MS04-028 な JPEG 画像
セキュリティホール memo ML で話題になってますが、疑惑の JPEG 画像を検出できるのかちょっとテスト。
id:tessy:20040917#p1 さんのところで解説されていますが、最初に公開された poc.jpg は普通に画像として表示されます。[memo:7801] *1で紹介されているほうが、見た目どうなるのかは確認していませんが、前回とはファイルヘッダがちょっと違うようですね。
先に公開された poc.jpg のヘッダ部分はこんな↓感じ。
$ od -t x1 -A x poc.jpg 000000 ff d8 ff fe 10 06 78 78 78 78 78 78 78 78 78 78 000010 78 78 78 78 78 78 78 78 78 78 78 78 78 78 78 78
新たに公開された実証コード http://www.k-otik.com/exploits/09222004.ms04-28-cmd.c.php では、次のように定義されてます。
引用ここから
char header1[]= "\xFF\xD8\xFF\xE0\x00\x10\x4A\x46\x49\x46\x00\x01\x02\x00\x00\x64" "\x00\x64\x00\x00\xFF\xEC\x00\x11\x44\x75\x63\x6B\x79\x00\x01\x00" "\x04\x00\x00\x00\x0A\x00\x00\xFF\xEE\x00\x0E\x41\x64\x6F\x62\x65" "\x00\x64\xC0\x00\x00\x00\x01\xFF\xFE\x00\x01\x00\x14\x10\x10\x19" "\x12\x19\x27\x17\x17\x27\x32\xEB\x0F\x26\x32\xDC\xB1\xE7\x70\x26" "\x2E\x3E\x35\x35\x35\x35\x35\x3E";
引用ここまで