0x01 蜘蛛漏洞攻击包
- 前言:2012 年 2月,一个名为蜘蛛漏洞的攻击包在地下黑产品中很受欢迎 —— “Zhi-Zhu Exploit Pack该工具包含 5 当时流行的漏洞都涵盖了 Flash、IE 包括其他产品 CVE-2012-0003,国内漏洞使用包与国外有一定差异;国外通常用于建立僵尸网络或窃取重要信息, “蜘蛛” 这个漏洞攻击包主要用来窃取游戏账号,比如 龙谷似乎也比较复杂
- 微软发布漏洞补丁后,国外安全团队 VUPEN 在博客上公布了漏洞的原因和使用方法,其中漏洞的使用结构相当精致,可以说是经典中的经典
- 漏洞的主要原因是 winmm.dll 处理动态链接库 MIDI 文件的 Note On 和 Note Off 字段没有限制,可以操纵字段访问堆块以外 1 个字节的内存空间;由于漏洞太特殊,在分析和使用时相当困难
0x02 分析环境
- 虚拟机:Windows XP sp3,版本:11.0.8211(提取码:woi9)、Sublime Text3
- 调试工具:Windbg(Windbg32,Windbg64)、OD、IDA(提取码:v0pt)、C32Asm(16进制分析文件工具,提取码:4sj8)
- 漏洞程序:IE6 浏览器
- 漏洞DLL:有漏洞的 winmm.dll 动态链接库文件(提取码:0n2a)
- 漏洞样本:能触发漏洞 POC 样本(包含 poc.html 和 toto.mid 两份文件,提取码:nd0b)
0x03 MIDI 文件格式
- 要了解漏洞的原因,首先要了解什么是 MIDI 文件格式:MIDI 全称 Musical Instrument Digital Interface,说白了就是音频格式(通过乐器数字接口)winmm.dll 链接库可以在分析此格式的文件后播放音乐)
- 总体来说 MIDI 可分为 “头块” 和若干多的 “音轨块”
| 块名称 | 块标记(4字节) | 块长(4个字节) | 块数据 |
| 头块 | "MThd" | 00 00 00 06 | 6个字节长度 |
| 音轨块1 | "MTrk" | 后块数据长度 | 音轨事件数据按时间顺序排序 |
| 音轨块2 | "MTrk" | 后块数据长度 | 音轨事件数据按时间顺序排序 |
| ... | ... | ... | ... |
| 音轨块n | "MTrk" | 后块数据长度 | 音轨事件数据按时间顺序排序 |
- 头结构如下
| 偏移 | 长度 | 描述 | 数值 |
| 0x00 | 4 | 块标记 | "MThd" |
| 0x04 | 4 | 块长度 | 00 00 00 06 |
| 0x08 | 2 | 格式类型 | 0 ~ 2 |
| 0x10 | 2 | 音轨数 | 1 ~ 65535 |
| 0x12 | 2 | 时间计值(每拍的计值) | 比如数值 0x60 八分一拍 |
- 轨道事件如下
注:这是一个音轨事件,而不是一个音轨结构,它可以包含许多音轨事件
| 事件类型 | 格式 | 描述 |
| 关闭音符(Note Off) | 0x8n note velocity | n 代表通道号,note 代表高音值,velocity 代表按键速度 |
| 打开音符(Note On) | 0x9n note velocity | n 代表通道号,note 代表高音值,velocity 代表按键速度 |
| 触后音符(Note Aftertouch) | 0xAn note amount | n 代表通道号,note 代表高音值,amount 代表按压强度 |
| 控制器(Controler) | 0xBn type value | n 代表通道号,note 代表控制项(如调节主音、延音等音量),value 即为设置值 |
| 音色切换(Program Change) | 0xCn num | n 代表通道号,num 代表音色号 |
| 触后通道(Channel Afertouch) | 0xCn note amount | n 代表通道号,note 代表高音值,amount 代表按压强度 |
