-
-
[原创]微软MS11-006 Windows Shell图形处理漏洞原理及补丁分析(上)(下)
-
发表于: 2011-3-24 15:31
-
微软MS11-006 Windows Shell图形处理漏洞原理及补丁分析(上)
作者: nine8
QQ : 279933462
杂记: http://hi.baidu.com/tapeout
看微软公告说是公开的漏洞,但是网上搜了下没有找到相关的细节,应该只是发现者在POC2010演讲的话题。
这里只有POC2010演讲者摘要没有paper(http://www.powerofcommunity.net/speaker.html)于是自己尝试分析了下。
由于之前在一家IC Fabless公司从事芯片设计相关工作,打交道的最上层也只是firmware的同事, 对这块接触时间不长,相关的知识或是术语理解还很肤浅,
如果文中哪里出现那些错误,那怕是用词的偏差,还请大家不吝给小弟指出,感谢!
0x00 总体信息概要
---------------------
== 调试环境: VMware7.0 + en_windows_xp_professional_with_service_pack_3_x86
== 主要软件: MetaSploit Framwork 6.4, OllyDBG 2.0, IDA Pro 5.5
== 漏洞编号: MS11-006, CVE-2010-3970
== 相关文件: shimgvw.dll, shell32.dll
== 漏洞描述: Windows Shell 图形处理器中一个公开披露的漏洞。 如果用户查看特制缩略图,此漏洞可能允许远程执行代码。
成功利用此漏洞的攻击者可以获得与登录用户相同的用户权限。 那些帐户被配置为拥有较少系统用户权限的用户比
具有管理用户权限的用户受到的影响要小。
详见: http://www.microsoft.com/china/technet/security/bulletin/MS11-006.mspx
0x02 重现漏洞现场
--------------------
== POC/EXP : http://www.exploit-db.com/exploits/16660/
== 触发漏洞: 1) 创建文件夹,设置查看模式为缩略图。
2) 用MSF产生EXP, 指定输出到创建的文件夹内,进入文件夹,弹出calc, explorer提示关闭。
3) 知道现象后,用MSF产生用于Debug的POC, 进行调试分析。
0x03 确定问题所在
--------------------
== 定位范围: 将OD attach 到explorer.exe进程, 中断在: (ecx过大,超出申请stack,从而照成stack溢出.)
----------------------------------------------------------
5CB1FC42: REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ESI]
----------------------------------------------------------
==动态调试: 1). shimgvw.dll的导出函数ConvertDIBSECTIONToThumbnail的子函数CreateSizeDIBSECTION: 在判断ecx的传入参数时,
通过有符号判断最大上限,但是数据复制是用无符号数, 从而导致stack溢出.
2). 漏洞函数被调用的大概过程 (这里只是doc的,没有包含media的, media类似)
explorer.exe --> [ntdll.dll/shlwapi.dll/browseui.dll等] --> shell32.dll(CExtractImageTask:Run) -->
shimgvw.dll(CDocThumb::Extract) --> shimgvw.dll(GetDocFileThumbnail) -->
shimgvw.dll(ConvertDIBSECTIONToThumbnail --> shimgvw.dll(CreateSizeDIBSECTION)
0x04 倒推分析Stream细节:
----------------------
静态逆向分析:
== 函数: CreateSizeDIBSECTION (shimgvw.dll)
.text:5CB1FB63 sub esp, 430h ; 开辟0x430栈空间, 之后溢出的地方
.text:5CB1FB69 mov eax, [ebp+arg_10]
...... ; 此处省略98个字, :)
.text:5CB1FB72 call ds:__imp__GetDC@4 ; GetDC(x)
.text:5CB1FB78 cmp eax, ebx
.text:5CB1FB7A mov [ebp+hDC], eax
.text:5CB1FB7D jz loc_5CB1FD05
.text:5CB1FB83 push edi
.text:5CB1FB84 push eax ; hdc
.text:5CB1FB85 call ds:__imp__CreateCompatibleDC@4 ; 获取设备无关内存环境句柄
