CVE-2012-0158漏洞的样本分析

最新推荐文章于 2024-09-28 23:10:58 发布
最新推荐文章于 2024-09-28 23:10:58 发布
阅读量1k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_38184895/article/details/83351929
本文详细分析了一个名为E5937775444C94CA3C1A309A7BDEC42E.doc的文件,该文件关联到CVE-2012-0158漏洞。通过使用Procmon.exe、附加调试等技术,揭示了漏洞发生在MSCOMCTL.OCX模块,由于内存拷贝越界导致的栈溢出。分析指出,问题源于sub_275C876D函数中的REP MOVS指令,当ECX值超过堆栈大小时,引发栈溢出并可能导致shellcode执行。然而,由于下载dead.exe失败,完整分析受限。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一.样本信息

  • 文件名称:E5937775444C94CA3C1A309A7BDEC42E.doc
  • 文件大小:129K
  • MD5:E5937775444C94CA3C1A309A7BDEC42E
  • SHA-1:DB6B1FA595D0A561BFF364181CAB6441D7F24B1D

二.样本分析
0x01.将文件上传至virustotal分析,有许多认为是CVE-2012-0158,该漏洞发生在MSCOMCTL.OCX模块,因为内存拷贝越界导致栈溢出漏洞的触发。

0x02.使用Procmon.exe,尝试运行该文件,观察行为



0x03.进行附加调试,打开文件后,程序抛出了异常,查看堆栈,发现堆栈取已经被覆盖了。尝试在样本中寻找堆栈中的溢出的数据,对比发现后,可以看到堆栈在ESP+13C处之后为样本的数据覆盖,也就是这下面的堆栈已经被破坏了


0x04.往上回溯,找到最近的函数位于MSCOMCTL模块的函数sub_275C8B2B,重新调试文件,尝试在MSCOMCTL.OCX加载后对该函数入口点0x275C8B2B下断点。可以看到堆栈仍是被破坏,继续尝试向上回溯,可以看到地址0x275C8A0A是位于函数sub_275C89C7中,之后在该函数入口点处重新调试下断。



0x05.程序在该入口点断下后,观察堆栈发现还并没有被破坏,逐步向下调试,发现在第二个函数sub_275C876D调用,也就就是运行到0x275C8A0A后,堆栈被破坏。判断可能是该函数导致,重新调试在运行到该函数前对EBP+4也就是函数sub_275C89C7的返回地址下硬件写断点,程序断在sub_275C876D函数该语句处REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ESI]ECX0x209C远超过了该函数的堆栈大小,导致内存拷贝太多,破坏了堆栈

