js settimeout内存溢出_漏洞分析与复现 | cve20121876 IE浏览器堆溢出漏洞

漏洞原理与利用概述

该漏洞是IE的mshtml模块的堆溢出漏洞。产生漏洞的原因是CalculateMinMax函数会根据HTML中的col标签的span属性值每次向堆中写入0x1c个字节的值。当我们用JS动态更改span的属性值时会再次调用CalculateMinMax函数,写入新的span * 0x1c个字节,问题在于这一次写入并没有开辟新的空间,而是在原先的位置和大小开始写入值(样式信息),从而导致了堆溢出。微软发布的补丁做的事情就是在更改span后会开辟一个新的位置和大小的堆,从而防止堆溢出。

我们利用这个漏洞就是通过精心的内存布局,去泄露出CButtonLayout对象的虚表地址,从而泄露mshtml的基址并利用堆喷射最终绕过ASLR。然后进一步溢出,覆盖该虚表地址,从而在后续调用虚函数时劫持EIP。然后通过mshtml中的指令构造ROP链绕过DEP,最终执行shellcode。效果如下。

a4b49dc49f04737ad6f9663aa98f9a99.gif

调试环境搭建

windows 7 32位(IE版本: 8.0.7600.16385) windbg Immunity Debugger

漏洞原理

POC

<body>    <table style="table-layout:fixed" >        <col id="132" width="41" span="1" > col>    table>    <script>        function over_trigger() {
                var obj_col = document.getElementById("132");            obj_col.width = "42765";            obj_col.span = 1000;        }        setTimeout("over_trigger();",1);script>body></html>

IE浏览器每个选项卡都会创建一个子进程来处理,所以打开前打开后比较一下就知道附加到哪个进程了

0cb229d8808b9e17439b21d2d3cb32f1.png

开启页堆,载入POC,附加到该标签页的进程

54e9a81fd2855fca7013073e4aca0ec5.png

702cedd0297d3aa9a8cca21368379bf7.png

通过 kb进行回溯,确定漏洞函数为AdjustForCol。通过返回地址 和 ub确认漏洞函数的入口点

9ee2b1dda43299903b0667db44776753.png

3230c0bc49ea05799cda624a9c4c9480.png

在IDA 中对寄存器进行回溯,可以发现edi的值最终来自于外部

ffff9b2ccda38dd53540ad045042d323.png

在AdjustForCol的调用处继续回溯,可以发现esi来自于[ebp+var_28],继续回溯[ebp+var_28]发现其来自于eax,而eax由ecx和[ebx+9c]相加得到

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
setInterval是JavaScript中的一个方法,用于设置一个定时器,定期执行指定的函数。然而,如果在使用setInterval时忽略了一些注意事项,可能会导致内存溢出的问题。 当使用setInterval时,每次定时器触发时都会执行指定的函数,然后等待一段时间后再次触发。如果这个函数本身有一些内存泄漏的问题,那么每次定时器触发时都会分配一些内存,但这些内存却无法被正确释放。随着时间的推移,这些未释放的内存会累积起来,导致内存溢出的问题。 为了避免setInterval导致的内存溢出问题,我们可以采取一些措施。首先,要确保定时器的执行函数内没有引用任何全局变量或者持久化的对象。其次,要确保在不需要定时器时及时清除它,可以使用clearInterval方法来手动清除定时器。另外,还可以考虑使用setTimeout替代setInterval,因为setTimeout只会执行一次,不会重复触发。 除了遵循上述的注意事项,还要确保编写高效的代码,及时释放不再需要的资源。可以通过定期检查内存使用情况,查找可能的内存泄漏问题,并进行修复。此外,也可以使用一些工具和技术来帮助我们发现和解决内存泄漏问题,例如使用Chrome DevTools中的Memory面板来进行内存分析。 总结而言,使用setInterval时必须要注意内存管理的问题,避免内存溢出。合理使用定时器,确保函数内没有内存泄漏问题,并及时清除定时器,可以帮助我们解决内存溢出的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值