...... ; 中间省略N个字
.text:5CB1FBAA lea eax, [ebp+bmi]
.text:5CB1FBB0 push eax ; struct tagBITMAPINFO *
.text:5CB1FBB1 mov [ebp+bmi.bmiHeader.biSize], 28h
.text:5CB1FBBB mov [ebp+bmi.bmiHeader.biWidth], ecx
.text:5CB1FBC1 mov [ebp+bmi.bmiHeader.biPlanes], 1
.text:5CB1FBCA mov [ebp+bmi.bmiHeader.biBitCount], si
.text:5CB1FBD1 mov [ebp+bmi.bmiHeader.biCompression], ebx
.text:5CB1FBD7 call ?CalcBitmapSize@ ; 如果为非OS/2且未压缩的win扩展DIB位图重新计算大小
.text:5CB1FBF4 cmp esi, 8 ; 判断biBitCount是否为1,4,8,
;因为24的不需要调色板
.text:5CB1FBF7 mov [ebp+bmi.bmiHeader.biXPelsPerMeter], ebx
.text:5CB1FBFD mov [ebp+bmi.bmiHeader.biYPelsPerMeter], ebx
.text:5CB1FC03 mov [ebp+bmi.bmiHeader.biClrUsed], eax
.text:5CB1FC09 mov [ebp+bmi.bmiHeader.biClrImportant], ebx
.text:5CB1FC0F ja loc_5CB1FC9B ; biBitCount为1,4,8不跳转
.text:5CB1FC15 mov edx, [ebp+arg_C] ; 判断参数pbmi是否指向NULL
.text:5CB1FC18 cmp edx, ebx
.text:5CB1FC1A jz short loc_5CB1FC46
.text:5CB1FC1C movzx ecx, word ptr [edx+0Eh]
.text:5CB1FC20 cmp ecx, esi ; 判断biBitCount是否一致
.text:5CB1FC22 jnz short loc_5CB1FC46
.text:5CB1FC24 mov ecx, [edx+20h]
.text:5CB1FC27 cmp ecx, ebx
.text:5CB1FC29 jnz short loc_5CB1FC2D
.text:5CB1FC2B mov ecx, eax
.text:5CB1FC2D
.text:5CB1FC2D loc_5CB1FC2D: ; !!!!!!!!!!!!!!! 问题所在 !!!!!!!!!!!!!!!!!!
.text:5CB1FC2D cmp ecx, 100h ; 判断biClrUsed是否大于0x100, 因为8bit最多256调色板
.text:5CB1FC33 jg loc_5CB1FCF0 ; 注意这里就是漏洞的根本问题,有符号比较
.text:5CB1FC39 lea esi, [edx+28h] ; 而下面是无符号的长度拷贝数值,当biClrUsed为负数,
.text:5CB1FC3C lea edi, [ebp+bmi.bmiColors] ; 满足小于0x100, 将拷贝很长的数据到esi指向的stack
.text:5CB1FC42 rep movsd ; 参数的BITMAPINFO指针向的bicolors便可以构造shellcode
.text:5CB1FC44 jmp short loc_5CB1FC9B ; biClrUsed控制shellcode长度
...... ; 下面会进行DIB Section的创建, RGB换序, bits映射到
; 内存等操作,篇幅所限先略掉了.
; 逆向后的C Code中有完整给出。
== 函数: ConvertDIBSECTIONToThumbnail (shimgvw.dll)
.text:5CB20102 mov eax, [ebx+8] ; pbmi.bmiHeader.biHeight
.text:5CB20105 cmp eax, ecx ; 判断是从顶到底,还是从底到顶来存储
.text:5CB20107 push esi
.text:5CB20108 push edi
.text:5CB20109 mov [ebp+pbmi], ebx
.text:5CB2010C mov [ebp+fTopToBottom], ecx ; fTopToBottom = FALSE
.text:5CB2010F jge short loc_5CB2011D
.text:5CB20111 neg eax ; 从顶到底,则取其补码
.text:5CB20113 mov [ebx+8], eax ; pbmi->bmiHeader.biHeight
.text:5CB20116 mov [ebp+fTopToBottom], 1
......
