CVE-2015-1641 Office类型混淆漏洞及shellcode分析

最新推荐文章于 2025-10-28 15:59:53 发布
原创 最新推荐文章于 2025-10-28 15:59:53 发布 · 639 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

作者:枕边月亮

原文来自:CVE-2015-1641 Office类型混淆漏洞及shellcode分析

 

0x1实验环境:Win7_32位,Office2007

0x2工具:Windbg,OD,火绒剑,UltraEdit,oletools;

 

0x3漏洞简述:word在解析docx文档的displacedByCustomXML属性时未对customXML对象进行验证,可以传入其他标签对象进行处理,造成类型混淆,通过在word中嵌入构造好的RTF文件,其中经过精心构造的标签以及对应的属性值被displacedByCustomXML解析以及后续函数处理后会造成任意内存写入。

 

0x4 样本hash值:8bb066160763ba4a0b65ae86d3cfedff8102e2eacbf4e83812ea76ea5ab61a31

 

下载链接:https://github.com/houjingyi233/ ... 76ea5ab61a31.bin.gz

 

0x5:分析记录:

  在分析前先做好虚拟机快照,获取RTF样本后使用oletools工具中的rtfobj.pyc脚本分析,这里将文件命名为aa.doc,在cmd命令模式中来到rtfobj.pyc所在的目录,并将aa.doc一块放到该目录,接着执行命令“rtfobj.pyc aa.doc”,得到分析结果如下:一共四个文件,id为0的是“otkloadr.wRAssembly.1”,用来加载 OTKLOADR.DLL 模块,其功能会在之后分析到:



 

把其他三个OLE对象分别根据他们各自的id用“rtfobj.pyc-s [id] aa.doc”命令依次分离并保存,其中有两个是”.doc”文件,现在样本已经被分离,双击执行也不会有危险,

 


 

将其中id为2的"aa.doc_object_0002042c.doc"的后缀改为“.docx”后,打开word就会奔溃,可以预测,漏洞就在这个OLE里面触发的:

 

 

  在分析这个样本的过程中,由于对RTF文件构造方式不熟悉,使得我在构造样本的时候阻滞了很长时间,东拼西凑就是不能制造crash,后边把问题放到了看雪论坛,前辈们一下就解决了,其实RTF文件的构造不复杂:将原始rtf 样本用文本方式打开,搜索 “objdata” 字符串,可找到与 rtfobj.py 提取后相应 id 的内容,手动抽取对应id的内容另存为一个合法的 rtf 文件即可。前面提到,这个RTF样本一共由四个OLE对象组成,用notepad++打开原始样本,然后搜索“objdata” 字符串,发现一共有四个这样的字符串,也就是那四个OLE,触发漏洞的OLE的id为2,也就是原始样本中的第三个OLE,长这样:

 

 

抽取复制OEL的时候一定要把括号成对匹配好,把这个OLE复制出来,即它的开头到下一个OLE的开头的部分,然后新建一个文本文档,并把后缀改为”.rtf”格式,然后在这个文档中先写好“{\rtf}”,然后粘贴OLE进去即可:

 

