• 设为首页
  • 点击收藏
  • 手机APP
    手机扫一扫下载
    华域联盟APP
  • 关注官方公众号
    微信扫一扫关注
    华域联盟公众号
hotWEB访问日志自动化剖析浅谈

1.概略最近经常需求剖析WEB访问日志,从中发现非法央求,然后做相应安全检查,为了便当,所以写了一个日志 详情

一次意外的0day之旅

29
回复
1892
查看
  [复制链接]
发表于 2015-8-2 13:13:34 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册 新浪微博登陆

x

先看看原始漏洞的情况:在处理mpeg tx3g tag时,chunk_size是64位uint,与size之和溢出,导致实际分配比size小的内存。而后面的memcpy会导致heap overflow,写入的data应该是来自文件内容可控的。

  如下是代码:

  platform/frameworks/av/+/android-5.1.1_r8/media/libstagefright/MPEG4Extractor.cpp


! G, V$ c" L9 e3 {7 f# T 20150802080408767.png
, C6 b. g2 u" _/ `2 i7 [  k+ \

  了解了原理后,我们构造了一个POC,简单地将某个mp4文件中的一个“顺眼的”tag:trak修改为tx3g,于是触发了内存异常。当时还要忙着继续分析就没细看。等到写好文章后发现,这个异常不对啊!怎么还没memcpy就异常了?

  于是打开IDA调试一下,结果发现这里的错误实际是一个空指针错误,异常出现在下面text:00063558处,R0=0,读取[R0,#4]发生异常


- j; {9 G% v3 B# E* S" X1 W5 S9 u 20150802080408707.png 1 l, R3 P4 S. H( S: G1 @- I9 u8 q

  具体在代码层看,在处理tx3g这个tag时,调用mLastTrack->meta->findData时,meta为NULL


3 o; j7 C2 @* r1 R; P- g 20150802080408721.png , l, }$ x/ t5 P) \  u2 @

  原因是meta初始化发生在trak这个tag处理过程中,所以将trak修改为tx3g,恰好就造成一个这个漏洞

8 A3 L, {1 X  w3 K% j
20150802080409200.png
- V& w! Y3 `6 u

  Libstagefright的代码质量有待加强啊。分析patch构造的POC也能变成一个新的0day!虽然看上去很难利用,但请参考下面的链接的猥琐思路:

  http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-vulnerability-that-renders-android-devices-silent/

  我们也可以构造类似的网页,引入上述mp4,用户一旦访问下面的网页,锁屏后会发现手机几乎无响应,无法点亮屏幕:

8 _2 T' Q- B! P0 v2 _
20150802080409260.png
' d3 D# z4 y' X; f

  而要构造原始的libstagefright的这个漏洞中实际分析的POC,可以按照下面的步骤:

  首先要让size>0,否则不会进入后面的memcpy流程,这可以通过两个tx3g来构造。第一个tx3g得到size,第二个tx3g,就可以修改之前的size为FFFFFF了。

  如下图所示,有个trak,然后是两个tx3g,第一个tx3g前面的size正常,第二个tx3g前面的size为FF FF FF F0,这就造成了溢出


. ]8 Z( z9 {3 n9 k$ } 20150802080409325.png 0 J' \6 K; `" @# t2 r: C

  最终看到的这个异常如下:dlfree已经探测到heap被破坏。

% U1 @6 y/ |) P
20150802080409116.png
$ c9 m9 h  \, i$ }4 U0 j

  最后给一个利用这个“0day”的视频,这个演示攻击网页还好,要是一个随着开机启动就启动的APP,想想就很开心了……

视频演示地址:http://player.youku.com/embed/XMTI5NzI2NzM0NA==

  _, ?( D" J) P1 E0 X; i3 L, B) B



上一篇:杀毒软件BitDefender被黑,客户数据疑泄露
下一篇:DEFCON 23专门抓捕黑客的人
发表于 2016-6-27 23:28:35 | 显示全部楼层
真是好人啊~~
" v: e, U, L0 A( H" Q- ~+ P
0 B0 @# c% t( _! U: A0 t" y
  \2 B+ f; J( ^6 ]9 W+ ?  ^. n" `8 n: c

