软件名称： Firefox

软件版本：Firefox 3.6.16

漏洞模块：xul.dll

漏洞编号：CVE-2011-0065

危害等级：高危

漏洞类型：释放重引用

威胁类型：远程

       Mozilla Firefox是一款非常流行的开源WEB浏览器。SeaMonkey是开源的Web浏览器、邮件和新闻组客户端、IRC会话客户端和HTML编辑器。 

3.0 windbg设置

首先添加windbg关于Firefox的符号表地址

3.1漏洞触发

3.1.1 poc

3.1.2 触发异常

运行FireFox并且用windbg附加它，然后运行刚才的Poc，断到异常处

然后用kv指令查看此时的堆栈信息，可以看到栈顶的返回地址68cf4e75

用ub指令查看0x68cf4e75地址前面的指令，漏洞是出现在xul.dll模块中

根据C++成员函数this指针调用约定，可以知道上面的ecx是虚表函数，eax是对象地址，而call dword ptr ds：[ecx+18]调用的整是某个对象的方法，即虚函数。

查看xul!nsObjectLoadingContent::LoadObject+0xf2发现有两个同名函数。

根据上面触发漏洞时栈顶的返回地址68cf4e75可以知道这里调用的是：

Matched: 68cf4d6d xul!nsObjectLoadingContent::LoadObject (class nsIURI *, int, class nsCString *, int)

因此，对68cf4d6d下断点：

0:000> bp 68cf4d6d

另外，从poc代码中可以看到关键函数onChannelRedirect 因此我们可以直接在winDbg中搜索函数，但是发现很多类里面都包含着onChannelRedirect 方法

但是刚才我们已经找到了，触发漏洞的类是xul!nsObjectLoadingContent，通过搜索，该类里也包含onChannelRedirect方法，连同其参数也一并列了出来，前两个参数为类对象

因此对xul!nsObjectLoadingContent::onChannelRedirect下断点，重新载入poc.html执行后，发现确实可以断下

查看此时它的三个参数，其中第二个参数是对象067a3e90，其余均为0

分析该函数的反汇编代码

上面的调试信息已经给出了源码文件的路径和行数，因此我们可以直接查看nsObjectLoadingContent::onChannelRedirect函数的源码，可以通过http://hg.mozilla.org/releases/mozilla-1.9.2/file/c24f21581d77/content/base/src/nsObjectLoadingContent.cpp获取在线代码

NS_IMETHODIMP

nsObjectLoadingContent::OnChannelRedirect(

nsIChannel *aOldChannel,                                          

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)