.text:5CB20148 mov eax, edi
.text:5CB2014A sub eax, [ebp+rect.top] ; eax = top - bottom
.text:5CB2014D cmp eax, [ebx+8] ; pbmi->bmiHeader.biHeight
.text:5CB20150 jz short loc_5CB201CA
.......
loc_5CB201CA:
.text:5CB201CA
.text:5CB201CA cmp [ebp+fTopToBottom], 1
.text:5CB201CE mov esi, [ebp+pbmi] ; esi = pbmi
.text:5CB201D1 jnz short loc_5CB201D6
.text:5CB201D3 neg dword ptr [esi+8] ; pbmi->bmiHeader.biHeight
.text:5CB201D6
.text:5CB201D6 loc_5CB201D6:
.text:5CB201D6 xor ecx, ecx ; ecx = 0
.text:5CB201D8 cmp [ebp+fOrigSize], ecx
.text:5CB201DB jz short loc_5CB20229
.text:5CB201DD movzx eax, word ptr [esi+0Eh] ; pbmi->bmiHeader.biBitCount
.text:5CB201E1 cmp eax, [ebp+dwRecClrDepth]
.text:5CB201E4 ja short loc_5CB20229
.text:5CB201E6 mov edx, [esi+4] ; pbmi->bmiHeader.biWdith
.text:5CB201E9 mov [ebp+bmiWidth], edx
.text:5CB201EC mov edx, [esi+8] ; pbmi->bmiHeader.biHeight
.text:5CB201EF mov [ebp+hMem], edx
.text:5CB201F2 lea edx, [ebp+phBmpThumbnail]
.text:5CB201F5 push edx ; int
.text:5CB201F6 push ecx ; int
.text:5CB201F7 push [ebp+phBmpThumbnail] ; int
.text:5CB201FA push esi ; pbmi
.text:5CB201FB push ecx ; ppvBits
.text:5CB201FC push eax ; eax = pbmi->bmiHeader.biBitCount
.text:5CB201FD lea eax, [ebp+bmiWidth]
.text:5CB20200 push eax ; int: pbiWidth
.text:5CB20201 call _CreateSizedDIBSECTION@28 ; <----这里就是上面分析的问题函数 !!!
.text:5CB20206 test eax, eax ; the function above cause the vul !!!!!!
.text:5CB20208 mov [ebp+pBits], eax ; fCreateDIBSECTIONResult
.text:5CB2020B jz short loc_5CB2025E
.text:5CB2020D push esi ; struct tagBITMAPINFO *
.text:5CB2020E call ?CalcBitmapSize@@YGKPBUtagBITMAPINFO@@@Z ; CalcBitmapSize(ta
== 函数: GetDocFileThumnail (shimgvw.dll)
.text:5CB0635A xor esi, esi ; esi = 0
.text:5CB0635C push esi ; hWnd
.text:5CB0635D call ds:__imp__GetDC@4 ; GetDC(x)
.text:5CB06363 push eax ; hdc
.text:5CB06364 mov [ebp+hDC], eax
.text:5CB06367 call ds:__imp__CreateCompatibleDC@4 ; 创建设备无关内存环境句柄
......
