HackTem爆出的第二枚0day,分析了下,做个记录。

Poc中一开始会分配一个Array类型的_ar结构。

第一次赋值

此时在a[0 ] –a[1e-1] 处已被赋值为Vector.<uint>(62)结构。

任意查询可发现给vector的长度已被赋值为62生成的array  0~1e

之后对1e~7e间的ar[i]进行赋值,每个模块为Vector.<uint>(8),其中第一个字节设置标记位,用于之后快速定位越界单元。

查看对应的内存,可以发现1e~7e中为长度为8的Vector.<uint>(8)

a[i]中被赋值之后的数组1e~2e处已被赋值

总的a[i]内存

对a[i]中1e~2e处的单元进行赋值,赋值对象为一个TextLine对象

开始赋值

赋值结束之后的内存空间

此时a[i]中赋值完毕,整体的a结构

获取对应的textline的对象

对a[i]中1e~2e中的textline单元设置opaqueBackground属性,该属性会导致avm为每个单元分配大小为0x390的内存空间

获取对应的textline对象

首先调用0418e3b3处的函数用于返回对应的textline单元,获取该单元之后在0418e3fecc处通过call eax 创建0x390大小的内存,在该函数中随后会有对valueOf2的操作进行判断,成功的话会由此进入valueOf2的判断,从而导致uaf,而在call eax返回前会对0x390的内存空间偏移0x320的地方进行6a的赋值,通过精心的内存布局,可致使6a被写入到vector的length域中。

整个内存分配结束之后

生成的vector<uint>(62)

生成的Vector<8>

生成的backGroundObj空间

对textline对象的opaqueBackgroind属性进行赋值,此处赋值的对象为MyClass32,由于array为Byte属性,此时赋值的话将导致MyClass类的valudfo函数调用。

进入valueOf函数中,对a[i]中的textline对象进行释放,大小

释放前的backgroudObj

完全释放5个backgroudObj之后。

释放之后立即,对a[i]中1e~7e的数据单元的长度进行重置,由于avm中的内存管理机制,会导致之前分配的内存被优先分配,从而致使之前释放掉的5个backgroudObj的内存被重新分配的ar数组中的十个单元所占有。

如下图所示内存出处最后一个单元外,之前所有的单元已经重新分配完毕

通过对比释放掉的五个backgroundObj,此处可以在内存中搜索出是那几个单元重用了之前释放的内存,如下图所示。

之前提到该操作会导致对应MyClass类的ValueOf函数被调用,在该函数中我们释放5个backgroundObj对象,同时使用通过重置ar[i]中1e~7e单元的大小,重新占有了这5个backgroundObj对象之前的空间,ValueOf函数返回后,在其后的对应操作中,会对之前的5个backgroundObj对象中x320的位置进行想x190的赋值操作,由于重置之后的ar[i]单元大小为x190,因此正好导致其中某处单元的vector的长度值从62被设置为6a。

整个过程如下图

被设置的ar[3b]单元,可见此处的length域已经被赋值为6a。

获取越界的a[i],并将其相邻的vector结构的长度设置成40000000,因而获取一个超长的全内存读写vector

生成的全局内存读写vector

cve-2015-5122漏洞分析的更多相关文章

  1. 漏洞分析:CVE 2021-3156

    漏洞分析:CVE 2021-3156 漏洞简述 漏洞名称:sudo堆溢出本地提权 漏洞编号:CVE-2021-3156 漏洞类型:堆溢出 漏洞影响:本地提权 利用难度:较高 基础权限:需要普通用户权限 ...

  2. CVE-2014-1767 漏洞分析(2015.1)

    CVE-2014-1767 漏洞分析 1. 简介 该漏洞是由于Windows的afd.sys驱动在对系统内存的管理操作中,存在着悬垂指针的问题.在特定情况下攻击者可以通过该悬垂指针造成内存的doubl ...

  3. Java反序列化漏洞分析

    相关学习资料 http://www.freebuf.com/vuls/90840.html https://security.tencent.com/index.php/blog/msg/97 htt ...

  4. CVE-2016-10190 FFmpeg Http协议 heap buffer overflow漏洞分析及利用

    作者:栈长@蚂蚁金服巴斯光年安全实验室 -------- 1. 背景 FFmpeg是一个著名的处理音视频的开源项目,非常多的播放器.转码器以及视频网站都用到了FFmpeg作为内核或者是处理流媒体的工具 ...

