
最近拿到一个新的HWP样本,样本本身利用的是一个老漏洞,这个样本吸引我们的是shellcode部分。相关漏洞的细节我们在之前的文章中已有描述。需要注意的是,这次的样本和上次的样本在最终的执行流切换方面有一些差异。
最近拿到一些 HWP(韩文字处理程序) 的漏洞样本,花了几天时间调试了一下,本文记述了我对其中一个样本的调试过程。
不久前看到一篇对CVE-2017-11826的分析,看的过程中想到去年看过的《重装上阵-office攻击来袭》,深感之前分析这个漏洞时并没有分析得很清楚,于是又重新调试了一下,并把CVE-2015-1641也一并重新分析了一下。
当看到国外的安全公司checkpoint也发了一篇关于CVE-2018-0802的分析文章时,我仔细阅读了一下,然后意识到这个漏洞和国内厂商报的CVE-2018-0802并不是同一个漏洞。在复现的过程中,发现checkpoint的CVE-2018-0802漏洞其实位于Matrix record(0x05)的解析逻辑内。
前段时间调试了一下CVE-2017-11882,分析过程中发现CVE-2017-11882和CVE-2012-0158很像。上周末我决定重新分析一下0158这个经典的栈溢出漏洞。
CVE-2017-11882是微软本月公布的一个远程执行漏洞,通杀目前市面上的所有office版本及Windows操作系统。是一个非常经典的栈溢出漏洞。上次出现这么典型的office栈溢出漏洞是著名的CVE-2012-0158。本文将深入分析该漏洞背后的机制,并在此基础上讲一下poc的构造方法,利用思路及动态检测方式。
该漏洞是和CVE-2015-1641一样经典的类型混淆漏洞。这篇文章中,我将分析该漏洞的触发原理,并在此基础上尝试构造该漏洞的一个简单利用,最后给出该漏洞的动态检测方案。
勋章成就
稿费总计 4500
发表文章 9
参与讨论 9
关注
1
粉丝
19