小试牛刀之CVE-2010-2883
source link: https://www.freebuf.com/vuls/231105.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
前言
近来正在学习《漏洞战争》,也是头一回分析二进制漏洞,花了好大一番功夫才搞明白,便想记录下过程。
初次分析,若有不正之处,还请多多指教。
分析环境
Windos XP & Ollydbg & Immunity debugger & IDA Pro & Adobe Reader 9.3.4
分析过程
1.定位漏洞点
根据书中给出的信息,漏洞存在于CoolType.dll中,使用IDA Pro反编译CoolType.dll,找到字符串 “SING” ,使用交叉引用功能定位到漏洞代码附近
但造成漏洞的主要原因是strcat,Adobe Reader在调用strcat时,未对uniqueName字段的字符串长度进行检测,导致可以将任意长度的字符串复制到固定大小的栈空间中,最终导致栈溢出。(摘抄自《漏洞战争》)
2.如何控制EIP
知道从哪可以复制数据到栈中导致栈溢出后,下一步就该考虑该复制多少数据进去才能控制eip。
使用ollydbg附加adobe reader,在0x803DDAB处,也就是call strcat的位置下断点。
使用msf生成样本文件,随后用adobe reader打开,同时触发断点。
执行F8,数据被复制到栈中,目的地址为0x12E4D8
使用immunity debugger的mona插件生成溢出字符串,并复制该字符串到0x12E4D8的位置。
至于为什么是溢出字符串的长度为什么是572字节,其实这里我是抄样本里的数据长度。尝试过用500字节会覆盖函数的返回地址,但并非当前函数,使用600、1000、1200都会触发STACK_BUFFER_OVERRUN异常。主要是想搞明白书中的内容,所以这里也用572字节。
执行F9,触发异常,但此处并未能覆盖EIP
异常信息显示,无法访问[6B413187],为了消除影响,通过计算偏移找到6B413187的位置,然后使用一个可读写的内存地址去替换它。
但如果直接拿6B413187去计算偏移的话是算不出来的,原因在于6B413187并不在我们生成的溢出字符串中。而EAX来源于[ECX+1C],应该拿ECX中的值去计算偏移才对。
找到偏移0×130的位置,将6B41316B替换成一个读写的内存地址,比如0x4A8A08E2,这是书中给出的地址,也可替换成其他的。(0×130也就是十六进制的304)
重新调试,将修改后的溢出字符串再次复制到缓冲区。(缓冲区的起始地址是0x12E4D8,被修改的位置在0x12E608,也就是0x12E4D8+0×130)
执行F9,再次触发异常,且成功覆盖EIP
再次使用immunity debugger的mona插件去计算偏移
重启调试进程,执行完0x803DDAB的call strcat后,在0x12E4D8+0x1F8的位置设置内存断点(0x1F8也就是504的十六进制)
F9继续执行,执行到第三次断点,找到能覆盖EIP的指令。
3.分析ShellCode
知道如何控制EIP后,继续来分析样本中的ShellCode。
重启调试进程,执行完0x803DDAB的call strcat后,在0x12E6D0的位置设置内存断点
多次F9执行到0x808B308,也就是call dword ptr ds:[eax]
F7单步执行call dword ptr ds:[eax],跟入0x4A80CB38
此时的ESP的值为0x12DD24,而溢出字符串的位置在0x12E4D8。shellcode中通过ADD EBP,794; LEAVE;回到原来的栈空间中去。
F7继续执行
而用来绕过DEP的ROP指令和shellcode都存放在堆中,使用POP ESP修改ESP的值为0x0C0C0C0C
F7继续执行到ESP=0x0C0C0C1C,EIP=4A801F90的位置,前面那几条ROP指令暂不清楚作用是什么,尝试过替换掉成其他无意义的指令和去除这几条指令,shellcode依旧能正常运行。
而0x4A801F90正是关键的ROP指令之一,除此之外还有0x4A80B692
EAX中的值指向icucnv36.dll的IAT表,通过提前构造好栈中的参数,再利用POP EAX; JMP DWORD PTR DS:[EAX] 实现函数调用。后面几个函数的调用都是使用这种思路。
第一次调用了Kernel32.CreateFileA函数,其参数为
但后面调用的函数需要用到前一个函数的返回值,shellcode通过以下三条ROP指令将上一个函数的返回值放到下一个函数的参数列表中。
ROP1: XCHG EAX,EDI,此时EAX中存放的正是上一个函数的返回值。
ROP2: POP EBX,EBX中的值将参下一条ROP指令的计算。
ROP3: AND DWORD PTR SS:[EBX*2+ESP],EDI,这里才是将返回值放到参数列表的指令。
第二个调用的函数为Kernel32.CreateFileMappingA,参数列表如下
运用同样的手法调用第三个函数Kernel32.MapViewOfFile,参数列表如下
第四个函数为MSVCR80.memcpy,参数列表如下。位于ESP中的值(0x4F70000)为函数返回地址,也就是Shellcode的位置。
至此,整个shellcode的布局思路也分析得七七八八了。
小结
接下来,讨论下分析过程中的几个问题。
1.为什么ROP指令的地址都在icucnv36.dll的地址空间
这点书中也提到,因为在Adobe Reader的各个版本上这个dll的地址都是不变的。通过对比win7和xp中的icucnv36.dll(同一adobe reader版本),发现只有icucnv36.dll没有开启REBASE,DEP,ASLR,且存在可读可执行的.text段和可读可写的.data段。
2.既然使用500个字节的溢出字符串也能覆盖EIP,那要怎么做才能成功执行shellcode呢?
直接使用POP ESP的地址覆盖返回地址,将ESP设为0x0C0C0C0C即可,后面的都一样了。(测试时并没有发现GS的影子)
3.ROP3中的AND DWORD PTR SS:[EBX*2+ESP],EDI能换成诸如mov、xor吗?
可以,但找不到,尝试过在icucnv36.dll中查找mov、xor、or等指令来替换and,但都找不到。但也许还有其他办法实现该功能。
参考资料
《漏洞战争》 《灰帽黑客》第四版 第12章
*本文作者:wnltc0,转载请注明来自FreeBuf.COM
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK