VULHUB ™

微软提供的WMITOOLS存在一个远程代码执行漏洞,攻击者可以直接控制一个调用地址,让程序直接走到我们在内存中已经布置好的shellcode上. 官方地址: http://www.microsoft.com/downloads/en/details.aspx?FamilyID=6430f853-1120-48db-8cc5-f2abdc3ed314&displaylang=en 漏洞出在WBEMSingleView.ocx的AddContextRef方法上. [id(0x00000018), helpstring("Increment Context Ref Count")] long AddContextRef(long lCtxtHandle); 02D26BF9 837D 08 FF cmp dword ptr [ebp+8], -1 02D26BFD 74 06 je short 02D26C05 02D26BFF 837D 08 00 cmp dword ptr [ebp+8], 0 02D26C03 75 07 jnz short 02D26C0C 02D26C05 B8 05400080 mov eax, 80004005 02D26C0A EB 13 jmp short 02D26C1F 02D26C0C 8B45 08 mov eax, dword ptr [ebp+8] //可控的参数 02D26C0F 8945 FC mov dword ptr [ebp-4], eax 02D26C12 8B4D FC mov ecx, dword ptr [ebp-4] 02D26C15 8B11 mov edx, dword ptr [ecx] //继续传,传给了edx 02D26C17 8B45 FC mov eax, dword ptr [ebp-4] 02D26C1A 50 push eax 02D26C1B FF12 call dword ptr [edx] //控制了这个调用地址 WMITOOLS 厂商补丁： Microsoft --------- 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： http://www.microsoft.com/technet/security/

微软提供的WMITOOLS存在一个远程代码执行漏洞,攻击者可以直接控制一个调用地址,让程序直接走到我们在内存中已经布置好的shellcode上. 官方地址: http://www.microsoft.com/downloads/en/details.aspx?FamilyID=6430f853-1120-48db-8cc5-f2abdc3ed314&displaylang=en 漏洞出在WBEMSingleView.ocx的AddContextRef方法上. [id(0x00000018), helpstring("Increment Context Ref Count")] long AddContextRef(long lCtxtHandle); 02D26BF9 837D 08 FF cmp dword ptr [ebp+8], -1 02D26BFD 74 06 je short 02D26C05 02D26BFF 837D 08 00 cmp dword ptr [ebp+8], 0 02D26C03 75 07 jnz short 02D26C0C 02D26C05 B8 05400080 mov eax, 80004005 02D26C0A EB 13 jmp short 02D26C1F 02D26C0C 8B45 08 mov eax, dword ptr [ebp+8] //可控的参数 02D26C0F 8945 FC mov dword ptr [ebp-4], eax 02D26C12 8B4D FC mov ecx, dword ptr [ebp-4] 02D26C15 8B11 mov edx, dword ptr [ecx] //继续传,传给了edx 02D26C17 8B45 FC mov eax, dword ptr [ebp-4] 02D26C1A 50 push eax 02D26C1B FF12 call dword ptr [edx] //控制了这个调用地址 WMITOOLS 厂商补丁： Microsoft --------- 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： http://www.microsoft.com/technet/security/