0x00 漏洞背景 KeePass是一款开源密码管理软件。它旨在帮助用户存储和管理他们的密码和敏感信息，以便安全地访问各种在线服务和应用程序。 KeePass提供一个安全的数据库，其中可以存储用户名、密码、网站链接、附加说明和其他自定义字段。这些信息被加密保护，并需要一个主密码或密钥文件才能解锁和访问。 0x01 漏洞信息 2023年5月1日，安全研究人员vdohney在sourceforge的KeePass讨论模块向开发者说明了该漏洞。 2023年5月2日，vdohney在github上公开了此漏洞的POC。 2…

0x00 漏洞背景 QQ 是一款广泛使用的即时通讯软件，由腾讯公司开发和运营。它提供在线聊天、语音通话、视频通话、在线游戏等功能，成为了许多人日常沟通和社交的重要工具之一。QQ 拥有庞大的用户基础，并且其用户群体遍布全球。 TIM（腾讯即时通信）是腾讯公司推出的另一款即时通讯软件，旨在为企业和个人提供高效的即时沟通和协作平台。TIM支持文字聊天、语音通话、视频通话、群组聊天、文件传输等功能，并提供了企业级的团队协作工具和云服务。TIM在商务和工作场景中广泛应用，帮助用户提升工作效率和沟通效果 QQProtect（Q…

实验环境 推荐使用的环境 备注 操作系统 Windows XP SP3 虚拟机 Vmware 调试器 OD 反汇编器 IDA Pro 漏洞软件 Microsoft Office 2003 动态分析 打开POC，发现eip是0x41414141，向上最近的返回地址是0x275C8A0A MSCOMCTL.275C8A0A。 该返回地址在sub_275c89c7函数中。 打个断点重新运行。 call 275c876D执行完后，栈的数据变化了，猜测是从文件中获取了某个obj的长度。由于是文件中存的是hex的字符版本，所以…

实验环境 推荐使用的环境 备注 操作系统 Windows XP SP3 虚拟机 Vmware 调试器 OD 反汇编器 IDA Pro 漏洞软件 Windows Media Player 静态分析 MIDI文件格式 NIDI文件结构由若干个块（Chunk）组成，主要分为包头块（Header Chunk）和音轨块（Track Chunk）两部分，每个块由块标记，块长度和块数据组成，其中块标记和块长度均为4字节，其格式如下： MIDI文件头信息主要包含歌曲的MIDI格式类型，音轨数和时间计数器。 音轨块主要包含播放歌曲的…

实验环境 推荐使用的环境 备注 操作系统 Windows XP SP3 虚拟机 Vmware 调试器 OD 反汇编器 IDA Pro 漏洞软件 Microsoft Office 2003 动态分析 Windbg加载程序，打开exp。断点断在0x300e06f7。该地址在sub_300E05AD函数内。 OD打开execl，在0x300E05AD下一个断点，然后在栈顶下一个写入断点(返回地址处)。f9运行停止在0x300DE834。 该指令地址在函数sub_300DE7EC中。这里复制了0x300字节，大于栈大小，造…

实验环境 推荐使用的环境 备注 操作系统 Windows 7 虚拟机 Vmware 调试器 Windbg 反汇编器 IDA Pro 漏洞软件 IE 漏洞分析 由于系统已经安装了SP1补丁，导致漏洞失效，所以此处只进行静态分析。 首先查看Poc代码。（这个书附赠的文件居然没有） <html xmlns:t = "urn:schemas-microsoft-com:time"> <script language='javascript'> function Start() { alert("St…

实验环境 推荐使用的环境 备注 操作系统 Windows 7 SP1 虚拟机 Vmware 调试器 Windbg 反汇编器 IDA Pro 漏洞软件 Windows Fax Cvoer Page Editor 动态分析 栈回溯显然不正常，估计又是符号表和版本出的问题，所以不自己动态分析了，直接看书。 后续静态分析发现果然是SP1的补丁把漏洞修复了。。。 然后发现属性里面有个恢复旧版本，旧版本的果然正常了。 静态分析 书上的栈显然能看出是析构函数调用free出的问题。 补丁分析的时候也主要看CDrawDoc的函数就行…

实验环境 推荐使用的环境 备注 操作系统 Windows XP SP3 虚拟机 Vmware 调试器 OD 反汇编器 IDA Pro 漏洞软件 Microsoft Office 2003 动态分析 样本的获取可以通过msf构造。 search cve-2010-2883 use xxxxx info set target x exploit 打开winword，windbg附加进程，word打开msf.rtf。产生异常。 edi为130000。READONLY区域。 由于此时栈空间已被破坏，所以b 30e9eb88…

实验环境 推荐使用的环境 备注 操作系统 Windows XP SP3 虚拟机 Vmware 调试器 OD 反汇编器 IDA Pro 漏洞软件 Adobe Reader 版本号：9.3.4 静态分析 漏洞点来源于该函数，strcat处将uniqueName的数据复制过去，但没有进行长度校验。 通过PdfStreamDumper工具取出PDF样本中的TTf文件。 官方文档中TTF文件TableEntry的定义： typedef struct struct_SING{ char tag[4]; // 标签 "SING"…

实验环境 推荐使用的环境 备注 操作系统 Windows 7 虚拟机 Vmware 调试器 Windbg 反汇编器 IDA Pro 漏洞软件 IE 动态分析 打开poc.html，崩溃，kb回溯栈。 感觉可能是VGX.dll的版本或者符号表不同，导致触发点不同，所以就不动态分析了。 静态分析 IDA找到该函数。 src来自于上一个函数，但是上一个函数是OLEAUT32!DispCallFunc一般用于调用ActiveX控件中的函数。因此可以推断ORG::Get函数只是触发异常的函数，并不是漏洞函数。 分析PoC.h…