[求助]求大牛帮忙分析CVE2011-2003漏洞-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[求助]求大牛帮忙分析CVE2011-2003漏洞

发表于: 2011-10-18 12:20 5473

[求助]求大牛帮忙分析CVE2011-2003漏洞

清新阳光

2011-10-18 12:20

5473

10月份的微软补丁补了一个Fon字体的内核溢出漏洞。该漏洞网上已经有POC，通过补丁对比发现，补丁就修改了这个地方

而崩溃的时候崩溃在了这个地方

该崩溃地址的函数的作用即Free掉一块堆内存。
之前补丁修改的函数上下文如下：

我们用类似下面的伪代码表示这段指令：
int initallocsize= 0x28;
allocsize = (num+7)/8;
if (allocsize< 0x100)
allocsize = initallocsize;
else allocsize+=0x28;

EngAllocMem(0, allocsize, 0x64666d42);
这其中num是传进来的
经过几次跟踪发现在EngAllocMem申请的几个块中其中会有一个块出现问题导致Free的时候出现崩溃
因此猜测该漏洞属于堆溢出方面的漏洞但目前我还无法将fon文件和代码结合起来也就是不知道为什么该poc会导致问题请大牛帮忙看看
附件为该漏洞的poc my.fon.rar

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

Snap9.JPG （84.93kb，260次下载）
Snap7.JPG （33.50kb，259次下载）
Snap11.jpg （42.06kb，259次下载）
Snap12.jpg （106.54kb，258次下载）
my.fon.rar （0.76kb，22次下载）

收藏・1

免费・0

支持

最新回复 (8)
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 70 关注私信	仙果 19 2 楼能否传一份POC上来 2011-10-18 14:03 0
哈哈天下雪币： 82 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	哈哈天下 3 楼 066K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3g2^5M7r3I4G2K9i4c8K6K9r3!0H3i4K6u0W2N6$3!0J5k6s2m8J5k6i4y4K6i4K6u0W2j5$3!0E0i4K6u0r3x3U0l9I4x3g2)9J5c8U0p5H3i4K6u0r3x3e0u0Q4x3V1k6E0M7K6p5I4i4K6u0V1x3o6M7%4i4K6u0V1N6Y4g2D9L8X3g2J5j5h3u0A6L8r3W2@1K9h3g2K6i4K6u0V1K9h3&6Q4x3X3c8%4K9h3&6V1L8%4N6K6i4K6u0V1K9$3g2J5L8X3g2D9i4K6u0V1L8h3!0V1k6g2)9J5k6r3c8J5K9i4k6W2M7Y4y4Q4x3X3c8U0L8%4g2D9k6q4)9J5k6r3q4D9L8r3!0%4i4K6u0V1M7X3g2E0L8%4c8W2i4K6u0V1j5$3!0V1k6g2)9J5k6r3g2^5k6h3y4#2N6r3W2G2L8W2)9J5k6o6t1#2y4U0M7H3y4e0y4Q4x3V1j5`. 这上面有原文不会调要翻墙才能下 2011-10-18 15:00 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 70 关注私信	仙果 19 4 楼你发到论坛上备份一个吧，我这里现在翻不了墙 2011-10-18 16:43 0
清新阳光雪币： 95 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 59 粉丝 0 关注私信	清新阳光 5 楼在帖子上面有poc 在附件中 2011-10-18 23:30 0
清新阳光雪币： 95 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 59 粉丝 0 关注私信	清新阳光 6 楼另外还有一个问题我发现在崩溃的时候栈回溯下方全都变成了cdcdcdcd 于是就跟踪了导致该问题的原因发现在kiswapprocess的时候中的mov cr3,eax时候出现的问题也就是在切换进程的时候出现问题了实在搞不清楚这是为什么 2011-10-18 23:33 0
cscoder 雪币： 403 活跃值： (330) 能力值： ( LV12，RANK：230 ) 在线值：发帖 20 回帖 77 粉丝 2 关注私信	cscoder 5 7 楼我已经简单分析了一下,详见912K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2A6i4K6u0W2j5X3q4A6k6s2g2Q4x3X3g2U0L8$3#2Q4x3V1j5@1j5W2)9#2k6U0c8T1i4K6u0r3j5X3I4G2k6#2)9J5c8X3W2@1k6h3#2Q4x3V1k6T1j5e0R3I4y4U0u0X3z5o6V1H3z5o6S2X3j5e0x3&6j5X3b7K6x3e0l9&6x3X3y4Q4x3X3g2Z5N6r3#2D9 希望能对楼主有所启发 2011-10-21 07:54 0
cscoder 雪币： 403 活跃值： (330) 能力值： ( LV12，RANK：230 ) 在线值：发帖 20 回帖 77 粉丝 2 关注私信	cscoder 5 8 楼那个POC最好在XP3下调试,在WIN7下系统貌似会自动打开那个my.fon造成BSOD;一开始我把那个my.fon解压到桌面了,导致开机一进入桌面就BSOD 2011-10-21 07:55 0
清新阳光雪币： 95 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 59 粉丝 0 关注私信	清新阳光 9 楼谢谢楼上的大牛哈其实我那是分析到一半当时主要纠结在这些数据和那个Fon文件有什么联系上了没有看下面的代码 2011-10-22 13:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

