CVE-2012-0774 Adobe Reader TrueType 字体整数溢出漏洞

最新推荐文章于 2021-09-23 16:24:06 发布

A1exxx

最新推荐文章于 2021-09-23 16:24:06 发布

阅读量437

点赞数

分类专栏：漏洞分析

本文链接：https://blog.csdn.net/AlexYoung28/article/details/98613513

版权

漏洞分析专栏收录该内容

2 篇文章 0 订阅

订阅专栏

1 前言

本文是根据《漏洞战争：软件漏洞分析精要》一书中的4.4节中内容所复现，只是在此记录下自己动手实践过程中的问题与收获。

2 基于条件记录断点的漏洞分析方法

本次漏洞分析测试环境如下：

	使用环境	备注
操作系统	Windows7
调试器	Immunity Debugger	版本号：1.8.3
反汇编器	IDA Pro	版本号：6.1
漏洞软件	Adobe Reader	版本号：9.3

我们先用前面介绍的PDFStreamDumper工具分析poc.pdf，发现在对象5里面嵌有TrueType字体，并且对象5又间接引用了对象6来描述字体，如图4-13所示：

我们可以看到对象6间接引用了对象16.

接下来，我们直接单机鼠标右键选中对象16，在弹出的菜单中选择“Save Decompressed Stream"选项导出该字体文件，将其保存为文件名”decomp_stream_0x281.ttf"，打开TTF文件后如图所示，可见提取的TTF文件保存是正确的。

通过文档可以知道TTF中图元数据表“glyf"主要用于保存操作堆栈的虚拟指令，即图元指令。TrueType图元指令是一个伪计算机字节指令，类似于Java的虚拟指令。TTF中的glyf表主要用于存放图元轮廓定义及网格调整指令，其位置索引是一张单独的表，而图元数据表主要记录图元的索引号Index。

用Immunity Debugger加载AcroRd32.exe运行后，打开poc.pdf，触发异常后断在CoolType模块中，如图：

由于ecx指向的地址0x7048F000为只读权限，因此导致崩溃，如图：

上面的崩溃点主要位于函数sub_70256906中（通过栈回溯确定），将其标记为 VulFunction 如下图所示：

上图可以看到是一个函数数组，其中ecx就是虚拟指令索引号，用于查找对应虚拟指令的处理函数，其中是4就代表每个函数地址占用4字节。我们在这个函数上下条件记录断点，看造成崩溃时的ecx为何值，进而确定造成漏洞的虚拟指令。

由于每次DLL加载的地址都不一样，直接在上面的0x70256906下断，然后重现加载运行是不会被断下的。我们采用先加载CoolType模块下断点再运行Adobe阅读器的方式，开始前需要先确认VulFunction相对CoolType基质的偏移量，通过按"Alt+E"组合键打开可执行模块，找到CoolType基址。

通过下图可以知道，VulFunction函数相对CoolType基址的偏移量为0x70256906-0x70250000=0x6906。接下来，我们用调试器加载CoolType.dll，并按F9键运行。通过按”Alt+E"组合键找到CoolType基址，随后计算到VulFunction的地址。

在 AcroRd32.exe 中按 ”Ctrl+G“ 组合键，在弹出框内输入 VulFunction地址即可定位到 VulFunction函数。随后在VulFunction处按 "Shift+F4" 组合键对VulFunction下条件记录断点，记录每次调用VulFunction时对应的虚拟指令索引号。设置好后重新加载AcroRd32.exe运行，打开poc.pdf运行后查看日志窗口。

日志窗口输出如下：

导致漏洞的虚拟指令索引号为 0x26，通过苹果官方提供的指令集，可以查到字节码0x26对应的虚拟指令为MINDEX,如下图所示。MINDEX虚拟指令的主要功能是弹出栈值作为栈上的索引号（uint32类型），将索引到的元素值移至栈顶（相对虚拟机环境中的栈顶而言，而非当前进程执行时的栈顶），原来在元素上方的栈数据则各自往后移动4字节。

为了动态追踪每个虚拟指令实际执行的操作，我们在执行过程中记录执行前后的虚拟栈顶vm_esp的值及虚拟指令。此处以"B0 01"虚拟指令为例，它将1压入vm_esp我们跟进PUSHB(B0)虚拟指令处理函数，看被压入的1在哪个位置，该位置就是vm_esp。首先，在VulFunction所在函数里面对指向虚拟指令的ecx下条件断点，按“ ”Shift+F2"组合键在输入框中输入 "ecx==0xB0",如下图所示：