.text:5CB06377 push edi
.text:5CB06378 xor eax, eax ; eax = 0
.text:5CB0637A mov [ebp+pvarResult.vt], si
.text:5CB0637E lea edi, [ebp+pvarResult.wReserved1]
.text:5CB06381 stosd ; 初始化结构体pvarResult, 类型PROPVARIANT
.text:5CB06382 stosd
.text:5CB06383 stosd
.text:5CB06384 stosw
.text:5CB06386 mov eax, [ebp+pPropStg]
.text:5CB06389 mov edx, [eax]
.text:5CB0638B lea edi, [ebp+pvarResult] ; edi = &pvarResult
.text:5CB0638E push edi
.text:5CB0638F xor ecx, ecx
.text:5CB06391 inc ecx ; ecx = 1
.text:5CB06392 lea edi, [ebp+propSpec]
.text:5CB06395 push edi
.text:5CB06396 push ecx ; ecx = 1: PRSPEC_PROPID
.text:5CB06397 push eax ; eax = pPropStg: be added auto
.text:5CB06398 mov [ebp+ho], esi
.text:5CB0639B mov [ebp+propSpec], ecx
.text:5CB0639E mov [ebp+propSpec_propidORlpwstr], 11h
.text:5CB063A5 call dword ptr [edx+0Ch] ; 参考 IPropertyStorage C的定义得知为ReadMultiple
.text:5CB063A5 ; pPropStg->ReadMultiple(x, x, x);
.text:5CB063A8 cmp eax, esi
.text:5CB063AA mov [ebp+pPropStg], eax ; here pPropStg is the ReadMultiple return value for optimization
.text:5CB063AD jl loc_5CB06565
.text:5CB063B3 cmp [ebp+pvarResult.vt], 47h ; VT_CF
.text:5CB063B8 mov [ebp+pPropStg], 80004005h ; Error Message: E_FAIL
.text:5CB063BF jnz loc_5CB065AD
.text:5CB063C5 mov ecx, dword ptr [ebp+pvarResult.anonymous_0] ; = pvarREsult.pclipdata(since vt = VT_CF)
.text:5CB063C8 cmp dword ptr [ecx+4], -1 ; pvarResult.pclipdata->ulClipFmt:
.text:5CB063C8 ; -1 : A DWORD that contains a built-in Windows clipboard format value.
.text:5CB063CC jnz loc_5CB0
.text:5CB063D2 mov eax, [ecx+8] ; pvarResult.pclipdata->pClipData: (BYTE *)
.text:5CB063D5 lea edi, [eax+4] ; eax + 4 = ecx + 12 = pclipdata->pClipData + 4, skip 1st DWORD
.text:5CB063D8 mov eax, [eax] ; if the value of the ulClipFmt member is -1, the data is
.text:5CB063D8 ; in the form of a built-in Windows format. In this case,
.text:5CB063D8 ; the first DWORD of the buffer pointed to by pClipData is
.text:5CB063D8 ; the clipboard format identifier
.text:5CB063DA cmp eax, 3 ; 3 = CF_METAFILEPICT: metafile
.text:5CB063DD mov [ebp+pbmi], edi ; pbmi = (pvarResult.pclipdata->pClipData + sizeof(DWORD))
.text:5CB063E0 jnz loc_5CB0656F ; goto ConvertDIBSECTIONToThumbnail
.text:5CB0656F
.text:5CB0656F loc_5CB0656F: ; CF_DIB
.text:5CB0656F cmp eax, 8
.text:5CB06572 mov [ebp+pPropStg], 8004006Ah
.text:5CB06579 jnz short loc_5CB0655B
.text:5CB0657B cmp dword ptr [edi], 28h ; check if it is OS/2 DIB, or windows ext DIB
.text:5CB0657E jnz short loc_5CB0655B
.text:5CB06580 push dword ptr [ecx] ; ecx = pvarResult.pclipdata->cbsize
.text:5CB06582 push edi ; struct tagBITMAPINFO *
