专业网站运营平台
首页 网络安全 漏洞分析 正文
我要投稿

MS08-052 WMF漏洞分析(图)

漏洞分析
2023-12-04 0 1,006

——by CuteK
一 背景知识
文件格式入手,来分析MS08-052漏洞, 并构造了一个可以使没有补丁的程序崩溃的图片,
1 WMF文件结构
————————–|
| 文件头 |
|————————-|
| 文件记录 |
|————————-|
|————————-|
| 文件记录 |
|————————-|
|————————-|
| 文件记录 |
|————————-|
windows中文件头结构如下
typedef struct
{
INT16 Left;
INT16 Top;
INT16 Right;
INT16 Bottom;
} PWMFRect16;
typedef struct
{
UINT32 Key; // GDIP_WMF_PLACEABLEKEY
INT16 Hmf; // Metafile HANDLE number (always 0)
PWMFRect16 BoundingBox; // Coordinates in metafile units
INT16 Inch; // Number of metafile units per inch
UINT32 Reserved; // Reserved (always 0)
INT16 Checksum; // Checksum value for previous 10 WORDs
} WmfPlaceableFileHeader;
typedef struct tagMETAHEADER
{
WORD mtType; // 01 磁盘
WORD mtHeaderSize; // 0x0009 头大小9个word
WORD mtVersion;
DWORD mtSize; // 不算WmfPlaceableFileHeader头的文件大小
WORD mtNoObjects;
DWORD mtMaxRecord;
WORD mtNoParameters;
} METAHEADER;
MS08-052 WMF漏洞分析(图)500)this.width=500\” title=\”点击这里用新窗口浏览图片\” />
图 1.1 文件头
文件记录由 文件记录大小(4字节) 文件记录类型(2字节) 文件记录体组成,其中0x0538类型是polypolygon类型,正是对这个记录的处理不当导致的溢出, 该记录的结构如下
记录大小
记录类型
polygon个数(假设为x)
第1个polygon的点数(y个) 第2个polygon点数 ….第x个polygon的点数 .
第1个polygon的第1个点 第1个polygon的第2个点….第1个polygon的第y个点
……………
第x个polygon的第1个点 ……………………………第x个polygon的最后1个点
由图1.2看出该记录的大小为0x73个word长度. 该记录类型是0x0538 该记录中polygon的个数为1 , polygon的点数为0x37, 后面0x37个word长度的数据就是该polygon的点. 想要读取该记录则要先分配空间,但并不是根据0x73来分配的,而是根据polygon的个数,及每个polygon的点数相加来分配空间.
MS08-052 WMF漏洞分析(图)500)this.width=500\” title=\”点击这里用新窗口浏览图片\” />
图 1.2 polypolygon记录
二 漏洞部分代码
MS08-052 WMF漏洞分析(图)500)this.width=500\” title=\”点击这里用新窗口浏览图片\” />
图2.1 具有漏洞的代码
MS08-052 WMF漏洞分析(图)500)this.width=500\” title=\”点击这里用新窗口浏览图片\” />
图2.2 微软修补后的代码
除了判断是否小于0 还有判断是否加过了溢出了
三 WMF文件构造
构造了一个wmf文件polypoygon记录, 用极大的polygon个数和每个polygon的点数都很大, 使其计算达到整数溢出,使用没有补丁的gdiplus的程序查看该文件,就可以直接崩溃, 测试图片连接http://bbs.antiy.cn/viewthread.php?tid=1087&extra=page=1&frombbs=1 无木马. 呵呵
MS08-052 WMF漏洞分析(图)500)this.width=500\” title=\”点击这里用新窗口浏览图片\” />
四解决方案
有漏洞的赶快打补丁吧
http://www.antiy.com/cn/download/agdifix.htm
五 总结
图形文件格式是由很多“段”构成的数据流,而每个段由:长度, 类型,参数,数据等结构构成,在程序解析这些文件格式的时候会依据“类型”来确认段,并读取参数” 进行一定的运算,再依据这些参数来处理随后紧跟的“数据”。漏洞的产生原因就是在对参数进行运算的时候相信了文件输入的参数没有进行确认而导致的。除了图形文件格式外excel的biff格式也是一样的由段的头决定后续数据的读取,且有可变数据对象。有输入就有危险.

收藏 (0) 打赏

感谢您的支持,我会继续努力的!

打开微信/支付宝扫一扫,即可进行扫码打赏哦,分享从这里开始,精彩与您同在
点赞 (0)

悠久资源 漏洞分析 MS08-052 WMF漏洞分析(图) https://www.u-9.cn/security/fenxi/72491.html

MS08-052 WMF漏洞分析(图)
上一篇: PHPCMS2007 SP6 vote模块SQL注射漏洞的分析
MS08-052 WMF漏洞分析(图)
下一篇: Windows Vista中IE漏洞击穿系统分析
常见问题

相关文章

Velocity Parse()函数引发的本地包含漏洞及利用方法
Velocity Parse()函数引发的本地包含漏洞及利用方法
漏洞分析
5个月前 322
查找Centos Linux服务器上入侵者的WebShell后门
查找Centos Linux服务器上入侵者的WebShell后门
漏洞分析
5个月前 1,083
微软\”后门\”ntsd的发现与清除
微软\”后门\”ntsd的发现与清除
漏洞分析
5个月前 311
WEBSHELL箱子系统V1.0收信箱子代码漏洞分析及解决方法
WEBSHELL箱子系统V1.0收信箱子代码漏洞分析及解决方法
漏洞分析
5个月前 672
猜你喜欢
发表评论
暂无评论
官方客服团队

为您解决烦忧 - 24小时在线 专业服务

联系官方团队 在线提交工单
TA的动态
总裁主题

分享最新WordPress教程共同学习,共同进步,共同成长!

QQ交流群
悠久资源

QQ交流群

您的支持,是我们最大的动力!
热门文章
热门评论
终身VIP会员限时钜惠
首页 首页 菜单 首页 首页