[原创]cve-2012-4969 ie_execcommand漏洞调试分析（dep突破分析，仅仅调试了拿到的poc，膜拜写此exploit的牛人）-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]cve-2012-4969 ie_execcommand漏洞调试分析（dep突破分析，仅仅调试了拿到的poc，膜拜写此exploit的牛人）

发表于: 2012-11-5 10:04 7974

[原创]cve-2012-4969 ie_execcommand漏洞调试分析（dep突破分析，仅仅调试了拿到的poc，膜拜写此exploit的牛人）

arjohn

2012-11-5 10:04

7974

本来想自己写这个漏洞的利用，但是加载调试后发现自己能力有限，该漏洞在win 7下的漏洞不是很容易，随机化的模块很多，这样给溢出利用带来了很大的难度，之前一只是用OD安装ollyfindaddr.dll插件来找指令的，但是本人的调试环境下用OD调试，eip老是会莫名其妙的跑飞，所以改用Windbg调试，用windbg调试目前我还没有找到搜索指令的方法，所以决定分析一下牛人做好的poc，领悟一下过dep的过程，也膜拜一下写exploit的大神们！
接之前的分析，溢出产生在call dword ptr [eax+8]处，溢出后，poc第一个地址在0x7c348b05，故在该处下断点，如下图：

此时可以看到0x7c348b05处xchg eax,esp指令给esp赋值，这样才能到我们通过堆喷射事先在内存中设计好的shellcode中，之所以选择0x7c348b05地址，是因为该地址所在的模块是没有进行地址随机化的，这样每次溢出后能够稳定利用，如图：

0x7c340000处加载的MSVCR71模块是没有地址随机化的，该模块来自于jre 6.0，所以该漏洞的稳定利用一定要安装jre 6.0。
执行了xchg后，esp就为0x0c0c0c0c，此时我们就可以构造rop链来过dep保护了。

ret指令后到了0x7c341ae4处执行，如下图

0x7c341ae4处的指令是对esp进行调整，这样留出空间，以备后面调试需要。执行完后esp到了0x0c0c0c58处

ret返回后执行0x7c37653d处指令，pop eax-->fffff000，pop edi-->7c347f98，这个将是后面pushad指令放置完virtualprotect函数参数后将要返回地址，pop esi-->7c3415a2也是后面要返回的地址，pop ebx-->ffffffff，pop ebp-->7c376402，ret后eip跳转到0x7c351e05处

可见，neg eax后，eax的值为0x1000，有什么用？后面看看！继续执行ret指令后，eip跳转到0x7c345255

继续执行inc ebx后，ebx的值变成了0，继续执行ret后，eip跳转到0x7c352174处

add ebx，eax后，ebx的值为0x1000 ，0x1000作为后面virtulprotect函数的参数，inc eax后，eax为1，继续执行ret后，eip跳转到0x7c344f87处

pop edx-->ffffffc0, 继续执行ret指令后，eip跳转到0x7c351eb1

neg edx后，edx的值为0x40，0x40作为后面virtulprotect函数的参数，ret后，eip跳转到0x7c34d201处
pop ecx-->0x7c38b001，ret后，eip跳转到0x7c347f97

pop eax-->0x7c37a151,ret后，eip跳转到0x7c378c81处

pushad指令调用前，该指令主要涉及到的寄存器为：
eax=0x7c37a151, ecx=0x7c38b001, edx=0x40, ebx=0x1000 ebp=0x7c376402 esi=0x7c3415a2 edi=0x7c347f98 esp=0xc0c0c9c
按照push eax，push ecx，push edx，push ebx，push ebp，push esi，push edi的顺序压栈。
ret后，eip跳转到0x7c347f98处

ret后，eip跳转到0x7c3415a2处

经过前面add al，0EFh指令后，eax=0x7c37a140，[eax]=0x76c82bcd 正好为virtualprotect函数地址。（但是我始终不明白为什么不给eax直接赋值成该值，然后找一个call eax指令呢，可能是在该dll中没有找到这个call eax指令吧！）所以不得不佩服作者设计的巧妙，可见马上要调用VirtualProtect函数突破dep保护了

此时esp的情况如图

pop ebx-->0x7c376402
继续执行到0x75c1f306

mov ebp,esp后ebp为0x0c0c0c80

VirtualProtectEx( ffffffff, 0c0c0c9c, 00001000, 00000040, 7c38b001）调用改函数后就把0c0c0c9c处开始的0x1000字节的内存空间改成了可执行，这样就顺利的突破了dep保护。后面分析就没有难度了。

通过调试发现，在win 7 下突破dep保护一定要先确定那些库是没有随机化的，要在这些没有随机化的库里面找指令，当找不到我们理想的指令时，要用效果等价的指令代替，像这个例子一样，通过pop指令给寄存器赋值，然后通过pushad指令把改好的寄存器指令顺序压栈，这样来完成调用突破dep保护函数参数的压栈，这样达到突破dep保护的目的。本次调试的poc设计的非常之精巧，耐人寻味啊！