.text:5CB06583 call _CalcBitsOffsetInDIB@8 ; CalcBitsOffsetInDIB(x,x)
.text:5CB06588 cmp eax, esi
.text:5CB0658A jz short loc_5CB0655B
.text:5CB0658C push [ebp+fOrigSize] ; fOrigSize
.text:5CB0658F push 0Fh ; uiSharpPct
.text:5CB06591 push [ebp+hPalette] ; hPalette
.text:5CB06594 push [ebp+dwClrDepth] ; dwRecClrDepth
.text:5CB06597 push [ebp+prgSize] ; prgSize
.text:5CB0659A push [ebp+phBmpThumbnail] ; phBmpThumbnail
.text:5CB0659D push eax ; pBits
.text:5CB0659E push edi ; pbmi
.text:5CB0659F call _ConvertDIBSECTIONToThumbnail@32 ; <----这里就是了
.text:5CB065A4 test eax, eax
.text:5CB065A6 jz short loc_5CB0655B
...... ; 后面就不继续分析了
0x05 补丁分析
补丁相关文件:shimgvw.dll, shell32.dll
下面主要分析shimgvw.dll中对doc/mic问题的修补,其中改了几处,本文自分析了在DIB转Thumnail前的主要的检测函数
BOOL IsValidClipData(CLIPDATA * pClipdata)
其中的静态反汇编分析和对应的C描述,由于篇幅问题,写在了文章的(下)
链接:http://bbs.pediy.com/showthread.php?t=131300
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
作者:nine8
QQ :279933462 杂记:http://hi.baidu.com/tapeout 上篇:http://bbs.pediy.com/showthread.php?t=131294 接着上篇下面是MS11-006补丁的分析, 如果哪里有问题或大家觉得很别扭,请大家帮忙指出 对比补丁发现,几处函数做了修改,其中原来出现问题CreateSizeDIBSECTION函数已经将之前的有符号比较改成了无符号比较, 这样biClrUsed为负数也不会有问题了. 下面提到的IsValidClipData函数中也加入了相同的判断。 另外在进行DIB转Thumbnail的时候,加入了BOOL IsValidClipData(CLIPDATA * pClipdata)函数,这个函数对BITMAPHEADER信息作 了很细致的检查,不过大小是否有超过可用值,相乘的结果是否有溢出等,相当于,不管之前函数是否有问题,先在其前面加个检查 器,如果检查出问题,则不进行后面的转换。以免出现后面函数考虑不全再出现类似的漏洞。 .text:5CB06731 push eax ; struct tagCLIPDATA * .text:5CB06732 call ?_IsValidClipData@@YGHPAUtagCLIPDATA@@@Z ; _IsValidClipData(tagCLIPDATA *) .text:5CB06737 test eax, eax .text:5CB06739 jz loc_5CB0691B 来判断clip中的DIB数据是否为有效且合法格式。下面对这个函数简要分析: text:5CB0641F pClipdata = dword ptr 8 .text:5CB0641F .text:5CB0641F mov edi, edi .text:5CB06421 push ebp .text:5CB06422 mov ebp, esp .text:5CB06424 push ebx .text:5CB06425 push esi .text:5CB06426 mov esi, [ebp+pClipdata] .text:5CB06429 lea eax, [ebp+pClipdata] .text:5CB0642C push eax ; unsigned __int32 * .text:5CB0642D push 4 ; unsigned __int32 .text:5CB0642F push dword ptr [esi] ; unsigned __int32 .text:5CB06431 xor ebx, ebx ; ebx = 0 .text:5CB06433 call ?ULongSub@@YGJKKPAK@Z ; ULongSub(ulong,ulong,ulong *) ; 检查结构体大小参数 .text:5CB06438 test eax, eax .text:5CB0643A jl short Return .text:5CB0643C cmp [ebp+pClipdata], 4 .text:5CB06440 jbe short Return .text:5CB06442 mov esi, [esi+8] ; esi = pClipdata .text:5CB06445 mov eax, [esi] .text:5CB06447 cmp eax, 3 ; CF_METAFILEPICT .text:5CB0644A jz short loc_5CB06480 ; 判断clip中是否为图元文件格式 .text:5CB0644C cmp eax, 8 ; CF_DIB .text:5CB0644F jz short loc_5CB06454 ; 判断clip中是否为DIB位图格式 .text:5CB06451 inc ebx .text:5CB06452 jmp