分类: 网络与安全
2012-03-27 23:22:10
微软提供的WMITOOLS存在一个远程代码执行漏洞,攻击者可以直接控制一个调用地址,让程序直接走到我们在内存中已经布置好的shellcode上.
详细说明:微软提供的WMITOOLS存在一个远程代码执行漏洞,攻击者可以直接控制一个调用地址,让程序直接走到我们在内存中已经布置好的shellcode上.
官方地址:
漏洞出在WBEMSingleView.ocx的AddContextRef方法上.
[id(0x00000018), helpstring("Increment Context Ref Count")]
long AddContextRef(long lCtxtHandle);
02D26BF9 837D 08 FF cmp dword ptr [ebp+8], -1
02D26BFD 74 06 je short 02D26C05
02D26BFF 837D 08 00 cmp dword ptr [ebp+8], 0
02D26C03 75 07 jnz short 02D26C0C
02D26C05 B8 05400080 mov eax, 80004005
02D26C0A EB 13 jmp short 02D26C1F
02D26C0C 8B45 08 mov eax, dword ptr [ebp+8] //可控的参数
02D26C0F 8945 FC mov dword ptr [ebp-4], eax
02D26C12 8B4D FC mov ecx, dword ptr [ebp-4]
02D26C15 8B11 mov edx, dword ptr [ecx] //继续传,传给了edx
02D26C17 8B45 FC mov eax, dword ptr [ebp-4]
02D26C1A 50 push eax
02D26C1B FF12 call dword ptr [edx] //控制了这个调用地址
POC:
可执行shellcode的代码:
shellcode的代码是干嘛的a啊