  5. PHPCMS \phpcms\modules\member\index.php 用户登陆SQL注入漏洞分析

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述2. 漏洞触发条件 0x1: POC http://localhost/p ...

  6. FFmpeg任意文件读取漏洞分析

    这次的漏洞实际上与之前曝出的一个 CVE 非常之类似,可以说是旧瓶装新酒,老树开新花. 之前漏洞的一篇分析文章: SSRF 和本地文件泄露(CVE-2016-1897/8)http://static. ...

  7. Intel CPU 漏洞分析

    Intel CPU漏洞分析报告 预备知识 存储分级 由于计算机存储分级的特性(第一级:寄存器,第二级:高速缓存,第三级:内存,第四级:磁盘),每一级之间的访问速度差距高达数量级.所以处理器会将用到的数 ...

  8. Elasticsearch 核心插件Kibana 本地文件包含漏洞分析(CVE-2018-17246)

    不久前Elasticsearch发布了最新安全公告, Elasticsearch Kibana 6.4.3之前版本和5.6.13之前版本中的Console插件存在严重的本地文件包含漏洞可导致拒绝服务攻 ...

  9. ThinkCMF X2.2.2多处SQL注入漏洞分析

       1.     漏洞描述 ThinkCMF是一款基于ThinkPHP+MySQL开发的中文内容管理框架,其中X系列基于ThinkPHP 3.2.3开发,最后更新到2.2.2版本.最近刚好在渗透测试 ...

  10. 看个AV也中招之cve-2010-2553漏洞分析

    试想:某一天,你的基友给你了一个视频文件,号称是陈老师拍的苍老师的老师题材的最新电影.avi,你满心欢喜,在确定文件格式确实为avi格式后,愉快的脱下裤子准备欣赏,打开后却发现什么也没有,而随后你的基 ...

随机推荐

  1. java进行文件上传,带进度条

    网上看到别人发过的一个java上传的代码,自己写了个完整的,附带源码 项目环境:jkd7.tomcat7. jar包:commons-fileupload-1.2.1.jar.commons-io-1 ...

  2. javascript判断手机浏览器版本信息

    <script type="text/javascript"> /* * 智能机浏览器版本信息: * */ var browser={ versions:functio ...

  3. MVC前后端数据被编码

    @{ ViewBag.Title = "Home Page";}<script> function htmldecode(s) { console.log(s); va ...

  4. 深入了解C#系列:谈谈C#中垃圾回收与内存管理机制

    今天抽空来讨论一下.Net的垃圾回收与内存管理机制,也算是完成上个<WCF分布式开发必备知识>系列后的一次休息吧.以前被别人面试的时候问过我GC工作原理的问题,我现在面试新人的时候偶尔也会 ...

  5. 理解Kalman滤波的使用

    Kalman滤波简介 Kalman滤波是一种线性滤波与预测方法,原文为:A New Approach to Linear Filtering and Prediction Problems.文章推导很 ...

  6. [Head First设计模式]面向对象的3特征5原则

    系列文章 [Head First设计模式]山西面馆中的设计模式——装饰者模式 [Head First设计模式]山西面馆中的设计模式——观察者模式 [Head First设计模式]山西面馆中的设计模式— ...

  7. [NHibernate]视图处理

    目录 写在前面 文档与系列文章 视图 一个例子 总结 写在前面 前面的文章主要讲了对物理数据表的操作,当然了Nhibernate同样可以操作视图,本文将讲nhibernate对视图操作的种种. 文档与 ...

  8. 关于hg的命令

    整理的创建分支合并一个分支的代码步骤:1.创建一个目录用于作为本地仓库mkdir Center2.将远端代码克隆到本地仓库(这时我的位置在刚创建的Center目录下)hg clone HTTP DIR ...

  9. Bash 中同名的内部命令和外部命令

    昨天有个人在 bug-bash 上问:为什么 [ --help 没有输出帮助信息.有人回答他了,原因是 coreutils 提供的 [ 命令才接受 --help 选项,Bash 自己的 [ 命令不接受 ...

  10. C和指针 第十章 结构和联合 (二)

    结构体传值: 结构体也是标量,像字符和整数一样,可以传递给一个函数,但是传入整个结构体效率很低,可以传入指向结构体的指针来提高效率.如果不希望程序对结构体变量改变可以加入const关键词. typed ...