本文为看雪论坛优秀文章
看雪论坛作者ID:JokerMss
1
漏洞信息
“雷暴”是CVE-2012-1889漏洞,在2012年曝光的一种微软的XML核心组件漏洞,该漏洞源于未初始化内存的位置。远程攻击者可以借此漏洞执行任意代码或者导致拒绝服务。很重要的是该漏洞的影响非常广,存在此漏洞的系统版本很多,所以在当时危害级别特别高。刚开始接触漏洞利用知识的我今天来记录一下它的分析和利用过程。
2
环境和工具
系统环境:winXP IE6
工具:WinDbg、OllyDbg、EditPlus3
3
漏洞分析
我们可以先观察一下漏洞触发的现象:
可以认定是msxml3.dll模块内部出现了问题,那我们再看看代码,探查一下是哪里出发了异常:
这个clsid属性是一个类标识符,因为我们这里是利用了xml对象来执行代码,所以值是xml3的标识(UUID):
这个对象的成员definition()便是该漏洞的触发条件,如果将其视为一个方法(函数),括号中有参数那么它就会触发漏洞:
首先触发异常的地方在EIP=0x5DD8D772,原因是call了一个没有数据的地址[ecx+18h],然后顺着往上看,找到了ecx来源于eax,而eax来源于ebp,也就是栈空间。
如果将其视为一个属性,那么就不会触发漏洞,该代码执行完成后就会无事发生:
如果我们将栈空间替换成我们想要的地址,那么最后call的地方就会是我们想要的代码。
4
漏洞利用
我们先来验证一下上一个环节的猜想,先填充一下栈空间,让eax也就是ebp-14h的地址上存一个我们想要的地址然后让它访问。
那么问题来了,怎么才能让目的地址是我们构造的数据呢,我想到了两种方法
无脑填充栈:将栈空间全部填充为我们想要的数据,重复填充就行,反正地址也就4个字节,把栈填满就行
精准填充栈:通过获取当前ebp的值,然后使用__asm将汇编代码内联进c代码,然后mov就行
这里为了方便就使用了无脑填充法:
注:这里只是填充了栈,也就是让eax获取到了值,并不代表最后的call是正确的,后面会讲到call的值怎么改,别急别急~~
我们使用WinDbg再来观察一下堆栈和寄存器的情况:
可以看到确实栈已经被我们填充成了0C0C0C0C,然后在读取这个地址的内容的时候触发了异常,为啥呢?因为这个地址并没有访问权限。
好的,第一步已经迈出去了,接下来就是要让0C0C0C0C这个地址有数据,要能正常访问到且不触发异常。如何能在这个地址构造填充数据呢?这里就要用到堆喷射(Heap Spray)技术了。
简单来说就是将堆空间覆盖成我们想要的内容,从而达到执行shellcode的目的。接下来我用该漏洞的逻辑图来说明一下堆喷的原理和能利用的方向。
首先我们访问栈,访问0C0C0C0C这个地址,然后经过我们的代码可以让它去堆空间找,IE进程有很多模块,但是不影响,通过js的字符串拼接我们可以申请很多堆空间占据js执行模块的堆空间,然后为了确保shellcode能够执行,我们在每一个堆空间填充的数据块都经过了一定的调整,前面放一堆滑板指令,比如9090=>nop或者0C0C=>OR AL,0C,他们会执行但是不影响任何环境,然后就会顺利执行到我们的shellcode完成目的。
上面是一段shellcode,也就是弹个MessageBox而已,目的是验证漏洞能否就此被利用。
最后也是最重要的一步来了,成功call到我们精心构造的数据块中:
直接运行,成功弹窗!
知道了利用方法后能不能加点功能进去呢?比如说bindshell?说干就干。首先还是先编译一份能在XP系统上跑起来的程序。
起始也就是一个bindshell的小demo,然后把它的opcode扒下来,转换成js能识别的unicode编码,再构造出自己的字符串也就是前面说的数据块就行了。
上图!
以上,就完成了CVE-2012-1889漏洞的分析和利用。
看雪ID:JokerMss
https://bbs.pediy.com/user-home-908631.htm
# 往期推荐
3.Windows本地提权漏洞CVE-2014-1767分析及EXP编写指导
6.什么是runC?
球分享
球点赞
球在看
点击“阅读原文”,了解更多!