short Return ..... loc_5CB06454: .text:5CB06454 lea eax, [ebp+pClipdata] .text:5CB06457 push eax ; unsigned __int32 * .text:5CB06458 push 4 ; unsigned __int32 .text:5CB0645A push [ebp+pClipdata] ; unsigned __int32 .text:5CB0645D call ?ULongSub@@YGJKKPAK@Z ; ULongSub(ulong,ulong,ulong *) .text:5CB06462 test eax, eax .text:5CB06464 jl short Return .text:5CB06466 cmp [ebp+pClipdata], 28h .text:5CB0646A jb short Return .text:5CB0646C lea eax, [esi+4] ; eax = pclipdata->pclipdata + sizeof(DWORD) = pbmi .text:5CB0646F test eax, eax ; 跳过文件类型标识的那个DWORD .text:5CB06471 jz short Return .text:5CB06473 push [ebp+pClipdata] ; unsigned __int32 .text:5CB06476 push eax ; struct tagBITMAPINFO * .text:5CB06477 call ?_ValidateBitmapInfoAndPixelData@@YGHPBUtagBITMAPINFO@@K@Z ; 这个函数会对DIP的BITMAPHEADER信息详细的判断 .text:5CB0647C mov ebx, eax .text:5CB0647E jmp short Return ..... 函数 ULongSub(ULONG num1, ULONG num2, ULONG * pulSubRes) 如果 ulNum1 >= ulNum2, *pulSubResult = ulNum1 - ulNum2, return 0 ; 如果 ulNum1 < ulNum2, *pulSubResult = 0xffffffff, return 0x80070216. ?ULongSub@@YGJKKPAK@Z proc near .text:5CB06175 .text:5CB06175 .text:5CB06175 arg_0 = dword ptr 8 .text:5CB06175 arg_4 = dword ptr 0Ch .text:5CB06175 arg_8 = dword ptr 10h .text:5CB06175 .text:5CB06175 mov edi, edi .text:5CB06177 push ebp .text:5CB06178 mov ebp, esp .text:5CB0617A mov edx, [ebp+arg_8] ; edx = arg8 .text:5CB0617D mov ecx, [ebp+arg_0] ; ecx = arg0 .text:5CB06180 or dword ptr [edx], 0FFFFFFFFh ; [arg8] = -1 .text:5CB06183 cmp ecx, [ebp+arg_4] ; ecx = arg0, cmp arg0, arg4 .text:5CB06186 mov eax, 80070216h .text:5CB0618B jb short return .text:5CB0618D sub ecx, [ebp+arg_4] ; arg0 - arg4 .text:5CB06190 xor eax, eax ; eax = 0 .text:5CB06192 mov [edx], ecx ; [arg8] = arg0 - arg4 .text:5CB06194 .text:5CB06194 return: .text:5CB06194 pop ebp .text:5CB06195 retn 0Ch 函数: ValidateBitmapInfoHeader(BITMAPINFO * pbmi, ULONG ulSize) .text:5CB061E2 mov esi, [ebp+pbmi] .text:5CB061E5 mov eax, [esi] ; pbmi->bmiHead.biSize .text:5CB061E7 cmp eax, 28h ; 检查header中的结构体大小字段 .text:5CB061EA mov [ebp+biSize], eax .text:5CB061ED jb Return_FALSE .text:5CB061F3 cmp eax, 1000h .text:5CB061F8 ja Return_FALSE text:5CB061FE mov eax, [esi+4] ; pbmi->bmiHeader.biWidth .text:5CB06201 test eax, eax ; 检查DIB宽度(这里单位为像素) .text:5CB06203 mov [ebp+biWidth], eax .text:5CB06206 jz Return_FALSE .text:5CB0620C mov ebx, [esi+8] ; pbmi->bmiHeader.biHeight .text:5CB0620F test ebx, ebx ; 检查DIB高度(单位也是像素) .text:5CB06211 jz Return_FALSE .text:5CB06217 movzx edi, word ptr [esi+0Eh] .text:5CB0621B cmp edi, 20h ; pbmi->bmiHeader.biBitCount .text:5CB0621B ; 检查像素的BitCount,是否超出最大的32bit .text:5CB0621E ja Return_FALSE .text:5CB06224 lea ecx, [ebp+pbmi] ; pbmi is a mul res tmp register here, not the argument any more!!! .text:5CB06227 push ecx .text:5CB06228 push eax ; eax = biWidth .text:5CB06229 push 20h .text:5CB0622B call _MultiplyCheckOverflow@12 ; 检查 0x20 * biWidth 是否overflow(应该是为了计算Row Bytes做检测, 看是否有overflow) ; 因为: row bits = bicount * biwidth ; 其中, bitcount取值为 1, 4, 8, 16, 24, 32, 所以取32最大值 .text:5CB06230 test eax, eax .text:5CB06232 jz Return_FALSE .text:5CB06238 mov eax, ebx ; ebx = biHeight .text:5CB0623A cdq ; check biHeight <0 or >= 0 .text:5CB0623B mov ebx, eax .text:5CB0623D lea eax, [ebp+pbmi] .text:5CB06240 push eax ; arg3 .text:5CB06241 mov eax, [ebp+pbmi] .text:5CB06244 shr eax, 3 .text:5CB06247 xor ebx, edx ; biHeight < 0, ebx = ~ebx; else ebx = ebx .text:5CB06249 sub ebx, edx .text:5CB0624B add eax, 3 .text:5CB0624E push ebx ; arg2 .text:5CB0624F and eax, 0FFFFFFFCh .text:5CB06252 push eax ; arg1 .text:5CB06253 call _MultiplyCheckOverflow@12 ; 检查 检查SizeImage是否有溢出 ; 因为: SizeImage = row bytes * biHeight ; 其中: row bytes = (row bits / 8 + 3) & 0xffffffffc; ; +3 是为了当相除有余数,即不是整好够一个4byte,来通过+3使其4byte对齐 ; 图像是4byte对齐操作 .text:5CB06258 test eax, eax .text:5CB0625A jz short Return_FALSE .text:5CB0625C mov eax, 40000000h .text:5CB06261 cmp [ebp+pbmi], eax ; 判断计算出来的图片的尺寸大小是否有超过0x40000000 bytes .text:5CB06264 ja short Return .text:5CB06266 mov ecx, [esi+14h] ; pbmi->bmiHeader.biSizeImage .text:5CB06269 cmp ecx, eax ; 判断biSizeImage是否有超过0x40000000 bytes .text:5CB0626B mov [ebp+pbmi], ecx .text:5CB0626E ja short Return_FA .text:5CB06270 mov eax, [esi+20h] ; biClrUsed .text:5CB06273 cmp eax, 100h .text:5CB06278 ja short Return_FALSE ; 这里就是对问题函数中的再次判断,用的是ja不是jg, 问题中修补后也改成了ja ...... ; 找到了biClrUsed后。下面就没有再分析了 对应的C描述: #include <windows.h>
#include <wingdi.h>
#include <propidl.h>
BOOL IsValidClipData(CLIPDATA * pClipdata)
{
ULONG ulSubResult
DWORD dwPicType;
BITMAPINFO * pbmi;
// 检查结构体大小
if (ULongSub( pClipdata->cbSize, 4, &ulSubResult) < 0 )
{
return FALSE;
}
if (ulSubResult <= 4)
{
return FALSE;
}
dwPicType = *(pClipdata->pClipData);
if (dwPicType == CF_METAFILEPICT)
{
}
else if (dwPicType == CF_DIB)
{
if ((ULongSub(ulSubResult, 4, &ulSubResult)) < 0)
{
return FALSE;
}
if (ulSubResult < 0x28)
{
return FALSE;
}
pbmi = (BITMAPINFO *)(pClipdata->pClipData + sizeof(DWORD))
if (!pbmi)
{
return FALSE;
}
// 验证pbmi结构信息是否有效
return( ValidateBitmapInfoAndPixelData(pbmi, ulSubResult) );
}
else
{
return TRUE;
}
}
// if ulNum1 >= ulNum2, *pulSubResult = ulNum1 - ulNum2, return 0 ;
// if ulNum1 < ulNum2, *pulSubResult = 0xffffffff, return 0x80070216.