清新阳光

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (8)
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 70 关注私信	仙果 19 2 楼能否传一份POC上来 2011-10-18 14:03 0
哈哈天下雪币： 82 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	哈哈天下 3 楼 066K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3g2^5M7r3I4G2K9i4c8K6K9r3!0H3i4K6u0W2N6$3!0J5k6s2m8J5k6i4y4K6i4K6u0W2j5$3!0E0i4K6u0r3x3U0l9I4x3g2)9J5c8U0p5H3i4K6u0r3x3e0u0Q4x3V1k6E0M7K6p5I4i4K6u0V1x3o6M7%4i4K6u0V1N6Y4g2D9L8X3g2J5j5h3u0A6L8r3W2@1K9h3g2K6i4K6u0V1K9h3&6Q4x3X3c8%4K9h3&6V1L8%4N6K6i4K6u0V1K9$3g2J5L8X3g2D9i4K6u0V1L8h3!0V1k6g2)9J5k6r3c8J5K9i4k6W2M7Y4y4Q4x3X3c8U0L8%4g2D9k6q4)9J5k6r3q4D9L8r3!0%4i4K6u0V1M7X3g2E0L8%4c8W2i4K6u0V1j5$3!0V1k6g2)9J5k6r3g2^5k6h3y4#2N6r3W2G2L8W2)9J5k6o6t1#2y4U0M7H3y4e0y4Q4x3V1j5`. 这上面有原文不会调要翻墙才能下 2011-10-18 15:00 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 70 关注私信	仙果 19 4 楼你发到论坛上备份一个吧，我这里现在翻不了墙 2011-10-18 16:43 0
清新阳光雪币： 95 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 59 粉丝 0 关注私信	清新阳光 5 楼在帖子上面有poc 在附件中 2011-10-18 23:30 0
清新阳光雪币： 95 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 59 粉丝 0 关注私信	清新阳光 6 楼另外还有一个问题我发现在崩溃的时候栈回溯下方全都变成了cdcdcdcd 于是就跟踪了导致该问题的原因发现在kiswapprocess的时候中的mov cr3,eax时候出现的问题也就是在切换进程的时候出现问题了实在搞不清楚这是为什么 2011-10-18 23:33 0
cscoder 雪币： 403 活跃值： (330) 能力值： ( LV12，RANK：230 ) 在线值：发帖 20 回帖 77 粉丝 2 关注私信	cscoder 5 7 楼我已经简单分析了一下,详见912K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2A6i4K6u0W2j5X3q4A6k6s2g2Q4x3X3g2U0L8$3#2Q4x3V1j5@1j5W2)9#2k6U0c8T1i4K6u0r3j5X3I4G2k6#2)9J5c8X3W2@1k6h3#2Q4x3V1k6T1j5e0R3I4y4U0u0X3z5o6V1H3z5o6S2X3j5e0x3&6j5X3b7K6x3e0l9&6x3X3y4Q4x3X3g2Z5N6r3#2D9 希望能对楼主有所启发 2011-10-21 07:54 0
cscoder 雪币： 403 活跃值： (330) 能力值： ( LV12，RANK：230 ) 在线值：发帖 20 回帖 77 粉丝 2 关注私信	cscoder 5 8 楼那个POC最好在XP3下调试,在WIN7下系统貌似会自动打开那个my.fon造成BSOD;一开始我把那个my.fon解压到桌面了,导致开机一进入桌面就BSOD 2011-10-21 07:55 0
清新阳光雪币： 95 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 59 粉丝 0 关注私信	清新阳光 9 楼谢谢楼上的大牛哈其实我那是分析到一半当时主要纠结在这些数据和那个Fon文件有什么联系上了没有看下面的代码 2011-10-22 13:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复