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

1.jpg （112.55kb，20次下载）
2.jpg （44.41kb，7次下载）
3.jpg （33.21kb，1次下载）
4.jpg （66.27kb，4次下载）
5.jpg （33.67kb，1次下载）
6.jpg （18.24kb，2次下载）
7.jpg （18.30kb，1次下载）
8.jpg （21.54kb，2次下载）
9.jpg （9.85kb，1次下载）
10.jpg （10.53kb，1次下载）
11.jpg （7.20kb，1次下载）
12.jpg （15.98kb，1次下载）
13.jpg （9.42kb，1次下载）
14.jpg （30.07kb，2次下载）
15.jpg （18.68kb，1次下载）
16.jpg （31.59kb，1次下载）
17.jpg （37.29kb，1次下载）
18.jpg （33.75kb，1次下载）

收藏・15

免费・6

支持

最新回复 (9)
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 2 楼接之前的分析，溢出产生在call dword ptr [eax+8]处，溢出后，poc第一个地址在0x7c348b05，故在该处下断点，如下图：…… 这漏洞不是溢出吧，是释放重引用（use after free) 2012-11-5 11:53 0
arjohn 雪币： 232 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	arjohn 3 楼谢谢大神提醒！ 2012-11-5 14:27 0
冰翼show 雪币： 34 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 36 粉丝 0 关注私信	冰翼show 1 4 楼顶个 2012-11-5 16:15 0
PEYlxZ 雪币： 159 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 123 粉丝 0 关注私信	PEYlxZ 5 楼说好的exploit POC了 2012-11-6 12:03 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 6 楼试下 dds esp 这条 Windbg的命令，查看参数会更清楚一些 2012-11-6 15:00 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 7 楼 MSVCR71.dll这个文件中是完全可以找到ROP链的代码，而不像POC中那样使用neg reg 这样的指令，楼主可以尝试自己查找一下，写一个自己的ROP 链 2012-11-6 15:02 0
arjohn 雪币： 232 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	arjohn 8 楼谢谢版主！我试试看！ 2012-11-6 21:09 0
idhyt 雪币： 81 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 47 粉丝 2 关注私信	idhyt 9 楼 [QUOTE=arjohn;1115078]经过前面add al，0EFh指令后，eax=0x7c37a140，[eax]=0x76c82bcd 正好为virtualprotect函数地址。（但是我始终不明白为什么不给eax直接赋值成该值，然后找一个call eax指令呢，可能是在该dll中没有找到这个call eax指令吧！）所以不得不佩服作者设计的巧妙，可见马上要调用VirtualProtect函数突破dep保护了[/QUOTE] 这个问题是这样的：如果直接call eax的话，会先将地址压栈，然后在调用成功返回就失去控制权了，test eax,eax之前会跳走。你可以自己调下试试。 2012-11-22 13:42 0
南宫世家雪币： 62 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 143 粉丝 0 关注私信	南宫世家 10 楼 RT。。。。 2013-1-10 15:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

arjohn

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (9)
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 2 楼接之前的分析，溢出产生在call dword ptr [eax+8]处，溢出后，poc第一个地址在0x7c348b05，故在该处下断点，如下图：…… 这漏洞不是溢出吧，是释放重引用（use after free) 2012-11-5 11:53 0
arjohn 雪币： 232 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	arjohn 3 楼谢谢大神提醒！ 2012-11-5 14:27 0
冰翼show 雪币： 34 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 36 粉丝 0 关注私信	冰翼show 1 4 楼顶个 2012-11-5 16:15 0
PEYlxZ 雪币： 159 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 123 粉丝 0 关注私信	PEYlxZ 5 楼说好的exploit POC了 2012-11-6 12:03 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 6 楼试下 dds esp 这条 Windbg的命令，查看参数会更清楚一些 2012-11-6 15:00 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 7 楼 MSVCR71.dll这个文件中是完全可以找到ROP链的代码，而不像POC中那样使用neg reg 这样的指令，楼主可以尝试自己查找一下，写一个自己的ROP 链 2012-11-6 15:02 0
arjohn 雪币： 232 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	arjohn 8 楼谢谢版主！我试试看！ 2012-11-6 21:09 0
idhyt 雪币： 81 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 47 粉丝 2 关注私信	idhyt 9 楼 [QUOTE=arjohn;1115078]经过前面add al，0EFh指令后，eax=0x7c37a140，[eax]=0x76c82bcd 正好为virtualprotect函数地址。（但是我始终不明白为什么不给eax直接赋值成该值，然后找一个call eax指令呢，可能是在该dll中没有找到这个call eax指令吧！）所以不得不佩服作者设计的巧妙，可见马上要调用VirtualProtect函数突破dep保护了[/QUOTE] 这个问题是这样的：如果直接call eax的话，会先将地址压栈，然后在调用成功返回就失去控制权了，test eax,eax之前会跳走。你可以自己调下试试。 2012-11-22 13:42 0
南宫世家雪币： 62 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 143 粉丝 0 关注私信	南宫世家 10 楼 RT。。。。 2013-1-10 15:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复