| 滑音(Pitch Bend) | 0xEn LSB MSB | n 代表通道号,LSB 代表低位值,MSB 代表高位值 |
- 样本中的16进制数据如下图所示
0x04 触发漏洞,定位异常点
- 我们选择通过使用 IE 加载 winmm.dll 触发漏洞的方式,为了让 IE 因此,浏览器可以触发漏洞 poc.html 样本中嵌入了由音频播放器调用的音频播放器 toto.mid 播放文件音频,触发漏洞
- 第一步设置堆页保护,第二步打开 IE,第三部使用 Windbg 附加进程
- F5 运行之后将 poc.html 文件拖入 IE,允许运行 ActiveX 控件
- 成功切断异常,可见 esi 指向地址超过堆空间,然后被堆保护捕获
- 有经验的人可以看出是 winmm.dll 中出了问题
- IDA 载入这个 winmm.dll,该动态库在 system32 下
- 如下图所示 v25 该指针越界访问堆上的数据
- v25 受 v24 和 v20 通过观察可以发现影响 v24 受 v2、v9、v11、v13、v21影响(v2 由 wParam 控制)
- v20 受 v1 影响(v1 也由 wParam 控制)
0x05 OD 调试分析
- 将 IE 载入 OD 先不要操作 html.poc 拖入到IE 中,之后 shift + F4 对 v2、v9、v11、v13、v21、v23 和 v20 下条件记录断点
- 设置 v9
- 设置 v11
- 设置 v13
- 设置 v21
- 设置 v23
- 设置 v20,最后别忘了断下漏洞触发点断点,这个断点是真的断点
提醒:什么条件记录断点,当程序运行到这个断点时,程序并不会真正的断下,而是会记录表达式的值;一般断点为红色,而条件记录断点为粉色
- 将 poc.html 文件放入刚刚运行的 IE 之中,之后会在异常触发点断下,按 l 这个快捷小按钮查看日志
- 可以看出 v11、v13、v21 相等
- v2 不变,v20 最后才被记录,且指向的地址都在 0x07EC0000 往后的堆中
- 从资料中可以得知最后 v23 的值,也就是 0x007DB29F 是来自漏洞样本的数据,结合MIDI 格式分析可以知道,9F 代表的就是打开音符(Note On),F 就是通道号
- 这个就是样本中的数据,刚好是倒过来的 0x007DB29F
- 下面就对 v21 下条件断点(shift + F2),看看读取样本数据 0x007DB29F 之后是怎么处理的
- 重新运行后断下,注意此时 ecx = 007DB29F,之后接着往下调试
- 首先会将 9F 和 0xF0 做按位与运算,之后将结果与 90 作比较,判断这是打开音符(Note On)还是关闭音符(Note Off);由于 9F0 | 0xF = 90,所以这个是打开音符
提醒:由上可知,打开音符为 0x9n,关闭音符为 0x8n
- 之后将 9F 和 0xF 做按位与操作,取出通道号 F,之后左移 7 位右移 1 位,最后等于 419
提醒:9F | 0xF = F
- 最后将 esi(堆基址)+ eax(偏移地址419)
提醒:下面会解释 esi 为什么是堆基址
- 这时已经知道通道号 F 经过计算之后值为 419,控制着指针的偏移地址,也就是 v24 的值
- 此时只需要知道 esi,也就是 v20 的值是怎么来的,就可以完全搞清楚漏洞的成因了
- 首先 v20 由传入的参数 wParam 控制,对 midiOutPlayNextPolyEvent 函数进行交叉引用查询,看看是哪一个函数调用的这个函数
提醒:上面说到 v25 受 v20 和 v24 影响
- 发现是 midiOutTimerTick函数调用了 midiOutPlayNextPolyEvent 函数,并且把 v6 当作参数传入,而 v6 = gpEmuList
