js settimeout内存溢出_漏洞分析与复现 | cve20121876 IE浏览器堆溢出漏洞

漏洞原理与利用概述

该漏洞是IE的mshtml模块的堆溢出漏洞。产生漏洞的原因是CalculateMinMax函数会根据HTML中的col标签的span属性值每次向堆中写入0x1c个字节的值。当我们用JS动态更改span的属性值时会再次调用CalculateMinMax函数,写入新的span * 0x1c个字节,问题在于这一次写入并没有开辟新的空间,而是在原先的位置和大小开始写入值(样式信息),从而导致了堆溢出。微软发布的补丁做的事情就是在更改span后会开辟一个新的位置和大小的堆,从而防止堆溢出。

我们利用这个漏洞就是通过精心的内存布局,去泄露出CButtonLayout对象的虚表地址,从而泄露mshtml的基址并利用堆喷射最终绕过ASLR。然后进一步溢出,覆盖该虚表地址,从而在后续调用虚函数时劫持EIP。然后通过mshtml中的指令构造ROP链绕过DEP,最终执行shellcode。效果如下。

a4b49dc49f04737ad6f9663aa98f9a99.gif

调试环境搭建

windows 7 32位(IE版本: 8.0.7600.16385) windbg Immunity Debugger

漏洞原理

POC

<body>    <table style="table-layout:fixed" >        <col id="132" width="41" span="1" > col>    table>    <script>        function over_trigger() {
                var obj_col = document.getElementById("132");            obj_col.width = "42765";            obj_col.span = 1000;        }        setTimeout("over_trigger();",1);script>body></html>

IE浏览器每个选项卡都会创建一个子进程来处理,所以打开前打开后比较一下就知道附加到哪个进程了

0cb229d8808b9e17439b21d2d3cb32f1.png

开启页堆,载入POC,附加到该标签页的进程

54e9a81fd2855fca7013073e4aca0ec5.png

702cedd0297d3aa9a8cca21368379bf7.png

通过 kb进行回溯,确定漏洞函数为AdjustForCol。通过返回地址 和 ub确认漏洞函数的入口点

9ee2b1dda43299903b0667db44776753.png

3230c0bc49ea05799cda624a9c4c9480.png

在IDA 中对寄存器进行回溯,可以发现edi的值最终来自于外部

ffff9b2ccda38dd53540ad045042d323.png

在AdjustForCol的调用处继续回溯,可以发现esi来自于[ebp+var_28],继续回溯[ebp+var_28]发现其来自于eax,而eax由ecx和[ebx+9c]相加得到

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值