最近，利用cve 2010 0158漏洞的样本又出现了一波上情，cve 2010 0158漏洞堪称女人界的高圆圆，男人界的吴彦祖，深受网络攻击者喜爱，当然，cve 2010 0158也不负众望，以其利用简单，多平台通用等特点独领风骚。正所谓“王八看绿豆”，键盘记录这位小伙也看上了cve 2010 0158妹妹的漏洞。

Rtf样本

样本MD5：

5b8b66dd74d6bd9d66c59a008eea9182

样本是一个rtf文件。

使用下面的命令在溢出的地方下断点(ps:不同软件版本的符号地址可能会不一致)：

Bu MSCOMCTL!DllGetClassObject+0x41cbf

断下后,

从栈中看当前函数调用的三个参数：

参数的含义分别为：

第一个参数为拷贝的目的地址

第二个参数为拷贝的源地址

第三个参数为拷贝大小。

调用完此函数后，会将第一个参数所在的地址(这个地址是栈空间的地址)覆盖，进而覆盖到栈中的返回地址的数据，以达到将EIP指定自己的shellcode.的卑鄙目的。

让我们看看EIP被压住后，不，被覆盖住后的情形：

覆盖后的栈空间：

这段shellcode对应的文件中的内容：

Shellcode功能是是调用urldownloadtofile下载文件到pong.exe。随后执行pong.exe

下载地址为：http://falcanog.com/IKENNA.exe

Pong.exe

---

Pong.exe的文件信息：

Md5 | 8266f758c87eb6309ed612a6a26e7ae0

文件描述 | Microsoft

文件版本 | 1.0.2.0

内部名称 |  Microsoft.exe

---

Pong.exe为一个dotnet生成的文件，使用dnspy对其进行动态调试，发现其为一个keylogger类型的窃密程序，其将窃取到的信息发送到ikenna@falcanog.com邮箱中，当然邮箱密码我们也可以从程序中分析得到。

---

邮箱名 |  ikenna@falcanog.com

端口  |  25

密码  | admin12345

---

打开邮箱对应的域名，如下图,可以看到pong.exe还有两个木马兄弟，afrika.exe和newtender.exe。

调试过程中得到的邮箱信息：

感染USB移动设备:

获取Firwall信息:

得到AntiVirus信息:

运行后会弹虚假框：

对各家浏览器密码的盗取：

隐藏文件夹：

启动项，以实现开机后“我一定会再回来的”目的：