-
-
[原创] CVE-2014-0322 IE与Flash结合利用 绕过ASLR+DEP
-
发表于: 2018-11-30 05:20
-
Flash与html结合利用在前几年的攻防对抗中非常火爆,Flash使用的脚本语言是ActionScript,Html使用的是JavaScript,两种脚本语言各有其特性,ActionScript通过Vector<uint>对内存读写数据来定位模块基址以及堆喷射,JavaScript通过字符串占位来覆盖释放后的对象,
最后调用shellcode的任务是ActionScript完成的
,其实一开始我也比较困惑,既然漏洞是JavaScript代码造成的,那Shellcode怎么会是ActionScript执行的?这也是这个漏洞利用有趣的地方!
漏洞详情:
Use-after-free vulnerability in Microsoft Internet Explorer 9 and 10
allows remote attackers to execute arbitrary code via vectors involving
crafted JavaScript code, CMarkup, and the onpropertychange attribute of a
script element, as exploited in the wild in January and February 2014.
攻击机操作系统:Windows 10
目标机操作系统:Windows 7 sp1 32位
浏览器:IE10.0.9200.16438
FLASH版本: Flashplayer12
调试器: IDA、x64dbg
其他工具:Metasploit
Metasploit开启HTTP服务器:
攻击机cmd中输入ipconfig查询本机ip为192.168.1.101
攻击机cmd打开metasploit控制台启动攻击所需的HTTP服务器
使用的命令如下:
1. msfconsole
2. use exploit/windows/browser/ms14_012_cmarkup_uaf
3. set SRVHOST 192.168.1.101
4. set payload windows/exec
5. set CMD calc.exe
6. exploit
目标机进入指定的URL链接
异常poc:
浏览器载入poc代码,x64dbg附加进程,运行后断到0x649F1B97, 看下EDX处内存,发现已经被覆盖成0x19FFFFF3了,如果异常时EDX指向的堆中的数值没有出现被覆盖的情况,那也是正常的,多加载几次poc总能撞出一次的,这是因为title属性占位成功几率有点感人,大家凑合着用吧,EAX指向0x19FFFFF3这个地址,这个地址现在是不可访问的,因为现在还没有结合FLASH脚本利用,在后面的ActionScript中会进行堆喷射,在堆喷射后
0x19FFFFF3
这个地址才会有效;
IDA看下这个异常函数, 函数名为CMarkup::UpdateMarkupContentsVersion,EDX很明显是对象指针,从这个情况分析是CMarkup对象释放后被占位了
创建CMarkup对象代码在CDoc::CreateMarkupFromInfo函数中的234行
对CDoc::CreateMarkupFromInfo下断,根据栈回溯信息来看,创建这个CMarkup对象的JavaScript代码为 c = b.appendChild(c);
CMarkup的释放由CMarkup::`scalar deleting destructor函数完成
对CMarkup释放函数下断,断下来后发现是设置 outerHTML属性导致的释放的
异常分析总结:
根据之前异常和调试收集来的信息,在JavaScript中 c = b.appendChild(c) 执行时创建CMarkup,this.outerHTML=this.outerHTML导致释放CMarkup,而释放后的占位是g_arr[a].title = d.substring(0, d.length) 完成的,d这个字符串偏移0x94、0x98、0x15c处写入的固定数值是为了结合Flash利用和防止程序崩溃,具体的作用还得自己动手调试才能完全理解;
由于Metasploit中已经有很好的利用代码了,所以也就懒得自己写了,下面主要对ruby模块代码和Flash的ActionScript脚本代码进行分析;
Exploit代码:
代码位置在Metasploit-framework\embedded\framework\modules\exploits\windows\browser\ms14_012_cmarkup_uaf.rb
MetasploitModule是类名,继承自Msf::Exploit::Remote,包含BrowserExploitServer模块,BrowserExploitServer是一个浏览器专用的模块,包含了
HttpServer
、
HttpServer :: HTML
功能,在initialize函数中则定义了模块的基本信息,利用要求在BrowserRequirements元数据中定义;
create_swf函数负责读取盘中的AsXploit.swf到内存;
on_request_uri函数响应URI操作请求,加载swf文件时会发送此请求,这个函数返回swf脚本到目标机;
on_request_exploit函数响应exploit请求,当浏览器输入http服务器地址并进入时会发送此请求,这个函数返回HTML代码到目标机;
exploit_template函数获取HTML代码模板;
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
