“雷暴”是CVE-2012-1889漏洞,在2012年曝光的一种微软的XML核心组件漏洞,该漏洞源于未初始化内存的位置。远程攻击者可以借此漏洞执行任意代码或者导致拒绝服务。很重要的是该漏洞的影响非常广,存在此漏洞的系统版本很多,所以在当时危害级别特别高。刚开始接触漏洞利用知识的我今天来记录一下它的分析和利用过程。
系统环境:winXP IE6
工具:WinDbg、OllyDbg、EditPlus3
我们可以先观察一下漏洞触发的现象:
可以认定是msxml3.dll
模块内部出现了问题,那我们再看看代码,探查一下是哪里出发了异常:
这个clsid
属性是一个类标识符,因为我们这里是利用了xml对象来执行代码,所以值是xml3的标识(UUID):
这个对象的成员definition()
便是该漏洞的触发条件,如果将其视为一个方法(函数),括号中有参数那么它就会触发漏洞:
首先触发异常的地方在EIP=0x5DD8D772
,原因是call
了一个没有数据的地址[ecx+18h]
,然后顺着往上看,找到了ecx来源于eax,而eax来源于ebp,也就是栈空间。
如果将其视为一个属性,那么就不会触发漏洞,该代码执行完成后就会无事发生:
如果我们将栈空间替换成我们想要的地址,那么最后call的地方就会是我们想要的代码。
我们先来验证一下上一个环节的猜想,先填充一下栈空间,让eax
也就是ebp-14h
的地址上存一个我们想要的地址然后让它访问。
那么问题来了,怎么才能让目的地址是我们构造的数据呢,我想到了两种方法
这里为了方便就使用了无脑填充法:
注:这里只是填充了栈,也就是让eax获取到了值,并不代表最后的call是正确的,后面会讲到call的值怎么改,别急别急~~
我们使用WinDbg再来观察一下堆栈和寄存器的情况:
可以看到确实栈已经被我们填充成了0C0C0C0C
,然后在读取这个地址的内容的时候触发了异常,为啥呢?因为这个地址并没有访问权限。
好的,第一步已经迈出去了,接下来就是要让0C0C0C0C
这个地址有数据,要能正常访问到且不触发异常。如何能在这个地址构造填充数据呢?这里就要用到堆喷射(Heap Spray)技术了。
简单来说就是将堆空间覆盖成我们想要的内容,从而达到执行shellcode的目的。接下来我用该漏洞的逻辑图来说明一下堆喷的原理和能利用的方向。
首先我们访问栈,访问0C0C0C0C
这个地址,然后经过我们的代码可以让它去堆空间找,IE进程有很多模块,但是不影响,通过js的字符串拼接我们可以申请很多堆空间占据js执行模块的堆空间,然后为了确保shellcode能够执行,我们在每一个堆空间填充的数据块都经过了一定的调整,前面放一堆滑板指令,比如9090=>nop
或者0C0C=>OR AL,0C
,他们会执行但是不影响任何环境,然后就会顺利执行到我们的shellcode完成目的。
上面是一段shellcode,也就是弹个MessageBox
而已,目的是验证漏洞能否就此被利用。
最后也是最重要的一步来了,成功call到我们精心构造的数据块中:
直接运行,成功弹窗!
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)