小白分析漏洞之Microsoft Edge Chakra OP_NewScObjArray Type Confusion 远程代码执行

最新推荐文章于 2024-01-07 21:00:00 发布
最新推荐文章于 2024-01-07 21:00:00 发布
阅读量834 收藏 1
点赞数
分类专栏: 小白分析漏洞 文章标签: win edge 二进制漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37921080/article/details/83180644
版权
本文介绍了Microsoft Edge Chakra引擎中的OP_NewScObjArray类型混淆漏洞,详细分析了漏洞环境准备、异常函数定位、静态及动态分析,以及源码审查过程,揭示了可能导致远程代码执行的原因。
摘要由CSDN通过智能技术生成

参考: https://paper.seebug.org/692/#1
原文作者的分析环境是:Windows 10 x64 + Microsoft Edge 42.17074.1002.0
我的分析环境是:Windows 10 X86_1803_march + Microsoft Edge 42.17134.1.0
poc地址 : https://github.com/bo13oy/ChakraCore

1. 环境准备

1.1 验证环境

创建好虚拟机,拷贝好poc.html 与 poc.js 。 首先用edge 打开 poc.html ,看一看是否会发生异常(不停的刷新,最后出现“此页无法加载”)。出现异常说明我们的环境是正确的,可以正常触发漏洞。

1.2 为edge 开启页堆:

(powershell 下执行)

PS C:\Users\Mr.wang> gflags.exe -I MicrosoftEdgeCP.exe +hpa +ust

1.3 启动调试

由于edge 是uwp 包, 不能使用一般的附加形式进行调试,需要在命令行下 windbg 使用参数启动调试。

可以看我的另外一篇博客: https://blog.csdn.net/m0_37921080/article/details/83097979

调用方式如下:

windbg.exe -plmPackage <PLMPackageName> -plmApp <ApplicationId> [<parameters>]

主要是第一个参数 Package fullname 的获得。下面是使用powershell 命令的方法获取packagefullname, 即:Microsoft.MicrosoftEdge_42.17134.1.0_neutral__8wekyb3d8bbwe

PS C:\Users\Mr.wang> Get-AppxPackage *MicrosoftEdge

Name              : Microsoft.MicrosoftEdge
Publisher         : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
Architecture      : Neutral
ResourceId        :
Version           : 42.17134.1.0
PackageFullName   : Microsoft.MicrosoftEdge_42.17134.1.0_neutral__8wekyb3d8bbwe
InstallLocation   : C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe
IsFramework       : False
PackageFamilyName : Microsoft.MicrosoftEdge_8wekyb3d8bbwe
PublisherId       : 8wekyb3d8bbwe
IsResourcePackage : False
IsBundle          : False
IsDevelopmentMode : False
IsPartiallyStaged : False
SignatureKind     : System
Status            : Ok

第二个参数Appid 是:MicrosoftEdge
第三个参数是edge 要打开的url, 即我们的poc.html

最终通过下面的命令调用 windbg 进行调试:

PS C:\Users\Mr.wang> windbg -plmPackage  Microsoft.MicrosoftEdge_42.17134.1.0_neutral__8wekyb3d8bbwe -plmApp MicrosoftEd
ge  file:///C:/Users/Mr.wang/Desktop/ChakraCore-master/poc/poc.html

2. 开始分析

2.1 定位到异常函数

输入g, 执行几次之后,捕捉到下面的异常:

(1a50.1a40): C++ EH exception - code e06d7363 (first chance)
(1a50.1a40): C++ EH exception - code e06d7363 (first chance)
(1a50.1a40): C++ EH exception - code e06d7363 (first chance)
(1a50.1a40): Access violation - code c0000005 (first chance)
First chance exceptions are reported before any exception handling.
This exception may be expected and handled.
eax=1567e064 ebx=0000fefa ecx=18010130 edx=5aa91858 esi=000fefa0 edi=1567e010
eip=5a7f9b1e esp=0a1bc580 ebp=0a1bc5a4 iopl=0         nv up ei pl nz ac pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00010216
chakra!Js::DynamicProfileInfo::RecordCallSiteInfo+0x3e:
5a7f9b1e 66837c060200    cmp     word ptr [esi+eax+2],0   ds:0023:1577d006=????