最低0.47元/天 解锁文章
CVE-2017-11882 Office漏洞
4SecNet团队专栏
03-16 950
简介 CVE-2017-11882属于缓冲区溢出类型漏洞,造成漏洞的原因是,EQNEDT32.EXE(微软office自带公式编辑器)进程在读入包含MathType的ole数据时,在拷贝公式字体名称(Font Name数据)时没有对名称长度进行校验,导致缓冲区溢出。通过覆盖函数的返回地址,可执行任意代码。 深究其中的具体原因还要对ole文件的数据格式进行了解: ole文件的数据格式 ...
红蓝对抗:钓鱼演练资源汇总&备忘录
最新发布
zhengfei611的博客
12-26 865
本项目收集来自网络(主要是github)的钓鱼相关的资源,其中许多来自作者在攻防演练一线的经验,故列出谨供后人参考。这些资源仅仅是收集而来,未经验证是否可用,也没有逐一经过后门检测,因此学习及使用前需自行验证其可用性和安全性,本项目出现的资源均收集自公开网络,本项目作者未提供且不提供任何相关技术。欢迎任何纠错及补充(当然,额。最好是和本项目相关的= =),请勿进行任何非授权渗透行为,否则请自行承担责任。简单粗暴,基本上仅提供分类、链接和简介。
类型混淆漏洞实例浅析
四维创智
02-20 1348
类型混淆漏洞一般是将数据类型A当做数据类型B来解析引用,这就可能导致非法访问数据从而执行任意代码。 本文通过IE类型混淆漏洞实例和Word类型混淆漏洞实例进行分析,来学习理解类型混淆漏洞原理。 实例一:IE/Edge类型混淆漏洞CVE-2017-0037) 漏洞原因:函数处理时,没有对对象类型进行严格检查,导致类型混淆分析环境:    Win7、IE11 分析工具:    Wind...
Chrome V8引擎类型混淆漏洞分析(CVE-2021-38001)
Moyun_vackbot的博客
01-11 1142
2021年10月28日,谷歌Chrome在发布95.0.4638.69版本时修复了天府杯上昆仑实验室提交的漏洞CVE-2021-38001。由于此漏洞的PoC非常简洁使得作者对V8引擎产生了强烈的兴趣,分析漏洞也是作者对V8的一次学习。V8是谷歌用C++编写的JavaScript和WebAssembly引擎,在Chrome和Node.js中都有使用。 内联缓存 该漏洞与内联缓存(Inline Caching)有关,内联缓存是一种运行时环境(runtime environment)的优化技巧。由于动态语
ZSC:OWASP ZSC-Shellcode混淆代码生成器
02-04
OWASP ZSC 此软件的创建是为了挑战抗病毒技术,研究新的加密方法以及保护包含重要数据的敏感开放源文件。 对于任何非法使用,贡献者和OWASP基金会概不负责。 OWASP ZSC是用python编写的开源软件,可让您生成自定义的shellcode并将脚本转换为混淆的脚本。 可以使用python在Windows / Linux / OSX上运行该软件。 OWASP页面: : 文件: : 主页:http: 功能:http: GitHub: : 存档: : 邮件列表: : API: : 有关更多信息,请阅读主目录中的文档文件或访问主页。
CVE-2015-1641漏洞分析
weixin_34216036的博客
03-08 322
阿里安全 · 2015/10/19 16:41阿里基础安全威胁情报中心0x01 漏洞概述今年4月份微软修补了一个名为CVE-2015-1641的word类型混淆漏洞,攻击者可以构造嵌入了docx的rtf文档进行攻击。word在解析docx文档处理displacedByCustomXML属性时未对customXML对象进行验证,可以传入其他标签对象进行处理,造成类型混淆,导致任意内存写入,最终经过精...
类型混淆漏洞模式浅析
CharlesGodX的博客
01-05 1388
转自先知社区:https://xz.aliyun.com/t/8594 简介 这几天在twitter上无意间发现了一个讲类型混淆的paper,遂决定分析一下Windows内核中类型混淆漏洞模式,本文也是基于两篇paper进行分析学习,首先介绍C++中类型混淆的原理,然后介绍一个Direct X模块的漏洞 。读完本文你会发现实际上后面这个内核洞和前面介绍的C++类型混淆关系不大,是的,我也这么觉得。这么做的原因是前面这部分适合拿来学习原理,原理介绍清楚了之后,后面就靠积累和发散了,实际上你会发现还是有很多相
14、网络漏洞扫描与利用工具深度解析
3c4x5z6v7b的博客
10-28 16
本文深入解析了网络漏洞扫描与利用的核心工具和技术,涵盖OpenVAS和Metasploit的使用方法、CVSS、OVAL、CVRF等漏洞标准项目,并详细介绍了NASL脚本开发、Metasploit攻击流程、有效负载类型及Meterpreter高级功能。文章还提供了工具对比、攻击流程图解以及针对不同角色的安全建议,旨在帮助系统管理员、安全测试人员和普通用户提升网络安全防护能力。