- gpEmuList 不是参数传入的,所以查询 gpEmuList 的交叉引用,看看是哪一个函数设置了 gpEmuList 这个值,发现是 mseOpen 函数中引用了这个值
- 这个就是 mseOpen 函数,gpEmuList 由 v5 传入,v5 等于 winmmAlloc 函数分配的堆空间地址
- 整理一下调用关系
- 因为 v6 是堆块的基地址,且这个堆块的大小为 0x400,又因为 v20 = v6,所以 v20 也为这个 0x400 堆块的基地址
- 这样关系就很明了了,v25 的指针由 v24 和 v20 相加得出,v20 是堆的基址,而 v24 是样本数据解析运算获得,由于没有限制通道号的大小,导致运算后的偏移地址 v24 为 419,可是堆只有 0x400大小,很显然超出了申请的堆空间,照成了非法访问,故引发了堆页保护异常
这里需要注意的是虽然申请的堆空间大小为 400,可是实际大小不同环境会有不一样的结果,本文测试的时候实际的大小会多出 8 个字节,为 0x408
0x06 漏洞利用
- 那么如何利用这一个字节来执行任意代码呢?国外安全团队 VUPEN 在其博客上给出了构造的方法,过程十分精彩:
- 第一步通过 JavaScript 创建一个 html 元素 select,之后给 select 元素设置 60 个属性,并且将第一个属性设置为 String 类型(w0),其余的属性设置任意即可,拥有 60 个属性的 select 大小为 0x408
- 第二步创建一个 cloned 对象数组大小为 50,之后循环复制 select 元素到 clone
- 第三步每隔 6 个元素,释放回收第七个元素
- 这样的话内存空间的分布就如下图所示,只需要等待有漏洞的堆插入到这个精心构造的堆列当中即可,在 windows XP sp3 + IE6 的环境下,成功率接近为百分之百左右
- 当插入完成之后,漏洞指令会将 String 类型(w0)标识符 0x08 加上 1,变为 0x09 的对象
String 在内存中的标识符为 0x08,对象为 0x09
- 最后循环调用每个 cloned.w0 属性的 toString() 方法,调用该方法会使每个对象的头 4 个字节当作索引
- 索引虚表会取出对象的头 4 个字节,之后进行 call 调用,从而执行任意代码
0x07 OD 调试分析
- 首先关闭堆页保护
- 负责解析 Html 语言的 IE 模块 mshtml.dll 在处理 html 元素时会调用 CImplAry::clone() 函数和 ClmplAry::DeleteAll() 函数来添加和删除属性的堆空间,上面的申请属性和释放属性就靠这两个方法
- 使用字符串查找的方法找到 clone 函数和 DeleteAll 函数
- 这个就是 clone 函数,其中 EnsureSize 函数会给每个元素的属性分配 0x10 大小的堆空间
- 这个是 DeleteAll 函数,负责释放属性的堆空间
- 之后下 CImplAry 数组堆首地址、CImplAry 释放堆地址、漏洞函数分配的堆地址(VulBuffer)的条件记录断点
- 运行之后断在了漏洞触发的汇编指令上
- 数据窗口跟随后发现此时 esi 指向的是 0x08 这个 String 标识符
- 查看日志分析,VulBuffer 成功的插入了刚刚释放的空间中去,且大小为 0x408
- VulBuffer 的地址 + 0x419 刚好为 1E5721,也就是 String 的标识符 0x8
此处多出来的 16 字节应该是堆块头部信息
- 去除断点继续运行之后,来到了虚表索引
- 此时 String 的标识符已经变为 0x9
- 最后会执行 call [ecx+0x4] 的地址
- 此时 ecx 的值就是 select.w0 对象的头4个字节 0x0c0c1c0c
- 从而控制了程序的流程,最后通过堆喷射的方法,达到了执行任意代码的目的
- 关于绕过防护的方法,参考下图
- 参考资料:
以上就是 CVE-2012-0003 的调试分析,如有错误,欢迎指正