查看一下栈调用历史:

1:060> kb
 # ChildEBP RetAddr  Args to Child              
00 0a1bc5a4 5a62f1a5 18010130 0000fefa 5aa91858 chakra!Js::DynamicProfileInfo::RecordCallSiteInfo+0x3e
01 0a1bc5e8 5a947097 0000fefa 000009e9 01000002 chakra!Js::ProfilingHelpers::ProfiledNewScObjArray+0x83
02 0a1bc610 5a85089f 18675c75 0a1bc720 18010130 chakra!Js::InterpreterStackFrame::OP_NewScObjArray_Impl<Js::OpLayoutT_CallI<Js::Layout
最低0.47元/天 解锁文章
Flyour
关注
专栏目录
对一个chakra引擎中RCE漏洞的完整分析
systemino的博客
10-09 458
篇文章是一篇关于ChakraCore的RCE漏洞分析,从我发现它差不多已经过去一年了。我之前从未报告过此漏洞的原因是Chakra很长一段时间没有推出新版本,因此这个bug从未作为Edge的一部分被发布。我仍然可以向MSRC报告此漏洞,并且可能会收到一封感谢信,或者获得赏金。 但是很不幸的是,这个洞最近被修补了,但是在安全开发团队发布补丁的同一天我绕过了补丁,让我们深入研究一下。 利用条件 ...
Windows下使用Gflags和UMDH查找内存泄漏
qq_34754747的博客
10-11 1274
(官方文档) Windows 调试器的符号路径 - Windows drivers | Microsoft Docs GFlags和UMDH与WinDbg一样,都是Debugging Tools for Windows里的工具。 1.设置符号路径 去微软官网下载对应的操作系统的符号安装文件,并安装到某个目录,如C:\WINDOWS\Symbols,并设置符号路径_NT_SYMBOL_PATH环境变量。 set _NT_SYMBOL_PATH=srv*C:/WINDOWS/Symbols*h..
如何使用gflags.exe查看内存来源
最新发布
大黄鸭在发光的专栏
01-07 509
gflags.exe查看内存来源
堆(heap)系列_0x06:NT全局标志和gflags.exe一页纸
可乐松子的博客
06-27 1330
NT全局标志是由一组位(bit)组成的32位数值,每一位都代表特定的功能;全局标志有2种影响范围:(影响所有进程,或者叫进程级)和(进程级的优先级更高)下面通过几个问题来介绍全局标志问题1:系统级别的全局标志怎么影响单个进程?没有指定进程级的全局标志时,进程级全局标志的影响流程:进程级的在进程创建时,通过进程加载器传播给每个用户态进程(被保存在进程环境块字段中)问题2:进程什么时候加载全局标志?进程的执行要经历进程加载器将磁盘上的文件加载到内存的过程(即PE文件的加载过程),此时会从注册表(如果有值话)读取
Windbg的gflags.exe -- Attach调试利器
速度!跟上!
03-31 1万+
有没有碰到别人的程序调用了你的代码,出现问题以后,让你来调查,而你只有你的源代码,该怎么办?gflags.exe,Attach调试利器。强力推荐。
「NGFW」Microsoft_Edge_Chakra_JIT_Engine_Attack_Surfac - 移动安全.zip
11-29
【NGFW】Microsoft_Edge_Chakra_JIT_Engine_Attack_Surface - 移动安全 本文将深入探讨关于Microsoft Edge浏览器的Chakra即时编译(JIT)引擎的安全性,特别是针对移动设备的安全挑战。ChakraMicrosoft Edge...
Microsoft_Edge_Chakra_JIT_Engine_Attack_Surfac.pdf
08-08
Chakra是微软新一代浏览器Microsoft Edge的Javascript引擎,继承自IE浏览器的Javascript引擎Jscript9。JIT是现代Javascript引擎提高脚本运行效率的一种常用方法,该议题将介绍Chakra JIT的主要流程并介绍Chakra JIT...
Chakra引擎的非JIT漏洞与利用
11-19
当目标用户访问含有恶意代码的网页时,攻击者能够通过Chakra引擎的漏洞执行不被允许的代码,可能会对用户的系统执行各种恶意操作,如安装恶意软件、窃取敏感数据等。 Chakra引擎的漏洞修复通常由微软定期发布,如在...
Chakra_UI
02-17
Chakra UI 是一个现代化的React组件库,专为构建简单、可访问且具有出色用户体验的UI而设计。它以其灵活性、模块化和响应式设计而闻名,尤其在 TypeScript 开发环境中受到广泛欢迎。Chakra UI 的核心理念是提供一套...
windows程序员进阶系列:《软件调试》之Win32堆的调试支持
ithzhang
10-16 8234
Win32堆的调试支持  为了帮助程序员及时发现堆中的问题,堆管理器提供了以下功能来辅助调试。 1:堆尾检查(Heap Tail Check) HTC,在堆尾添加额外的标记信息,用于检测堆块是否溢出。2:释放检查(Heap Free Check)在释放堆块时进行检查,防止释放同一个堆块。3:参数检查,对传递给堆的各种参数进行更多的检查。4:调用时验证(Heap Validate On Call)H
ChakraCore-微软Microsoft Edge浏览器的JS引擎
02-18