Google Chrome V8< 13.6.86 类型混淆漏洞
murphysec的博客
07-15 505
Google Chrome V8引擎<13.6.86存在高危类型混淆漏洞,因Turboshaft编译器负载消除优化忽略内存分配触发GC的副作用,重用被GC修改的对象类型信息。攻击者可伪造长度错误的ConsString对象,在扁平化操作时触发越界写入,覆盖数组长度实现任意地址读写,最终导致RCE。影响V8<13.6.86、Chromium/Chrome<136.0.7075.0。修复需升级至对应版本,移除LoopPeelingPhase及相关标志。
office CVE-2015-1641杂谈
weixin_30871293的博客
04-14 178
之前看CVE-2017-11826的时候发现该漏洞和早年的CVE-2015-1641不仅在漏洞类型上相似,甚至部分漏洞代码也一致,遂将之前的分析有回顾了一下,留个记录。 具体触发漏洞的字段如下所示,为<w:p>标签下的四个smartTag,该标签用于word和excel中的智能标签,针对任命,日期,时间,地址,等进行智能识别并允许用户执行特征操作的标签,其中displ...
MS Office CVE-2015-1641 恶意 Exploit 样本分析
weixin_30719711的博客
04-20 1674
MS Office CVE-2015-1641 恶意 Exploit 样本分析 在对最近的一个恶意 MS Office 文档样本进行分析时,我们发现了一些有趣的特性。这个文档利用 CVE-2015-1641 来释放和执行一个名为 Troldesh 的勒索软件。 本文我们会先分析漏洞成因,随后分析攻击者是如何让恶意文档躲避检测的。 RTF 文档 我们要分析的 RTF 文档哈希值为72b1...
类型混淆、越界写入漏洞
m0_73399576的博客
07-20 1057
知识面,决定看到的攻击面有多广。知识链,决定发动的杀伤链有多深。
漏洞通告】V8类型混淆漏洞CVE-2020-6418)通告
爱国小白帽
03-05 1646
漏洞通告】V8类型混淆漏洞CVE-2020-6418)通告 威胁对抗能力部 [绿盟科技安全情报](javascript:void(0)???? 昨天 通告编号:NS-2020-0013 2020-03-04 TAG: Chrome、Edge、类型混淆CVE-2020-6418 漏洞危害: 攻击者利用此漏洞,可实现非法访问数据、执行恶意代码。 版本: 1.0 1 漏洞概述 2...
Google Chrome 类型混淆漏洞安全风险
Dingww1011的博客
09-18 403
近日,信息安全中心监测到Google Chrome官方发布安全通告, Google Chrome 发布更新版本,新版本修复了多个安全漏洞,其中包括一个 V8 中的类型混淆漏洞,此类漏洞通常会在成功破坏堆内存后,导致浏览器崩溃或执行任意代码。鉴于此漏洞影响较大,建议尽快做好自查及防护。1. 查看右上角的“更多”图标,选择帮助 -> 关于Google Chrome。官方更新链接 https://google.cn/chrome/2. 等待下载完成后,选择重新启动。3. 查看当前版本是否完成更新。
【kernel exploit】CVE-2021-41073 内核类型混淆漏洞利用分析
panhewu9919的博客
07-10 1691
CVE-2021-41073
免杀之shellcode混淆
qq_63217130的博客
10-25 844
现在的杀软不仅仅会对恶意文件进行一个静态扫描、分析其特征以外,杀软还会将文件丢到虚拟沙箱中去运行,挂一个hook去跟踪、监控调用的api函数并判断其行为,有的杀软甚至是可以扫描内存的(比如卡巴斯基),shellcode在内存中解密后就很容易暴露,这加大了与杀软对抗的难度。所以仅仅是shellcode混淆已经很难再bypass掉各种杀软了,但是这并不意外着shellcode混淆就已失去意义了!!
Shellcode混淆研究
SHELLCODE_8BIT的博客
05-25 330
X86 Shellcode Obfuscation - Part 1
解析CVE-2015-1635:Http.sys漏洞及Joker利用工具
MS15-034是微软发布的安全更新公告编号,它涉及了多个安全漏洞的修复,包括CVE-2015-1635在内的若干漏洞。发布的补丁程序旨在解决由这些漏洞所带来的安全风险。 Http.sys的利用工具,例如名为Joker的工具,能够利用...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值