当前位置：首页 > news >正文

CVE-2024-1112 Resource Hacker 缓冲区溢出分析

news 2025/7/7 18:34:58

漏洞简述

CVE-2024-1112 是 Resource Hacker 软件的一个缓冲区溢出漏洞。该漏洞存在于版本 3.6.0.92 中。由于软件在处理命令行中的文件路径时未对文件字符串长度进行限制，过长的字符串参数导致内存被过度写入，从而引发缓冲区溢出。

漏洞复现

构造长度300的字符串当做参数传入Resource Hacker
Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9
Resource Hacker崩溃
在这里插入图片描述

异常偏移为0x316a4130，也就是对应的0Aj1。由此看出通过构造的字符串参数是可以造成程序溢出并劫持执行流。
在这里插入图片描述

漏洞分析

由于字符串作为参数使用，漏洞产生和处理字符串参数有关，先在GetCommandLine函数下断点，一步步找到溢出点。
通过下图得知，传入的参数溢出覆盖了SHE的处理函数，在程序出现异常后会调用异常处理函数的地址
在这里插入图片描述

分析溢出函数
这个函数主要是对传入的字符串参数进行处理，并将处理后的字符串赋给v6变量，由于未对传入的参数做长度限制，导致栈溢出。
在这里插入图片描述

从上图可知，函数内部设置处理接收参数的的数组大小为264个字节，对此进行测试。
如果传入268个字节参数，淹没了函数返回值地址，在函数返回时发现返回值地址不存在进入异常处理，找到对应的异常处理函数并抛出异常。
在这里插入图片描述

如果传入272个字节参数，指向下个SEH链的指针被覆盖，无法找到对应的异常处理函数，程序崩溃。
在这里插入图片描述

如果传入292个字节参数，SEH链的指针及处理函数都被传入的参数淹没，并且在函数返回前就出现访问异常，调用异常处理函数时出现崩溃。
在这里插入图片描述

通过上述测试可以发现有2种利用方式
1.传入构造的272字节参数，利用跳转指令跳转到前面的268字节执行shellcode
2.传入构造的大于292个字节参数，利用jmp esp跳板指令跳转到292字节后的执行shellcode

利用限制

虽然传入的字符串参数能导致栈溢出，但是基本不可能达到稳定利用成功。
1.由于是在命令行中传入的，很多不可见字符被复制到命令行中时字符发生改变。
2.想要执行我们的shellcode需要找到存在"jmp esp",“call ebp”,“pop pop ret"等汇编指令的地址，但是这个溢出函数对字符做了很多限制，很难利用当前模块的地址。
在这个循环中，首先判断传入参数的每个字符，如果小于0x20，就结束循环。虽然能构造参数第三个字符为0x22(”)进入里层循环不对小于0x20的字符限制，但是不能存在0字符。

while ( 1 ){v4 = *a1;if ( (unsigned __int8)*a1 <= 0x20u )break;if ( v4 == 0x22 ){++a1;while ( 1 ){v3 = *a1;if ( !*a1 || v3 == 0x22 )break;v6[v2++] = v3;++a1;}if ( *a1 )++a1;}else{v6[v2++] = v4;++a1;}}

也就是说在这个以0x00400000为基址的程序当前模块地址写入shellcode时，由于出现0x00，后面的字符被截断，只能利用前面200多个字节的空间做shellcode。
理论上有200多字节的空间，但是需要找跳板指令，只能找到call/jmp dword ptr ss:[ebp-(>)18]，在当前模块能找到比较好的也就是call dword ptr ss:[ebp-75]了，这样又进一步压缩了shellcode的使用空间，很难去利用。

参考

https://enessakircolak.netlify.app/posts/2024/exploit-101/

在这里插入图片描述

CVE-2024-1112 Resource Hacker 缓冲区溢出分析

漏洞简述

漏洞复现

漏洞分析

利用限制

参考

相关文章：

CVE-2024-1112 Resource Hacker 缓冲区溢出分析

WebGL渲染与创建2D内容

ArcGIS Desktop使用入门（三）图层右键工具——拓扑（下篇：地理数据库拓扑）

LeetCode题练习与总结：二叉树的最近公共祖先--236

uni-app 多环境配置

【d48】【Java】【力扣】LCR 123. 图书整理 I

【MySQL】InnoDB 索引为什么使用B+树而不用跳表？

【学习笔记】TLS/SSL握手之Records

【MySQL】创建新账号新数据库并授权

Nginx反向代理简介，作用及配置；Nginx负载均衡简介，作用及配置；

SAP MIGO M7146不支持移动原因

vue使用PDF.JS踩的坑--部署到服务器上显示pdf.mjs viewer.mjs找不到资源

重型工程车辆数据集

【Kubernetes】常见面试题汇总（三十三）

ubuntu安装无线网卡驱动（非虚拟机版）

保障电气安全的电气火灾监控系统主要组成有哪些？

gitlab集成CI/CD，shell方式部署

UE学习篇ContentExample解读-----------Blueprint_Mouse_Interaction

得物App荣获新奖项，科技创新助力高质量发展

傅里叶变换（对称美）

网络编程（Modbus进阶）

LBE-LEX系列工业语音播放器|预警播报器|喇叭蜂鸣器的上位机配置操作说明

装饰模式（Decorator Pattern）重构java邮件发奖系统实战

OpenLayers 可视化之热力图

Flask RESTful 示例

【HarmonyOS 5.0】DevEco Testing：鸿蒙应用质量保障的终极武器

智能在线客服平台：数字化时代企业连接用户的 AI 中枢

OpenLayers 分屏对比(地图联动)

如何在最短时间内提升打ctf（web)的水平？

RNN避坑指南：从数学推导到LSTM/GRU工业级部署实战流程