1 [) p' R. k( w- K% ^% R9 Q5 ]' m5 G, _2 [5 k& `# m

- }1 x! e3 _: n# d9 i4 a, B% t- i$ E! i4 n" O2 c

% k/ O" P' X% M0 K
* t2 k* h% m0 K
! B& o/ ~3 g" N/ Q  e0 z* B+ ]$ C& \' v" B9 b& i
php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="static/image/common/sigline.gif" border="0" alt="" />$ \. ~# i% G9 B2 \, V
                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图
" k) ?8 q3 A& q0 F1 ^
( @' ?5 w1 d0 N  B
http://www.sanlujt.com/forum.php?mod=viewthread&tid=3567546 b2 J# f* e! X& X4 U
http://py-qmx.com/forum.php?mod=viewthread&tid=1818415; l- f& y7 l; b# M3 V$ e
http://scwhcb.gjshengcai.com/forum.php?mod=viewthread&tid=391504
* M* m1 B; G9 ^& b3 y# O# Ahttp://www.sdzmt.cn/forum.php?mod=viewthread&tid=587880
" ?; W; W2 k& X( khttp://www.0432seo.cn/forum.php?mod=viewthread&tid=67286& o& Y) L' b7 T  X( g
http://appcdn.tianjinmeishi.com/forum.php?mod=viewthread&tid=1065187* m! e# ^( \: x0 m4 ~) k( y1 E1 F% Y
http://zhangyetop.com/forum.php?mod=viewthread&tid=543095
" V" m/ h) O" J+ B* Bhttp://bbs.i8cc.cn/forum.php?mod=viewthread&tid=1318718
. B  a2 W' I/ ^7 f7 b7 M6 Uhttp://www.timi28.com/thread-153244-1-1.html" C4 m% Z' c. m" W: b
http://www.z001.wang/forum.php?mod=viewthread&tid=83713 R3 W* _' m+ F; O2 @  @
http://pan.ceeger.com/read.php?tid=10115776&fid=2/ c1 ]0 o; Q# n1 Y1 n' E' [5 s
http://www.mctyhg.com/forum.php?mod=viewthread&tid=301290
. D+ K2 j* M; d" `7 g- M( Bhttp://sy316.hk234.jyyskl.com/forum.php?mod=viewthread&tid=229832
+ w  R8 r, E+ P6 ?( C/ @http://www.sxbilon17.com/forum.php?mod=viewthread&tid=2699478 }* Z; T+ F* z* C
http://zuqiu521.com/forum.php?mod=viewthread&tid=8028345 M) s- r& Z8 d; }: j
http://www.wo-qo.com/forum.php?mod=viewthread&tid=3108772 Z: H/ \3 X3 A" O% x9 V, X
http://www.xxo123.com/thread-132361-1-1.html
" w$ Q4 u. i& Z8 C& L" Phttp://www.fad3.net/thread-374759-1-1.html
+ e. p& P$ l) `  X, b: Hhttp://app.tianjinmeishi.com/forum.php?mod=viewthread&tid=1065156
6 V3 [  e% E+ O) t+ G1 r: \6 ^/ G  bhttp://zylove.cc/forum.php?mod=viewthread&tid=513821
zuantanduita 该用户已被删除
发表于 2016-6-7 06:41:44 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2016-6-26 05:06:59 | 显示全部楼层
说的不错!
0 G2 R  q0 r+ f
6 r' E' \* M) `# t$ T5 J) g8 Y: A6 J/ v9 v2 o! l

/ \# x5 i" I  }; l
$ y) K# q; L8 s; z& r( n7 U, N, C  |1 Q/ y! `0 l1 a: W: {0 u
  f' w* w2 s4 D- L3 y$ [/ _

4 I% m  q" e  h( P! F+ E+ z) T8 ^- m! Q

8 L: C% x0 ~5 D! v* R# X, k
/ t+ u2 b0 d# r5 d' d. n& }) W( o. |8 q/ Y7 D& N
php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="static/image/common/sigline.gif" border="0" alt="" />
! r) I/ q4 a# W                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图
7 r# T: D9 x8 n. f( r
白癜风的初期症状图/ J0 E$ }6 r6 W  f
白癜风怎样治疗最快1 S3 E% g6 }; I9 F
治疗白癜风医院哪个好" m5 q) w, p( k
白癜风那家治疗好
0 f5 ?8 @3 ~/ L2 g4 T1 ~白癜风怎么查病因
; b% |4 I' V, _5 Z8 P外伤引起的白癜风2 `9 u: _. F4 f3 @$ E) [
癫痫病发作症状: E& p/ P, W5 j; I7 S) d  |
铁血女兵
2 q2 d5 o  U  V* j: Y7 K小儿癫痫的症状- t# I) |, @% {+ K* {
无敌神武# e6 ^( s. z5 y" h3 p; r( J6 |
羊癫疯发病的症状2 }; `) x; t) f( B
吾家蛇女初养成7 M7 j4 I& B2 F0 f2 r' Y" m
癫痫病到哪里治
9 A- P4 {$ {2 H7 E+ O用伍德灯检查不排除有白癜风
0 ?+ b0 s: O. |5 C激光治疗白癜风的优点; {: w$ {  [1 f0 k4 b
女性白癜风什么偏方$ |* K2 ]  M, P
红氧治疗白癜风. ?0 u. s1 r5 D& a. B: g
外伤性癫痫能治愈吗
8 t9 Q) U- ]1 [+ {4 F有什么土方法治疗白癜风
# h8 Q+ C2 s, g" g' m' b; ]羊角风的医院
登洲远 该用户已被删除
发表于 2016-6-26 05:13:54 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
广翠宪 该用户已被删除
发表于 2016-6-26 05:25:48 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
二洋璜 该用户已被删除
发表于 2016-6-26 14:05:39 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
花传贺 该用户已被删除
发表于 2016-6-26 14:12:59 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
二洋璜 该用户已被删除
发表于 2016-6-26 14:14:19 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
珍妨莲 该用户已被删除
发表于 2016-6-26 14:31:08 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
珍妨莲 该用户已被删除
发表于 2016-6-26 21:27:32 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

扫描微信二维码

关注华域联盟公众号

随时了解更新最新资讯

在线客服(服务时间 9:00~18:00)

在线QQ客服

电邮:admin@cnhackhy.com

Powered by 华域联盟! © 2015-2019

备案号:蒙ICP备17000689号-2蒙公网安备 15062202000105号中国互联网举报中心 Free counters!