HackTem爆出的第二枚0day,分析了下,做个记录。

Poc中一开始会分配一个Array类型的_ar结构。

第一次赋值

此时在a[0 ] –a[1e-1] 处已被赋值为Vector.<uint>(62)结构。

任意查询可发现给vector的长度已被赋值为62生成的array  0~1e

之后对1e~7e间的ar[i]进行赋值,每个模块为Vector.<uint>(8),其中第一个字节设置标记位,用于之后快速定位越界单元。

查看对应的内存,可以发现1e~7e中为长度为8的Vector.<uint>(8)

a[i]中被赋值之后的数组1e~2e处已被赋值

总的a[i]内存

对a[i]中1e~2e处的单元进行赋值,赋值对象为一个TextLine对象

开始赋值

赋值结束之后的内存空间

此时a[i]中赋值完毕,整体的a结构

获取对应的textline的对象

对a[i]中1e~2e中的textline单元设置opaqueBackground属性,该属性会导致avm为每个单元分配大小为0x390的内存空间

获取对应的textline对象

首先调用0418e3b3处的函数用于返回对应的textline单元,获取该单元之后在0418e3fecc处通过call eax 创建0x390大小的内存,在该函数中随后会有对valueOf2的操作进行判断,成功的话会由此进入valueOf2的判断,从而导致uaf,而在call eax返回前会对0x390的内存空间偏移0x320的地方进行6a的赋值,通过精心的内存布局,可致使6a被写入到vector的length域中。

整个内存分配结束之后

生成的vector<uint>(62)

生成的Vector<8>

生成的backGroundObj空间

对textline对象的opaqueBackgroind属性进行赋值,此处赋值的对象为MyClass32,由于array为Byte属性,此时赋值的话将导致MyClass类的valudfo函数调用。

进入valueOf函数中,对a[i]中的textline对象进行释放,大小

释放前的backgroudObj

完全释放5个backgroudObj之后。

释放之后立即,对a[i]中1e~7e的数据单元的长度进行重置,由于avm中的内存管理机制,会导致之前分配的内存被优先分配,从而致使之前释放掉的5个backgroudObj的内存被重新分配的ar数组中的十个单元所占有。

如下图所示内存出处最后一个单元外,之前所有的单元已经重新分配完毕

通过对比释放掉的五个backgroundObj,此处可以在内存中搜索出是那几个单元重用了之前释放的内存,如下图所示。

之前提到该操作会导致对应MyClass类的ValueOf函数被调用,在该函数中我们释放5个backgroundObj对象,同时使用通过重置ar[i]中1e~7e单元的大小,重新占有了这5个backgroundObj对象之前的空间,ValueOf函数返回后,在其后的对应操作中,会对之前的5个backgroundObj对象中x320的位置进行想x190的赋值操作,由于重置之后的ar[i]单元大小为x190,因此正好导致其中某处单元的vector的长度值从62被设置为6a。

整个过程如下图

被设置的ar[3b]单元,可见此处的length域已经被赋值为6a。

获取越界的a[i],并将其相邻的vector结构的长度设置成40000000,因而获取一个超长的全内存读写vector

生成的全局内存读写vector

cve-2015-5122漏洞分析的更多相关文章

  1. 漏洞分析:CVE 2021-3156

    漏洞分析:CVE 2021-3156 漏洞简述 漏洞名称:sudo堆溢出本地提权 漏洞编号:CVE-2021-3156 漏洞类型:堆溢出 漏洞影响:本地提权 利用难度:较高 基础权限:需要普通用户权限 ...

  2. CVE-2014-1767 漏洞分析(2015.1)

    CVE-2014-1767 漏洞分析 1. 简介 该漏洞是由于Windows的afd.sys驱动在对系统内存的管理操作中,存在着悬垂指针的问题.在特定情况下攻击者可以通过该悬垂指针造成内存的doubl ...

  3. Java反序列化漏洞分析

    相关学习资料 http://www.freebuf.com/vuls/90840.html https://security.tencent.com/index.php/blog/msg/97 htt ...

  4. CVE-2016-10190 FFmpeg Http协议 heap buffer overflow漏洞分析及利用

    作者:栈长@蚂蚁金服巴斯光年安全实验室 -------- 1. 背景 FFmpeg是一个著名的处理音视频的开源项目,非常多的播放器.转码器以及视频网站都用到了FFmpeg作为内核或者是处理流媒体的工具 ...