最低0.47元/天 解锁文章

200万优质内容无限畅学
CVE-2012-0158漏洞分析
weixin_44279850的博客
12-27 1532
1样本概况 1.1样本信息 漏洞编号:CVE-2012-0158 漏洞模块:MSCOMCTL.OCX 漏洞类型:缓冲区溢出 样本MD5: 15552F40076D67AF066391D03AC173ED 样本SHA1: 4E8EAD45BDE2CF343DED6B02F13B893D57E1383E 样本CRC32: 51F953DF 1.2漏洞分析环境与工具 操作系统:Window 7 专业版 ...
CVE-2012-0158:Microsoft Office MSCOMCTL.ocx 栈溢出漏洞调试分析
墨鱼菜鸡
02-18 227
0x01 Lotus Blossom 行动 在 2015 年 6 月,国外安全厂商 Palo Alto Networks 的威胁情...
CVE-2012-0158样本分析
yuanfengfengyuan的博客
03-19 454
样本分析记录 样本概述 类型 信息 样本名 个人简历.doc md5 18C6A011C63390195EE12CCD43C3C829 分析工具 x32db wireshark 样本行为总结 样本doc漏洞CVE-2012-0158 样本行为: 通过DOC溢出执行shellcode,访问phone.ftp.sh/c.png下载c.png文件保存到本地并执行,而c.pn...
[漏洞样本分析]CVE-2017-11882
r250414958的博客
11-01 3525
环境: Win7(专业版) office 2003 sp3(完全版) 工具: Ollydbg IDA Pro PEid Kali-Linux metasploit POC来源: https://github.com/embedi/CVE-2017-11882 漏洞介绍: 安全公司Embedi最早报告了漏洞,他们在一个老旧的微软工具Equation Editor中的EQNEDT32...
CVE-2017-11826漏洞利用样本分析
zz_strive_2012的专栏
10-19 3240
2017年10月10日,微软在例行的月度补丁中修复了一个漏洞编号为CVE-2017-11826的在野Microsoft Office 0day 漏洞。鉴于CVE-2017-11826已存在在野利用案例,金睛安全研究团队发布安全预警,提醒广大用户及时修补漏洞漏洞编号: CVE-2017-11826 漏洞影响软件: Microsoft Office Compatibil
CVE-2010-2883 从漏洞分析样本分析
qq_28205153的博客
08-19 6191
本文章将从漏洞利用分析开始,到样本分析结束,其中涉及到的知识点有PDF格式、TTF字体格式、缓冲区溢出漏洞利用、PE文件格式、软件脱壳和恶意代码分析。其中会演示一些基本操作,方便初学者进行复现。 前置知识 要学习本文章,需要下面的前置知识 C语言。可以看《C程序设计语言》。 汇编语言。可以看《深入理解计算机系统》第三章。 缓冲区溢出漏洞利用。可以看《0day安全:软件漏洞分析技术》。 软件脱壳、PE文件格式。可以看《加密与解密》。 恶意代码分析(可选)。可以看《恶意代码分析实战》。 漏洞信息 漏洞名称:
CVE-2012-1856分析报告.pdf
09-18
- 获取漏洞样本是进行漏洞分析和研究的前提,对于研究人员而言,能够从安全社区获取并分享漏洞样本对于提升整个信息安全行业的能力有着显著的推动作用。 通过对CVE-2012-1856漏洞的深入分析,我们不仅能够理解该...
winrar(CVE-2023-38831)漏洞分析
最新发布
4SecNet团队专栏
09-28 1044
WinRAR 是一种流行的文件归档程序,全世界有数百万人使用。它可以创建和查看 RAR 或 ZIP 文件格式的存档,并解压多种存档文件格式。WinRAR 支持创建加密、多部分和自解压存档。WinRAR 在处理压缩包内同名的文件与文件夹时存在代码执行漏洞。攻击者构建由恶意文件与非恶意文件构成的特制压缩包文件,诱导受害者打开此文件中看似无害的文件(如JPG文件)后,将在受害者机器上执行任意代码。
CVE-2012-0158栈溢出漏洞分析
鬼手的博客
08-04 1963
文章目录漏洞描述分析环境漏洞分析寻找漏洞函数验证漏洞函数缩小漏洞范围探究漏洞本质漏洞修复漏洞修复 漏洞描述 该漏洞发生在MSCOMCTL.OCX模块中,在一段内存拷贝时,由于检查条件错误造成基于栈的缓冲区溢出 分析环境 环境 版本 操作系统 W7 x64 调试器 windbg 反汇编器 IDA Pro 漏洞软件 Office 2003 SP3 Office格式分析...
CVE-2012-0158 漏洞分析
kernweak的博客
09-03 1654
样本概况 一个基于栈内存越界拷贝的office漏洞样本信息 测试环境 Win7 x86 office 2003 windbg 火绒剑 漏洞原理 MSCOMCTL.OCX模块是office解析ActiveX控件用到的一个动态库,当一个office相关文档中包含ActiveX这类的控件元素的话,比如按钮、列表、树形控件等,当文档通过office打开时,MSC...
CVE-2012-0158的POC
04-18
这是office安全漏洞的一个POC,用来帮助分析理解漏洞原理。
Virus专杀工具 Virus.Win32.TuTu(Sality) 专杀
05-22
Virus.Win32.TuTu(Sality) 专杀
CVE-2012-0158 MSCOMCTL控件漏洞分析
把梦想放飞在蓝色的天空里...
04-27 5191
CVE-2012-0158 MSCOMCTL控件漏洞分析 作者:chence      时间:27/4/2012  转载请注明出处。看雪链接:http://bbs.pediy.com/showthread.php?t=149957 分析环境:windows xp sp2,word 2007版本:12.0.4518.1014   本次调试采用Windbg,原因有二: 1.
CVE-2012-0158 分析
weixin_30814319的博客
12-01 264
目录 CVE-2012-0158 分析&利用 1、实验环境 2、下载poc样本 3、调试并找到漏洞触发点 4、分析漏洞触发模块及流程 5、漏洞利用 6、总结 7、参考资料 ...
[漏洞样本分析]CVE-2012-0158
r250414958的博客
11-01 1261
环境: Windows7专业版32位 Office2003 XP3 完全版 POC来源: 网络样本 工具: IDA OD 010Ediotr windbg 漏洞成因以及分析: 栈内存拷贝溢出漏洞,控件安全检查不严 查找漏洞触发点: 打开WORD 使用OD 附加WORD 打开POC 触发溢出 由于栈溢出会破坏向下的栈空间,如果足够大,那基本是找不到线索 所以我们往溢出点的栈往上看 找点...
cve-2012-0158漏洞分析
小强的博客
11-09 1873
参考《漏洞战争》分析下,记下自己的心得,主要还是汇编代码比较麻烦。 环境是xpsp3+word2003(11.8324.8324): 打开windbg、word软件,windbg附加word软件进程,word打开poc.doc文件,发现windbg已经断下,eip指向0x41414141,说明已经发生了溢出,eip被控制了。 0:009> g (15c.510): Access vi
逆向CVE-2017-0199漏洞样本
yellow的博客
12-13 906
遇到gamaredon组织攻击乌克兰的word样本,VT杀软大部分报CVE-2017-0199,也有说是word远程模板,非CVE-2017-0199漏洞,现在好奇到底是word远程模板还是CVE-2017-0199漏洞利用 先看gamaredon样本的行为,md5:b221647d110bd2be2c6e9c5d727ca8db是一个word文档,word.exe请求了http://micro...
[病毒分析]利用CVE-2012-0158的病毒分析
r250414958的博客
11-01 1015
样本信息: 病毒名称:Office2003宏病毒 MD5: 52E3DDB2349A26BB2F6AE66880A6130C SHA1: A86DC1842355E6999DE100B85B85A7C1589E4BBC CRC32: 7D21F812 环境: Win7专业版32位 Offi2003 SP3 完全版 工具: 火绒剑,Ollydbg,IDA,Windbg,PEiD Malware D...
漏洞深入分析-2021
dzqxwzoe的博客
02-04 1072
随着cve-2021-40444的披露,随机引爆了全球的网络安全,虽然最近微软发布了补丁,但是cve-2021-40444的利用却越发猖狂。
探索CVE-2017-0199漏洞样本调试中间文件
资源摘要信息:"CVE-2017-0199.zip是包含与CVE-2017-0199漏洞样本有关的中间文件的压缩包,该漏洞与Microsoft Office处理RTF文件的不当方式有关。" CVE-2017-0199漏洞调, CVE-2017-0199漏洞, Microsoft Office RTF...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值