본문 바로가기

Project

(20)
Flash Player Heap Exploitation Using Vector Original Post https://0b3dcaf9-a-62cb3a1a-s-sites.googlegroups.com... PDF version of this post Flash Player Heap Exploitation Using Vector Originally written by Haifei Li@Google Project Zero Original Title : Smashing the Heap with Vector: Advanced Exploitation Technique in Recent Flash Zero-day Attack Introduction by Me, Myself 본 문서는 Haifei Li의 Smashing the Heap with Vector: Advanced Exploitatio..
[WIP] CVE-2014-0556, CVE-2015-7663, CVE-2016-0998 Started on 2019-04-04 Due to 2week Schedule * Training Vector Exploitatoin * Get some knowledge of isolated heap Exploiting CVE-2014-0556 in Flash Posted by Chris Evans, Kidnapper of RIP A couple of weeks ago, Adobe released security bulletin APSB14-21 , including 8 fixes for bugs r... googleprojectzero.blogspot.com 불러오는 중입니다... Adobe Flash - Object.unwatch Use-After-Free Adobe Flash - Object.un..
CVE-2015-5119 분석 4일차 CVE-2015-5119 PoC 코드 package { import flash.display.Sprite; import flash.events.Event; import flash.utils.ByteArray; import flash.media.Sound; import flash.external.ExternalInterface; public class Main extends Sprite { private var data:uint = 0xdeaddead; private var ba:ByteArray = new ByteArray(); private var o:*; private var uv:Vector.; private var bp:Sound = new Sound(); public function Main()..
CVE-2015-5119 분석 3일차 알게된 점1. ByteArrayObject::setUintProperty() 함수 내부적으로 두번째로 call 하는 함수가 o.valueOf()로 의해 리턴되는 값을 통해 정수로 취급한다는 것을 알게 됨.2. ByteArrayObject::setUintProperty() 함수 내부적으로 첫번쨰로 call 하는 함수가 ByteArray의 오프셋을 가져 옴 ba[0x42424242] 모르는 점1. 아직도 정확히 UAF가 트리거 되는 시점을 잘 모르겠다. PoC 코드 가져와서 Heap Tracing을 해 봐야게따.
CVE-2015-5119 분석 3일차 메모 https://github.com/adobe/avmplus/blob/858d034a3bd3a54d9b70909386435cf4aec81d21/core/ScriptObject.cpp#L589 https://github.com/adobe/avmplus/blob/858d034a3bd3a54d9b70909386435cf4aec81d21/core/ScriptObject.h#L109 https://github.com/adobe/avmplus/blob/master/core/atom.h#L76 https://github.com/adobe/avmplus/blob/master/core/AvmCore.cpp#L2157 https://github.com/adobe/avmplus/blob/master/core/ByteArray..
CVE-2015-5119 분석 2일차 알게 된 점1. 대충 UAF가 트리거 되는 과정은 이해가 된다2. 문자열과 함수간의 거리 계산을 통해 한개의 함수 심볼만 알아도 다른 함수의 심볼을 구할 수 있다. 힘든점1. 많이 피곤하다 ㅠㅠ
CVE-2015-5119 분석 1일차 package { import flash.system.*; import flash.filters.*; import __AS3__.vec.*; import flash.utils.*; public class Main extends Sprite { static var ba:ByteArray; public function Main():void{ var a:* = undefined; var o:* = null; var i:* = 0; var j:* = 0; a = new Array(98); o = new Object(); while (i < 20){ a[i] = new ByteArray(); a[i].length = 210; i += 1; }; i = 20; while (i < 98){ a[i] = new Obj..
CVE-2015-0311 8일차 메모 http://researchcenter.paloaltonetworks.com/2015/06/understanding-flash-exploitation-and-the-alleged-cve-2015-0359-exploit/https://github.com/adobe/avmplus/commit/a92318ac8ff12fb7f6189d0ce9ef53d5e9cf1618https://recon.cx/2012/schedule/attachments/43_Inside_AVM_REcon2012.pdfhttp://wwwimages.adobe.com/content/dam/Adobe/en/devnet/actionscript/articles/avm2overview.pdf