扫一扫关注公众号,长期致力于安全研究
前言: 该工具在解析OVF文件时,造成了格式化字符漏洞
(CVE-2012-3569)
在命令行下用ovftool.exe打开poc.ovf,之后附加到OD中,可以看到栈空间已经被破坏了
之后定位到错误点,可以看到此时ebp是被破坏掉的
之后通过不断调试,找到了更改EBP的地方,通过查找关键字符定位到POC数据(也可以通过winhex数一下)
%08x 的个数是 98 个,‘A’ 字符的个数是 26 个,%hn 之前的字符串长度为 (98 * 4 + 26) * 2 = 344 + 1 = 345
而%hn用的WORD类型,所以覆盖低地址的部分,345,所以这就构成了120345
这里用的泉哥的EXP进行分析
当执行到ret的时候,可以看到7852753D这个地址
跟过去之后发现7852753D是call esp
再次跟进之后就是Shellcode了
最后分析了exp文件,通过winhex定位到了call esp处
接下来我把这个跳转指令替换成了AAAA
可以看到变成了41414141,通过利用字符输出数量,在结合%n控制覆盖了返回地址
下方扫一下扫,即可关注
本文始发于微信公众号(安全族):VMware OVF Tool漏洞分析全过程
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论