V2AS问路
CVE-2013-1347:Microsoft IE CGenericElement UAF 漏洞利用样本分析
阅读原文时间:2023年07月09日阅读:2

  • CVE-2013-1347 漏洞是典型的 IE 浏览器 UAF 漏洞,所以其利用方法和一般的 IE 浏览器漏洞的利用方法非常相似,所以流程大体上可以分为这些步骤:(1) 对象被释放 (2) 精确覆盖被释放对象的内存空间,更改 EIP 寄存器从而控制程序的流程 (3) 触发漏洞实现重引用

  • 以下就是利用此漏洞的样本






  • 想要了解该代码是如何利用的,首先需要知道程序是怎么进行重引用的,所以使用 Windbg 加载 IE 运行后拖入样本文件。对了在这之前需要开启 hpa,方便在内存异常处断下,并且使用 .childdbg 1 开启多线程调试

  • 触发异常后断下,从异常触发点可以看出 mov eax, dword ptr [ecx] 这条指令的地址是 74ddc400

  • 结合 IDA 分析,可以看出首先将对象的首地址存放在 eax 中,之后根据虚表偏移 0x70 个字节,根据偏移后的虚表地址调用函数 call edx,这也是 C++ 调用虚函数的通用方法

  • 所以怎么才可以覆盖虚表指针后,再覆盖虚表偏移 0x70 大小的数据呢,答案是使用 t:ANIMATECOLOR 元素,这个元素对象很特别,该元素有一个 values 属性,当给 values 属性赋字符串的时候,会以 ;号做为分隔符,每个分割出来的字符串都会用一个指针去指向它

  • 所以知道了这些,样本中的利用代码就很好分析了,首先通过循环构造 0x70 大小的数据,用于覆盖虚表的 0x70 个字节

  • 之后再次循环构造以 ;号分隔的字符串,使对象大小变为 0x4c,方便占坑,同时覆盖虚表指针

注:占坑表示完整覆盖释放后的堆空间

  • 最后将 t:ANIMATECOLOR 元素的 values 属性赋值为 animvalues 字符串

  • 构造完的 t:ANIMATECOLOR 元素对象的内存结构就如下图所示:

  • 下面来调试一遍,关闭 hpa 之后,加载 IE 拖入样本后调试结果如下:

    .
    .
    .
    (74c4c234) mshtml!CGenericElement::CreateElement | (74c4c279) mshtml!CGenericElement::CGenericElement
    Exact matches:
    mshtml!CGenericElement::CreateElement =
    '=== CElement ==='
    080ac250 74c254b0 00000001 00000008 00000000
    080ac260 00000000 00000000 00000000 00000000
    080ac270 00000000 00000000
    '=== CTreeNode ==='
    080a38d0 080ac250
    080ac250 74c4c2e8 mshtml!CGenericElement::`vftable'
    .
    .
    .
    eax=02f23048 ebx=080a38d0 ecx=080ac250 edx=41414141 esi=054ff078 edi=00000000
    eip=41414141 esp=054ff048 ebp=054ff064 iopl=0 nv up ei pl zr na pe nc
    cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00010246
    41414141 ?? ???

  • 查看漏洞对象 CGenericElement 已经释放的内存空间 0x080ac250 的覆盖情况,发现已经被覆盖了

    2:040> dd 080ac250
    080ac250 02f23048 02f5cf60 02f5cf80 02f5cfa0
    080ac260 02f5cfc0 02f5cfe0 02f5d000 02f5d020
    080ac270 02f5d040 02f5d060 02f5d080 02f5d0a0
    080ac280 02f5d0c0 02f5d0e0 236b22bf c2000000
    080ac290 0670c7a4 00000000 00000002 0502001e
    080ac2a0 0000000e 9ea75230 00000012 006e006f
    080ac2b0 00720074 006e0061 00690073 00690074
    080ac2c0 006e006f 00650072 00650070 00740061

  • 查看一下第一个字符串指针指向的值,就是之前循环赋值的值,0x70 偏移地址的值为 0x41414141,所以 edx 寄存器中的值会变为 0x41414141

    2:040> dd 02f23048
    02f23048 42424242 42424242 42424242 42424242
    02f23058 42424242 42424242 42424242 42424242
    02f23068 42424242 42424242 42424242 42424242
    02f23078 42424242 42424242 42424242 42424242
    02f23088 42424242 42424242 42424242 42424242
    02f23098 42424242 42424242 42424242 42424242
    02f230a8 42424242 42424242 42424242 42424242
    02f230b8 41414141 00000000 28d3aa3e c2000000

  • 最后 call edx,也就是 jmp 0x41414141,之后配合绕过防御的代码,就可以达到执行任意代码的目的

手机扫一扫

移动阅读更方便

阿里云服务器
腾讯云服务器
七牛云服务器

你可能感兴趣的文章