INT ULongSub(ULONG ulNum1, ULONG ulNum2, ULONG * pulSubResult)
{
*pulSubResult = 0xffffffff;
if (ulNum1 < ulNum2)
{
return 0x80070216;
}
*pulSubResult = ulNum1 - ulNum2;
return 0;
}
INT ULongAdd(ULONG ulNum1, ULONG ulNum2, ULONG * pulAddResult)
{
*pulAddResult = 0xffffffff;
// add msb bit overflow, since unsigned
if (ulNum1 + ulNum2 < ulNum1)
{
return 0x80070216;
}
*pulAddResult = ulNum1 + ulNum2;
return 0;
}
INT ValidateBitmapInfoAndPixelData(
BITMAPINFO * pbmi,
ULONG ulSize)
{
ULONG ulAddResult;
//
if ( ValidateBitmapInfoHeader(pbmi, ulSize) == FALSE )
{
return FALSE;
}
if ( ComputeColorTableSize(pbmi, &ulSize) < 0 )
{
return FALSE;
}
if (ULongAdd(0x28, ulSize, &ulAddResult) < 0)
{
return FALSE;
}
if (ULongAdd(ulAddResult, CalcBitmapSize(pbmi, &ulAddResult), &ulAddResult) < 0)
{
return FALSE;
}
if (ulSize < ulAddResult)
{
return FALSE;
}
return TRUE;
}
ValidateBitmapInfoHeader(BITMAPINFO * pbmi, ULONG ulSize)
{
DWORD biSize;
DWORD dwMulRes;
if (ulSize < 0x28)
{
return FALSE;
}
// check biSize
biSize = pbmi->bmiHeader.biSize;
if ((biSize < 0x28) || (biSize > 0x1000))
{
return FALSE;
}
// check biWidth
biWidth = pbmi->bmiHeader.biWidth;
if (!biWidth)
{
return FALSE;
}
// check biHeight
if( !(pbmi->bmiHeader.biHeight) )
{
return FALSE;
}
// check biBitCount
if ((pbmi->bmiHeader.biBitCount) > 0x20)
{
return FALSE;
}
// 检查 0x20 * biWidth 是否overflow(应该是为了计算Row Bytes做检测, 看是否有overflow)
// 因为: row bits = bicount * biwidth
// 其中, bitcount取值为 1, 4, 8, 16, 24, 32, 所以取32最大值
if ( !(MultiplyCheckOverflow(0x20, biWidth, &dwMulRes)) )
{
return FALSE;
}
// 检查 检查SizeImage是否有溢出
// 因为: SizeImage = row bytes * biHeight
// 其中: row bytes = (row bits / 8 + 3) & 0xffffffffc;
// +3 是为了当相除有余数,即不是整好够一个4byte,来通过+3使其4byte对齐
// 图像是4byte对齐操作
if (!(MultiPlyCheckOverFlow(
( (dwMulRes / 8 + 3) & 0xfffffffc ),
((biHeight < 0) ? (~biHeight + 1): biHeight),
&dwMulRes )))
{
return FALSE;
}
// 判断计算出来的图片的尺寸大小是否有超过0x40000000 bytes
if (dwMulRes > 0x40000000)
{
return FALSE;
}
// 判断biSizeImage是否有超过0x40000000 bytes
biSize = pbmi->bmiHeader.biSizeImage;
if (biSize > 0x40000000)
{
return FALSE;
}
// 判断biClrUsed, 注意补丁这里换成了无符号的比较!!!
// 从而修复了之前,有符号比较,当其为负数,然后复制数据
// 当做无符号的漏洞,造成stack overflow.
if (pbmi->bmiHeader.biClrUsed > (DWORD)0x100)
{
return FALSE;
}
}
// 检查num1与num2相乘是否有溢出, 相乘结果存入pdwMulRes地址
// 如果有溢出, 返回0; 无溢出,则返回1;
INT MultiplyCheckOverflow(DWORD dwNum1, DWORD dwNum2, DWORD * pdwMulRes)
{
*pdwMulRes = dwNum1 * dwNum2;
if (dwNum1 == 0)
{
return 0;
}
// 如果之前的乘机结果,除以dwNum1还等于dwNum2,表示相乘的时候结果无溢出
if ((*pdwMulRes / dwNum1) == dwNum2)
{
return 1;
}
else
{
return 0;
}
}
|
|
|
|
|
|
|
|
|
 感谢支持,恩,只是尝试学习分析。利用的话,不知道可不可以把其放在一堆图片的文件夹中,来诱导用户用缩略图浏览 |
|
|
楼主上来就做了这么详细的分析和比较。不错,要赞一个
|
|
|
向楼主学习了..... |