微软宣布将开源 Microsoft Edge 和 IE 所用的 JavaScript 引擎 Chakra 的核心组件,并以 ChakraCore 名称开源。github网址:https://github.com/Microsoft/ChakraCore。使用方法参考:https://github.com/Microsoft/ChakraCore/wiki/Embedding-ChakraCore 上传的文件压缩包内包含已经编译好的ChakraCore X86版和X64版,ChakraCore是C++编译的,C#可以使用ChakraHost.dll+ChakraCore X86版,在C#项目中引用ChakraHost.dll,生成项目后需将ChakraCore.dll拷贝到生成目录才能运行。 仅供学习。
gflags调试访问越界
mergerly的专栏
12-17 9279
昨天、今天调dump,对windbg相当的不熟悉,但也慢慢的知道了一些常用的命令,几周前听说到有gflags这样个工具,今天正好测试下。   gflags.exe是中的一个小工具。   安装下载链接:http://msdn.microsoft.com/en-us/windows/hardware/gg463016   安装好之后,把gflags所在文件夹(这里边还
gflags工具使用——用于监控内存分配、检查内存泄露
Scarlett_OHara的博客
04-19 2089
想要知道程序从开始到运行一段时间内存的使用情况,可以使用gflags工具。 1. windbg同级目录下有gflags.exe,点开后进行如下设置。 2. 在gflags.exe的目录下直接打开命令窗口 输入glags.exe /i myTest.exe +ust set _NT_SYMBOL_PATH=srv*D:\winSymbol*http://msdl.mic...
gflags.exe进行heap检测的命令行使用方式
will_hsbsch的专栏
04-27 1620
1、在cmd下进入到gflags.exe的安装目录, 如 C:\Program Files (x86)\Debugging Tools for Windows (x86) 2、对xxx.exe进行heap检测的命令行如下: 配置正常页堆:gflags.exe /p /enable xxx.exe配置完全页堆:gflags.exe /p /enable xxx.exe /full列出当前启动
Gflags排查内存泄露步骤
akxun的博客
12-13 1550
一:安装windbg windbg同级目录下有gflags.exe 二:cmd进入gflags.exe所在文件夹 搜索gflags.exe所在文件夹 打开cmd进入gflags.exe所在文件夹 cd C:\Program Files (x86)\Windows Kits\10\Debuggers\x86 三:设置符号文件路径环境变量 设置符号文件(pdb文件)路径到环境变量_NT_SYMBOL_PATH Set _NT_SYMBOL_PATH=...
WinDbg 调试 Edge
Flyour的博客
10-17 1163
我们用windbg 在 user model 下调试程序时, 经常是直接 file-&amp;gt;attach to a process 这样附加到一个进程上。但是我在调试 edge 时遇到两个问题: edge 有许多进程,要附加到哪个上? edge 是 Universal Windows Platform (UWP) app , 官方文档上说: A UWP app will not be sus...
经典内存漏洞简述
weixin_43926330的博客
11-11 1876
Type confusion 类型混乱确实是一个很有趣也是很精巧的一个内存漏洞。而type confusion导致RCE(remote code execution)在最近几年也多了起来。 其实就像是控制流劫持(control flow hijack)对象强制类型转换后导致虚拟页表的混乱,本来p类不能使用的经过强制类型转换后,可以使用d类的虚函数表并使用其中的函数。 具体到程序中的实际使用情况...
AOSP常见漏洞类型简介
weixin_30532837的博客
02-28 346
Heap/Stack Overflow(CVE-2017-0541) 漏洞出现在PushcdlStack函数中,如下所示 # /external/sonivox/arm-wt-22k/lib_src/eas_mdls.c static EAS_RESULT PushcdlStack (EAS_U32 *pStack, EAS_INT *pStackPtr, ...
Windows10自带应用的卸载和恢复
热门推荐
韶光
06-30 8万+
在开始菜单中的Windows PowerShell文件夹中以管理员方式(右键)打开Windows PowerShell。  注意,每执行一次命令,左上角都会闪现黄色内容,如果没有闪现,说明命令语句错误。 1.查看应用  输入命令Get-AppxPackage,则可以查看所有已安装的应用。一定要进行这一步骤,后面会用到里面的内容。查询出后把他们复制粘贴到记事本中以便后续步骤的进行(用鼠标选
Chakra引擎在Windows 10 UAP的应用示例解析
Chakra是微软开发的高性能JavaScript引擎,它被用于多个微软产品中,包括Internet Explorer和Edge浏览器。在Windows 10中,Chakra提供了一个可以让开发者利用JavaScript来创建高性能的通用应用程序的平台。 Windows...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值