CVE-2014-6332调试分析

最新推荐文章于 2024-04-24 11:33:24 发布

原创

最新推荐文章于 2024-04-24 11:33:24 发布 · 2k 阅读

0 ·

CC 4.0 BY-SA版权

本文详细分析了CVE-2014-6332漏洞，这是一个在IE浏览器中的VBScript漏洞。漏洞原理在于oleaut32!SafeArrayRedim函数中的边界检查错误，允许攻击者进行越界读写。通过精心构造的利用链，攻击者可以控制safemode标志，增强漏洞利用的通用性和稳定性。调试环境为Win7+IE8，文中介绍了利用步骤和漏洞利用代码的细节，展示了如何通过内存布局和类型混淆实现漏洞利用。

这个漏洞是一个IE浏览器里，vbs方面的漏洞，yuange首先放出了这个漏洞的完整dve的利用，接下来各个安全团队都出了比较好的分析报告。这个漏洞本身的原理算是比较传统，但是利用技术非常巧妙。置位safemode后，shellcode相当于用脚本语言直接编写，通用性稳定性极强。闲暇之余，也忍不住调试一下。

调试环境Win7+IE8，参考了瀚海源的精简版yuange POC，因为里面有加入了通过vbs在调试器里打日志的方法，就直接用了，感谢分享。

漏洞原理：

先列出相关的数据结构：

typedef struct FARSTRUCT tagSAFEARRAY {
   unsigned short cDims;       // Count of dimensions in this array.
   unsigned short fFeatures;   // Flags used by the SafeArray
                        // routines documented below.
#if defined(WIN32)


   unsigned long cbElements;   // Size of an element of the array.
                        // Does not include size of
                        // pointed-to data.
   unsigned long cLocks;      // Number of times the array has been 
                        // locked without corresponding unlock.
#else
   unsigned short cbElements;
   unsigned short cLocks;
   unsigned long handle;      // Used on Macintosh only.
#endif
   void HUGEP* pvData;             // Pointer to the data.
   SAFEARRAYBOUND rgsabound[1];      // One bound for each dimension.
} SAFEARRAY;

typedef struct tagSAFEARRAYBOUND {
  ULONG cElements;
  LONG  lLbound;
} SAFEARRAYBOUND, *LPSAFEARRAYBOUND;

漏洞出在oleaut32!SafeArrayRedim函数中，当

最低0.47元/天解锁文章