“雷暴”是CVE-2012-1889漏洞，在2012年曝光的一种微软的XML核心组件漏洞，该漏洞源于未初始化内存的位置。远程攻击者可以借此漏洞执行任意代码或者导致拒绝服务。很重要的是该漏洞的影响非常广，存在此漏洞的系统版本很多，所以在当时危害级别特别高。刚开始接触漏洞利用知识的我今天来记录一下它的分析和利用过程。

系统环境：winXP IE6

工具：WinDbg、OllyDbg、EditPlus3

我们可以先观察一下漏洞触发的现象：

可以认定是msxml3.dll模块内部出现了问题，那我们再看看代码，探查一下是哪里出发了异常：

这个clsid属性是一个类标识符，因为我们这里是利用了xml对象来执行代码，所以值是xml3的标识（UUID）：

这个对象的成员definition()便是该漏洞的触发条件，如果将其视为一个方法（函数），括号中有参数那么它就会触发漏洞：

首先触发异常的地方在EIP=0x5DD8D772，原因是call了一个没有数据的地址[ecx+18h],然后顺着往上看，找到了ecx来源于eax，而eax来源于ebp，也就是栈空间。

如果将其视为一个属性，那么就不会触发漏洞，该代码执行完成后就会无事发生：

如果我们将栈空间替换成我们想要的地址，那么最后call的地方就会是我们想要的代码。

我们先来验证一下上一个环节的猜想，先填充一下栈空间，让eax也就是ebp-14h的地址上存一个我们想要的地址然后让它访问。

那么问题来了，怎么才能让目的地址是我们构造的数据呢，我想到了两种方法

这里为了方便就使用了无脑填充法：

注：这里只是填充了栈，也就是让eax获取到了值，并不代表最后的call是正确的，后面会讲到call的值怎么改，别急别急~~

我们使用WinDbg再来观察一下堆栈和寄存器的情况：

可以看到确实栈已经被我们填充成了0C0C0C0C,然后在读取这个地址的内容的时候触发了异常，为啥呢？因为这个地址并没有访问权限。

好的，第一步已经迈出去了，接下来就是要让0C0C0C0C这个地址有数据，要能正常访问到且不触发异常。如何能在这个地址构造填充数据呢？这里就要用到堆喷射（Heap Spray）技术了。

简单来说就是将堆空间覆盖成我们想要的内容，从而达到执行shellcode的目的。接下来我用该漏洞的逻辑图来说明一下堆喷的原理和能利用的方向。

首先我们访问栈，访问0C0C0C0C这个地址，然后经过我们的代码可以让它去堆空间找，IE进程有很多模块，但是不影响，通过js的字符串拼接我们可以申请很多堆空间占据js执行模块的堆空间，然后为了确保shellcode能够执行，我们在每一个堆空间填充的数据块都经过了一定的调整，前面放一堆滑板指令，比如9090=>nop或者0C0C=>OR AL,0C,他们会执行但是不影响任何环境，然后就会顺利执行到我们的shellcode完成目的。

上面是一段shellcode，也就是弹个MessageBox而已，目的是验证漏洞能否就此被利用。

最后也是最重要的一步来了，成功call到我们精心构造的数据块中：

直接运行，成功弹窗！

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)