最新消息:图 床

深入解析 CVE-2018-5002 漏洞利用技術

COOL IAM 164浏览 0评论

作者:jinquan of Qihoo 360 Core Security
作者博客:360 Technology Blog

前言

2018年6月1號,360高級威脅應對團隊捕獲到一個在野flash 0day。上周,國外分析團隊Unit 42公布了關於該次行動的進一步細節。隨後,卡巴斯基在twitter指出此次攻擊背後的APT團伙是FruityArmor APT。

在這篇博客中,我們將披露該漏洞利用的進一步細節。

漏洞利用

原始樣本需要與雲端交互觸發,存在諸多不便,所以我們花了一些時間完整逆向了整套利用代碼,以下分析中出現的代碼片段為均為逆向後的代碼。原始利用支持xp/win7/win8/win8.1/win10 x86/x64全平台。以下分析環境為windows 7 sp1 x86 + Flash 29.0.0.171。64位下的利用過程會在最後一小節簡要提及。

1. 通過棧越界讀寫實現類型混淆

原樣本中首先定義兩個很相似的類class_5class_7,並且class_7的第一個成員變量是一個class_5對象指針,如下:

转载请注明:IAMCOOL » 深入解析 CVE-2018-5002 漏洞利用技術

0 0 vote
Article Rating
Subscribe
Notify of
0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x