js settimeout内存溢出_漏洞分析与复现 | cve20121876 IE浏览器堆溢出漏洞

最新推荐文章于 2024-03-26 16:24:38 发布
最新推荐文章于 2024-03-26 16:24:38 发布
阅读量528 收藏
点赞数
文章标签: js settimeout内存溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34774527/article/details/112079034
版权

漏洞原理与利用概述

该漏洞是IE的mshtml模块的堆溢出漏洞。产生漏洞的原因是CalculateMinMax函数会根据HTML中的col标签的span属性值每次向堆中写入0x1c个字节的值。当我们用JS动态更改span的属性值时会再次调用CalculateMinMax函数,写入新的span * 0x1c个字节,问题在于这一次写入并没有开辟新的空间,而是在原先的位置和大小开始写入值(样式信息),从而导致了堆溢出。微软发布的补丁做的事情就是在更改span后会开辟一个新的位置和大小的堆,从而防止堆溢出。

我们利用这个漏洞就是通过精心的内存布局,去泄露出CButtonLayout对象的虚表地址,从而泄露mshtml的基址并利用堆喷射最终绕过ASLR。然后进一步溢出,覆盖该虚表地址,从而在后续调用虚函数时劫持EIP。然后通过mshtml中的指令构造ROP链绕过DEP,最终执行shellcode。效果如下。

a4b49dc49f04737ad6f9663aa98f9a99.gif

调试环境搭建

windows 7 32位(IE版本: 8.0.7600.16385) windbg Immunity Debugger

漏洞原理

POC

<body>    <table style="table-layout:fixed" >        <col id="132" width="41" span="1" > col>    table>    <script>        function over_trigger() {
                var obj_col = document.getElementById("132");            obj_col.width = "42765";            obj_col.span = 1000;        }        setTimeout("over_trigger();",1);script>body></html>

IE浏览器每个选项卡都会创建一个子进程来处理,所以打开前打开后比较一下就知道附加到哪个进程了

0cb229d8808b9e17439b21d2d3cb32f1.png

开启页堆,载入POC,附加到该标签页的进程

54e9a81fd2855fca7013073e4aca0ec5.png

702cedd0297d3aa9a8cca21368379bf7.png

通过 kb进行回溯,确定漏洞函数为AdjustForCol。通过返回地址 和 ub确认漏洞函数的入口点

9ee2b1dda43299903b0667db44776753.png

3230c0bc49ea05799cda624a9c4c9480.png

在IDA 中对寄存器进行回溯,可以发现edi的值最终来自于外部

ffff9b2ccda38dd53540ad045042d323.png

在AdjustForCol的调用处继续回溯,可以发现esi来自于[ebp+var_28],继续回溯[ebp+var_28]发现其来自于eax,而eax由ecx和[ebx+9c]相加得到

