首页
社区
课程
招聘
[分享]CVE-2012-1889 暴雷漏洞分析与利用小记
发表于: 2022-2-18 22:03 22027

[分享]CVE-2012-1889 暴雷漏洞分析与利用小记

2022-2-18 22:03
22027

“雷暴”是CVE-2012-1889漏洞,在2012年曝光的一种微软的XML核心组件漏洞,该漏洞源于未初始化内存的位置。远程攻击者可以借此漏洞执行任意代码或者导致拒绝服务。很重要的是该漏洞的影响非常广,存在此漏洞的系统版本很多,所以在当时危害级别特别高。刚开始接触漏洞利用知识的我今天来记录一下它的分析和利用过程。

系统环境:winXP IE6

工具:WinDbg、OllyDbg、EditPlus3

我们可以先观察一下漏洞触发的现象:

image-20220218153836176

可以认定是msxml3.dll模块内部出现了问题,那我们再看看代码,探查一下是哪里出发了异常:

image-20220218154234004

这个clsid属性是一个类标识符,因为我们这里是利用了xml对象来执行代码,所以值是xml3的标识(UUID):

image-20220218154518745

这个对象的成员definition()便是该漏洞的触发条件,如果将其视为一个方法(函数),括号中有参数那么它就会触发漏洞:

image-20220218160759178

首先触发异常的地方在EIP=0x5DD8D772,原因是call了一个没有数据的地址[ecx+18h],然后顺着往上看,找到了ecx来源于eax,而eax来源于ebp,也就是栈空间。

如果将其视为一个属性,那么就不会触发漏洞,该代码执行完成后就会无事发生:

image-20220218161247706

image-20220218155130322

如果我们将栈空间替换成我们想要的地址,那么最后call的地方就会是我们想要的代码。

我们先来验证一下上一个环节的猜想,先填充一下栈空间,让eax也就是ebp-14h的地址上存一个我们想要的地址然后让它访问。

那么问题来了,怎么才能让目的地址是我们构造的数据呢,我想到了两种方法

这里为了方便就使用了无脑填充法:

:这里只是填充了栈,也就是让eax获取到了值,并不代表最后的call是正确的,后面会讲到call的值怎么改,别急别急~~

image-20220218165539209

我们使用WinDbg再来观察一下堆栈和寄存器的情况:

image-20220218170117235

可以看到确实栈已经被我们填充成了0C0C0C0C,然后在读取这个地址的内容的时候触发了异常,为啥呢?因为这个地址并没有访问权限。

好的,第一步已经迈出去了,接下来就是要让0C0C0C0C这个地址有数据,要能正常访问到且不触发异常。如何能在这个地址构造填充数据呢?这里就要用到堆喷射(Heap Spray)技术了。

简单来说就是将堆空间覆盖成我们想要的内容,从而达到执行shellcode的目的。接下来我用该漏洞的逻辑图来说明一下堆喷的原理和能利用的方向。

image-20220218185450860

首先我们访问栈,访问0C0C0C0C这个地址,然后经过我们的代码可以让它去堆空间找,IE进程有很多模块,但是不影响,通过js的字符串拼接我们可以申请很多堆空间占据js执行模块的堆空间,然后为了确保shellcode能够执行,我们在每一个堆空间填充的数据块都经过了一定的调整,前面放一堆滑板指令,比如9090=>nop或者0C0C=>OR AL,0C,他们会执行但是不影响任何环境,然后就会顺利执行到我们的shellcode完成目的。

上面是一段shellcode,也就是弹个MessageBox而已,目的是验证漏洞能否就此被利用。

image-20220218190415827

image-20220218191012159

image-20220218191317956

最后也是最重要的一步来了,成功call到我们精心构造的数据块中:

image-20220218191435493

image-20220218191512125

直接运行,成功弹窗!

image-20220218191530133


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 2
支持
分享
打赏 + 50.00雪花
打赏次数 1 雪花 + 50.00
 
赞赏  Editor   +50.00 2022/03/21 恭喜您获得“雪花”奖励,安全圈有你而精彩!
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//