  5. PHPCMS \phpcms\modules\member\index.php 用户登陆SQL注入漏洞分析

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述2. 漏洞触发条件 0x1: POC http://localhost/p ...

  6. FFmpeg任意文件读取漏洞分析

    这次的漏洞实际上与之前曝出的一个 CVE 非常之类似,可以说是旧瓶装新酒,老树开新花. 之前漏洞的一篇分析文章: SSRF 和本地文件泄露(CVE-2016-1897/8)http://static. ...

  7. Intel CPU 漏洞分析

    Intel CPU漏洞分析报告 预备知识 存储分级 由于计算机存储分级的特性(第一级:寄存器,第二级:高速缓存,第三级:内存,第四级:磁盘),每一级之间的访问速度差距高达数量级.所以处理器会将用到的数 ...

  8. Elasticsearch 核心插件Kibana 本地文件包含漏洞分析(CVE-2018-17246)

    不久前Elasticsearch发布了最新安全公告, Elasticsearch Kibana 6.4.3之前版本和5.6.13之前版本中的Console插件存在严重的本地文件包含漏洞可导致拒绝服务攻 ...

  9. ThinkCMF X2.2.2多处SQL注入漏洞分析

       1.     漏洞描述 ThinkCMF是一款基于ThinkPHP+MySQL开发的中文内容管理框架,其中X系列基于ThinkPHP 3.2.3开发,最后更新到2.2.2版本.最近刚好在渗透测试 ...

  10. 看个AV也中招之cve-2010-2553漏洞分析

    试想:某一天,你的基友给你了一个视频文件,号称是陈老师拍的苍老师的老师题材的最新电影.avi,你满心欢喜,在确定文件格式确实为avi格式后,愉快的脱下裤子准备欣赏,打开后却发现什么也没有,而随后你的基 ...

随机推荐

  1. NGUI Tween动画Scale与Transform冲突

    NGUI中我们要同时完成Scale与Transform的效果,会发现动画并不是同我们想的那样运行的. 原因就是Tween Scale与Tween Transform的冲突调用. Tween Scale ...

  2. 使用U盘重装电脑操作系统

    1. 打开360软件管家,找一个软件"蚂蚁U盘启动"下载,下载好以后打开,电脑上插入U盘,我们制作一个启动U盘备用! 图片图片 按提示制作好启动盘后,保管好U盘. 找一个系统下载网 ...

  3. 10月24日下午PHP封装

    class Ren { private $name; private $sex; private $age;//年龄必须在18-50岁之间 function __construct($n) { $th ...

  4. 在Application中集成Microsoft Translator服务之使用http获取服务

    一.创建项目 首先我们来创建一个ASP.NET Application 选择时尚时尚最时尚的MVC,为了使演示的Demo更简单,这里选择无身份验证 二.创建相关类 项目需要引入之前两个类AdmAcce ...

  5. C#,int转成string,string转成int

    转载:http://www.cnblogs.com/xshy3412/archive/2007/08/29/874362.html 1,int转成string用toString 或者Convert.t ...

  6. PHP之autoload理解

    举个例子就可以看懂了: 同一目录中有2个文件index.php和test.php,在test.php中定义一个test类. test.php <?php class test{ public f ...

  7. swift 001

    swift 001  = 赋值是没有返回值的 所以 int a=10; int b=20; if(a=b){ printf("这个是错误的"); } swift  中的模运算 是支 ...

  8. RobotFrameWork(三)数据类型

    1.1 数字变量 执行结果: 1.2 布尔变量和None/null 执行结果: 1.3 字符串.元组.list和字典 执行结果: 1.4 space和empty 执行结果:

  9. maven install 构建报错

    错误:Failed to execute goal org.apache.maven.plugins:maven-compiler-plugin: 2.3 . 2 :compile ( default ...

  10. 在Mac OS X Yosemite 10.10.3 中搭建第一个 ASP.NET 5 Web 项目

    终于有时间在 Mac 上安装一下 ASP.NET 5,网上有许多教程,但是多数的时间比较早了,版本不是最新,搭着 Build 2015 的春风,我也实践一下 Mac OS X 上的 ASP.NET 5 ...