首页
论坛
课程
招聘
[分享]CVE-2012-1889 暴雷漏洞分析与利用小记
2022-2-18 22:03 18650

[分享]CVE-2012-1889 暴雷漏洞分析与利用小记

2022-2-18 22:03
18650

0x00 前言

“雷暴”是CVE-2012-1889漏洞,在2012年曝光的一种微软的XML核心组件漏洞,该漏洞源于未初始化内存的位置。远程攻击者可以借此漏洞执行任意代码或者导致拒绝服务。很重要的是该漏洞的影响非常广,存在此漏洞的系统版本很多,所以在当时危害级别特别高。刚开始接触漏洞利用知识的我今天来记录一下它的分析和利用过程。

0x01 环境和工具

系统环境:winXP IE6

 

工具:WinDbg、OllyDbg、EditPlus3

0x02 漏洞分析

Step One 成因

我们可以先观察一下漏洞触发的现象:

 

image-20220218153836176

 

可以认定是msxml3.dll模块内部出现了问题,那我们再看看代码,探查一下是哪里出发了异常:

 

image-20220218154234004

注1 clsid

这个clsid属性是一个类标识符,因为我们这里是利用了xml对象来执行代码,所以值是xml3的标识(UUID):

 

image-20220218154518745

注2 definition()

这个对象的成员definition()便是该漏洞的触发条件,如果将其视为一个方法(函数),括号中有参数那么它就会触发漏洞:

 

image-20220218160759178

 

首先触发异常的地方在EIP=0x5DD8D772,原因是call了一个没有数据的地址[ecx+18h],然后顺着往上看,找到了ecx来源于eax,而eax来源于ebp,也就是栈空间。

 

如果将其视为一个属性,那么就不会触发漏洞,该代码执行完成后就会无事发生:

 

image-20220218161247706

 

image-20220218155130322

Step Two 猜想

如果我们将栈空间替换成我们想要的地址,那么最后call的地方就会是我们想要的代码。

0x03 漏洞利用

小试牛刀

我们先来验证一下上一个环节的猜想,先填充一下栈空间,让eax也就是ebp-14h的地址上存一个我们想要的地址然后让它访问。

 

那么问题来了,怎么才能让目的地址是我们构造的数据呢,我想到了两种方法

  • 无脑填充栈:将栈空间全部填充为我们想要的数据,重复填充就行,反正地址也就4个字节,把栈填满就行
  • 精准填充栈:通过获取当前ebp的值,然后使用__asm将汇编代码内联进c代码,然后mov就行

这里为了方便就使用了无脑填充法:

 

:这里只是填充了栈,也就是让eax获取到了值,并不代表最后的call是正确的,后面会讲到call的值怎么改,别急别急~~

 

image-20220218165539209

 

我们使用WinDbg再来观察一下堆栈和寄存器的情况:

 

image-20220218170117235

 

可以看到确实栈已经被我们填充成了0C0C0C0C,然后在读取这个地址的内容的时候触发了异常,为啥呢?因为这个地址并没有访问权限。

渐入佳境

好的,第一步已经迈出去了,接下来就是要让0C0C0C0C这个地址有数据,要能正常访问到且不触发异常。如何能在这个地址构造填充数据呢?这里就要用到堆喷射(Heap Spray)技术了。

 

简单来说就是将堆空间覆盖成我们想要的内容,从而达到执行shellcode的目的。接下来我用该漏洞的逻辑图来说明一下堆喷的原理和能利用的方向。

 

image-20220218185450860

 

首先我们访问栈,访问0C0C0C0C这个地址,然后经过我们的代码可以让它去堆空间找,IE进程有很多模块,但是不影响,通过js的字符串拼接我们可以申请很多堆空间占据js执行模块的堆空间,然后为了确保shellcode能够执行,我们在每一个堆空间填充的数据块都经过了一定的调整,前面放一堆滑板指令,比如9090=>nop或者0C0C=>OR AL,0C,他们会执行但是不影响任何环境,然后就会顺利执行到我们的shellcode完成目的。

 

上面是一段shellcode,也就是弹个MessageBox而已,目的是验证漏洞能否就此被利用。

 

image-20220218190415827

 

image-20220218191012159

 

image-20220218191317956

 

最后也是最重要的一步来了,成功call到我们精心构造的数据块中:

 

image-20220218191435493

 

image-20220218191512125

 

直接运行,成功弹窗!

 

image-20220218191530133

搞点骚操作

知道了利用方法后能不能加点功能进去呢?比如说bindshell?说干就干。首先还是先编译一份能在XP系统上跑起来的程序。起始也就是一个bindshell的小demo,然后把它的opcode扒下来,转换成js能识别的unicode编码,再构造出自己的字符串也就是前面说的数据块就行了。

 

上图!

 

image-20220218215804331

0x04 小结

以上,就完成了CVE-2012-1889漏洞的分析和利用,个人能力有限,下午开始写现在才弄完,总结出来的东西也不太深刻,欢迎大佬指正…


【看雪培训】《Adroid高级研修班》2022年夏季班招生中!

收藏
点赞0
打赏
分享
打赏 + 50.00雪花
打赏次数 1 雪花 + 50.00
 
赞赏  Editor   +50.00 2022/03/21 恭喜您获得“雪花”奖励,安全圈有你而精彩!
最新回复 (0)
游客
登录 | 注册 方可回帖
返回