最低0.47元/天 解锁文章
天才你meng哥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ajax timeout 内存溢出,setInterval 和 setTimeout会产生内存溢出
weixin_39934063的博客
08-05 1058
setInterval 和 setTimeout会产生内存溢出 来一个简单的例子。有兴趣的朋友可以自己尝试复制代码 代码如下:functiona(){document.title="ok";setTimeout(a,0);}setTimeout(a,0);时间: 2008-02-13先来了解 setInterval : 1,HTML DOM setInterval() 方法 定义和用法...
setInterval 和 setTimeout会产生内存溢出
01-19
来一个简单的例子。有兴趣的朋友可以自己尝试 代码如下:function a(){    document.title = “ok”;    setTimeout(a,0);  }    setTimeout(a,0);
setTimeout——内存泄漏
热门推荐
hello,是翠花呀
03-10 1万+
写了个定时器,突发奇想,将setTimeout(function,n)放至function 函数内(function函数外已经用setTimeout调用了function函数)。 function dd() { /*此处省略*/ Mycheck=setTimeout(dd,n); //、、 se
关于定时器 setTimeout 可能会引发的内存泄露
Constantiny的博客
03-02 1587
setTimeout本身并不直接引发内存泄露,但如果使用不当,确实可以间接导致内存泄漏。以下是一些使用setTimeout可能导致内存泄漏的情况:闭包引用:在setTimeout的回调函数中,如果引用了外部变量(形成闭包),那么直到回调函数执行完毕之前,这些外部变量都不会被垃圾回收。如果这个外部变量是一个大对象或者包含大量数据,并且setTimeout设置了很长的延时,那么这段时间内这些数据都无法被回收。取消引用失败:如果setTimeout
关于setTimeout溢出问题
最新发布
u013396363的博客
03-26 142
第一段代码中,setTimeout函数是一个异步函数,一开始调用fn函数执行上下文进入栈中,开始运行fn函数里面的代码,然后通知计时线程去计时,此时 栈中的fn函数就算是执行完了,就出栈了,然后计时结束后进入事件队列,又重新运行fn函数,又入栈,如此循环往复,永远不会出现栈溢出问题。第二段代码中,因为setTimeout的第一个参数是函数调用,它需要函数执行完的结果作为第一个参数的值放入事件队列,但是此时fn1函数一直无法执行完成,没有执行完就没办法出栈,最终就会导致栈溢出。如果改成下面这样代码的话呢?
IE浏览器IFrame对象内存不释放问题解决方法
09-04
标题中的“IE浏览器IFrame对象内存不释放问题解决方法”是指在使用Internet Explorer(IE)浏览器时,特别是在涉及IFrame对象的场景下,可能会遇到内存管理的问题。IFrame是一种可以在网页中嵌入其他HTML页面的元素...
解决火狐浏览器JS setTimeout函数不兼容失效不执行的方法
12-07
今天检查自己用JQuery+AJAX+PHP做的网站后台登录检测,发现登陆成功后执行页面跳转函数这段JavaScript(JS)代码特效在IE和谷歌浏览器Chrome下都可以很好地执行,兼容性还不错。结果到了火狐(FireFox)浏览器下...
JavaScript计时器用法分析setTimeout和clearTimeout】
11-29
本文主要分析了两种主要的计时器函数:`setTimeout` 和 `clearTimeout`。 `setTimeout` 函数用于在指定的毫秒数之后调用一个函数或执行某段代码。其基本语法为: ```javascript setTimeout(functionToRun, ...
使用setTimeout函数解决栈溢出问题
weixin_30448685的博客
07-21 1005
下面的代码,如果队列太长会导致栈溢出,怎样解决这个问题并且依然保持循环部分: var list = readHugeList(); var nextListItem = function() { var item = list.pop(); if (item) { // process the list item... nextLis...
setTimeout定时器陷阱
king_xing的专栏
05-10 750
在firefox,当同时设置二个以上相同延时的setTimeout定时器以操作UI,只执行第一个定时器。例:setTimeout(() => { //这里加UI操作 console.log(1); }, 9); setTimeout(() => { //这里加UI操作 console.log(2); }, 9);
警惕作用域陷阱(setTimeout,eval,Function)
weixin_30919235的博客
02-02 130
不知道该怎么命名这个题目。暂时先这么着吧,先看下边测试。 =====setTimeout================================>>>>>>第一种:var x = "w.x";function a(){  var x = "a.x";  setTimeout("alert(x)");}a();  //-->"w.x"第二种:var...
火狐浏览器JS代码不兼容setTimeout函数失效无效不运行执行的解决办法
weixin_34018169的博客
11-14 503
今天检查自己用JQuery+AJAX+PHP做的网站后台登录检测,发现登陆成功后执行页面跳转函数这段JavaScript(JS)代码特效在IE和谷歌浏览器Chrome下都可以很好地执行,兼容性还不错。结果到了火狐(FireFox)浏览器setTimeout这个JS内置函数不执行了,无效了,也没报错!打开FireBUG指望它能检测出JS的错误,结果没用...Javascript(JS)脚本代码在各...
为什么 setTimeout 可以解决栈溢出问题
包磊磊的博客
10-23 854
如果看过性能优化相关的文章或者书籍,应该都会看到 setTimeout 可以解决栈溢出问题,但是,是否知道为什么呢? 要真正的从底层原理理解这个问题,我们需要了解三个概念:主线程、调用栈、消息队列。 主线程: 我们都知道JavaScript 是基于单线程设计的。为了方便使用 JavaScript 来操纵 DOM,所以从一开始,JavaScript 就被设计成了运行在 UI 线程中,UI线程是指运行窗口的线程,即当前窗口的主线程。 调用栈: 调用栈是用来管理主线程上函数调用关系的数据结构,和基本栈结构.
jssetTimeout在IE和FF的区别.
weixin_33860722的博客
10-09 89
IE,和FIREFOX对js的处理的兼容性一直都是一个大问题. 下面就是我遇到的一个问题. setTimeout(window.location.reload,3000) 这个页面刷新在FF中是可以实现的,但是在IE里面却不行. setTimeout(window.location.reload(),3000) 这个页面刷新在IE和FF都能实现,但是...
内存溢出的危害_漏洞练习之网络编程与溢出技术
weixin_39876514的博客
11-20 114
本文首发于“合天智汇”公众号 作者:萌新 0x00公众号之前发过Exploit-Exercise之Nebula实践指南,Exploit-Exercise一共有5个镜像可供练习,如下所示本系列文章将会介绍第二个镜像Protostar的通关经验。Protostar涉及栈溢出溢出、格式化字符串漏洞、网络编程、及综合性漏洞。本文将介绍net,final部分。关于环境准备,在官网https://expl...
CVE-2012-1876漏洞分析
weixin_30622107的博客
03-23 157
0.POC文件 1 <html> 2 <body> 3 <table style="table-layout:fixed" > 4 <col id="132" width="41" span="1" >&nbsp </col> 5 </table> 6 <scr...
溢出漏洞原理及利用(2)
Hades的博客
04-12 1765
溢出漏洞原理及利用 本文是作者学习过程的笔记整理而来的,如有错误,还请见谅! 接上一篇 溢出漏洞原理及利用 利用溢出执行系统的MessageBox 利用溢出执行自己的代码 利用溢出执行系统的MessageBox 既然是函数的返回地址被淹没了,导致执行返回地址处的代码的时候出错,我们也看到返回地址处是我们在password.txt中输入的数据当成了地址,那么我们是不...
Javascript setTimeout内存溢出问题
tengmuxin的专栏
03-31 6016
Javascript setTimeout内存溢出问题
setinterval内存溢出
09-14
此外,也可以使用一些工具和技术来帮助我们发现和解决内存泄漏问题,例如使用Chrome DevTools中的Memory面板来进行内存分析。 总结而言,使用setInterval时必须要注意内存管理的问题,避免内存溢出。合理使用定时器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值