运用Ghidra对WhatsApp VOIP Stack 溢出破绽的补丁对照剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

运用Ghidra对WhatsApp VOIP Stack 溢出破绽的补丁对照剖析

申博_安全预警 申博 43次浏览 已收录 0个评论

申博官方网

申博官方网娱乐新闻信息综合站点,包括明星 、电影、最新影讯/影评、电影院在线购票订座、电视剧、音乐、戏剧、演出等娱乐信息。

,

0x01 样本对照

· 存在破绽的WhatsApp应用递次

· 版本2.19.133

· 763ab8444e085bd26336408e72ca4de3a36034d53c3e033f8eb39d8d90997707

· 运用 9daaa009e08ac55168aeacdc34dd9c1d7a8f8a49048de949ddaf8a61997b324f  libwhatsapp.so

· https://www.apkmirror.com/apk/whatsapp-inc/whatsapp/whatsapp-2-19-133-release/whatsapp-messenger-2-19-133-android-apk-download/

· 打补丁的的WhatsApp应用递次

· 版本2.19.134

· 找不到有以下内容的APK: ee09262fa8b535b5592960ca5ab41e194f632419f8a80ef2e41d36efdbe13f88

· 运用 28dc66c34e92810ad3f0cb2f5b636773fb4d5fc5134f77b4ee986d9e1a6b4f80  com.whatsapp_2.19.134-452790_minAPI15(armeabi-v7a)(nodpi)_apkmirror.com.apk

· 运用 d054ff7bce7777a94dc8b72cb5bd8a2ab3b188bcb81fcf8aafcf5720b85036c4  libwhatsapp.so

· https://www.apkmirror.com/apk/whatsapp-inc/whatsapp/whatsapp-2-19-134-release/whatsapp-messenger-2-19-134-2-android-apk-download/

关于那些还没有浏览@maddiestone破绽信息的人,我简朴形貌一下,她主假如在说两个破绽点:

 Size check #1

· 2.19.133:0x51D30= FUN_00061e34(在Ghidra中)

· 2.19.134:0x51E34=FUN_00061d30

 Size check #2

· 2.19.133:0x52F00=FUN_00062f00

· 2.19.134:0x52D0C=FUN_00062d0c

0x02  破绽剖析

Ghidra检测到某些没法辨认的函数,因而没法反汇编,我禁用了Non-Returning Functions – Discovered剖析器:

Non-Returning Functions – Discovered 剖析器已禁用

我之前在此剖析器处于运动状况的情况下运转了剖析,这致使源递次和目的递次具有差别数目的不返回函数。Ghidra的版本跟踪前提条件清单将搜检这些内容并发出正告。因而,请一向运转前提条件搜检表!!!

由于Ghidra在返回函数后会停止工作,因而该题目迥殊显著。然则它只能在以下递次中检测到没法辨认的函数:

0x03 版本跟踪session

在导游wizard中,能够运转一些前提条件搜检。这些能够确保已剖析了足够多的二进制文件,而且还执行了一些健全性搜检,比方,比较没法辨认函数的数目和报告差别。应当一向运转它们并修复一切毛病并检察一切正告。

在这类情况下,涌现了一个正告,由于剖析时期库代码有差别数目的毛病:

假如愿望获得原始的效果,发起尽量多地修改正告。

Unit42发布powershell自动反混淆工具

概述 近日,Unit42安全团队在Github上公开了自己研发的powershell自动反混淆工具,Star数几日之间就突破了300,接下来,就来了解下这款神器的用法及原理。 项目地址:https://github.com/pan-unit42/public_tools/tree/master/powershellprofiler 使用

0x04 运转关联器

在新的版本跟踪会话中,须要增加运转关联器。这些关联器会比较源递次和目的递次并查找婚配项,比方,Exact Function Bytes Match关联器在具有完整雷同的字节形式的函数之间查找婚配项。

Ghidra的自动版本跟踪敕令依据假定的递次运转包含的关联器,一向接收婚配,但将毛病婚配保持在最低限制。

运转自动版本跟踪敕令后,在婚配“大小搜检”#1的同时,它没有被自动接收:

大小搜检#2以至根本不婚配:

然则,我决议运转功用参考婚配关联器,纵然最少依据手册,组合功用和数据参考婚配关联器应当已包含该关联器:运用Ghidra对WhatsApp VOIP Stack 溢出破绽的补丁对照剖析

增加函数参考婚配相关器

在经由过程函数援用婚配相关器婚配此大小搜检#2以后:

然后,我手动接收了大小搜检#1和#2函数。

0x5 差别比较

Ghidra不供应图形差别视图。

函数比较窗口中的反编译视图也不会凸起显现所做的变动。这两个“编译视图”只需转动其行即可同步(经由过程其行号!)。

因而,唯一包含比较变动的要领是经由过程列表视图:运用Ghidra对WhatsApp VOIP Stack 溢出破绽的补丁对照剖析

运用Ghidra对WhatsApp VOIP Stack 溢出破绽的补丁对照剖析

列出检察大小搜检#2函数的差别

很快就会发明,经由过程列表视图比较补丁不如图形差别视图清楚。

0x06 Ghetto-tech图形视图比较

作为一种解决要领,我在函数之间变动了基础块的色彩,以供应Ghetto-tech图形视图:

运用Ghidra对WhatsApp VOIP Stack 溢出破绽的补丁对照剖析

大小搜检#2源函数的Ghetto-tech图形视图

运用Ghidra对WhatsApp VOIP Stack 溢出破绽的补丁对照剖析

大小搜检#2目的函数的Ghetto-tech图形视图

假如您想进一步相识CVE-2019-3568补丁以及怎样应用此破绽,请参阅Maddie的材料。

0x07 反编译题目

末了,能够用Ghidra比较存在破绽的两个函数。然则,假如不知道存在破绽的函数,将很难找到它们,由于Ghidra好像存在ARM反汇编题目,致使实际上险些雷同的函数反编译完整差别。比方:

由于只要一个递次反汇编在该b.w分支以后,因而函数变化很大。关于基础没什么区分的函数,它会发生差别的反汇编代码。

0x08 CVE-2015-8126

我之前写过一篇有关CVE-2015-8126补丁差别的文章。

能够经由过程运转PatchDiffCorrelator项目的一个来完成破绽应用(视频](https://www.youtube.com/watch?v=8BH7ttwz5tg))。

本文翻译自:https://blog.threatrack.de/2019/10/17/ghidra-patchdiff-cve-2019-3568/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明运用Ghidra对WhatsApp VOIP Stack 溢出破绽的补丁对照剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址