js settimeout内存溢出_漏洞分析与复现 | cve20121876 IE浏览器堆溢出漏洞

最新推荐文章于 2024-03-26 16:24:38 发布
最新推荐文章于 2024-03-26 16:24:38 发布
阅读量530 收藏
点赞数
文章标签: js settimeout内存溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34774527/article/details/112079034
版权

漏洞原理与利用概述

该漏洞是IE的mshtml模块的堆溢出漏洞。产生漏洞的原因是CalculateMinMax函数会根据HTML中的col标签的span属性值每次向堆中写入0x1c个字节的值。当我们用JS动态更改span的属性值时会再次调用CalculateMinMax函数,写入新的span * 0x1c个字节,问题在于这一次写入并没有开辟新的空间,而是在原先的位置和大小开始写入值(样式信息),从而导致了堆溢出。微软发布的补丁做的事情就是在更改span后会开辟一个新的位置和大小的堆,从而防止堆溢出。

我们利用这个漏洞就是通过精心的内存布局,去泄露出CButtonLayout对象的虚表地址,从而泄露mshtml的基址并利用堆喷射最终绕过ASLR。然后进一步溢出,覆盖该虚表地址,从而在后续调用虚函数时劫持EIP。然后通过mshtml中的指令构造ROP链绕过DEP,最终执行shellcode。效果如下。

a4b49dc49f04737ad6f9663aa98f9a99.gif

调试环境搭建

windows 7 32位(IE版本: 8.0.7600.16385) windbg Immunity Debugger

漏洞原理

POC

<body>    <table style="table-layout:fixed" >        <col id="132" width="41" span="1" > col>    table>    <script>        function over_trigger() {
                var obj_col = document.getElementById("132");            obj_col.width = "42765";            obj_col.span = 1000;        }        setTimeout("over_trigger();",1);script>body></html>

IE浏览器每个选项卡都会创建一个子进程来处理,所以打开前打开后比较一下就知道附加到哪个进程了

0cb229d8808b9e17439b21d2d3cb32f1.png

开启页堆,载入POC,附加到该标签页的进程

54e9a81fd2855fca7013073e4aca0ec5.png

702cedd0297d3aa9a8cca21368379bf7.png

通过 kb进行回溯,确定漏洞函数为AdjustForCol。通过返回地址 和 ub确认漏洞函数的入口点

9ee2b1dda43299903b0667db44776753.png

3230c0bc49ea05799cda624a9c4c9480.png

在IDA 中对寄存器进行回溯,可以发现edi的值最终来自于外部

ffff9b2ccda38dd53540ad045042d323.png

在AdjustForCol的调用处继续回溯,可以发现esi来自于[ebp+var_28],继续回溯[ebp+var_28]发现其来自于eax,而eax由ecx和[ebx+9c]相加得到

最低0.47元/天 解锁文章
天才你meng哥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IE浏览器IFrame对象内存不释放问题解决方法
09-04
标题中的“IE浏览器IFrame对象内存不释放问题解决方法”是指在使用Internet Explorer(IE)浏览器时,特别是在涉及IFrame对象的场景下,可能会遇到内存管理的问题。IFrame是一种可以在网页中嵌入其他HTML页面的元素...
setTimeout——内存泄漏
热门推荐
hello,是翠花呀
03-10 1万+
写了个定时器,突发奇想,将setTimeout(function,n)放至function 函数内(function函数外已经用setTimeout调用了function函数)。 function dd() { /*此处省略*/ Mycheck=setTimeout(dd,n); //、、 se
导致内存泄漏的因素及解决方式
weixin_42178670的博客
07-28 562
导致内存泄漏的因素及解决方式
为什么 setTimeout 可以解决栈溢出问题
包磊磊的博客
10-23 856
如果看过性能优化相关的文章或者书籍,应该都会看到 setTimeout 可以解决栈溢出问题,但是,是否知道为什么呢? 要真正的从底层原理理解这个问题,我们需要了解三个概念:主线程、调用栈、消息队列。 主线程: 我们都知道JavaScript 是基于单线程设计的。为了方便使用 JavaScript 来操纵 DOM,所以从一开始,JavaScript 就被设计成了运行在 UI 线程中,UI线程是指运行窗口的线程,即当前窗口的主线程。 调用栈: 调用栈是用来管理主线程上函数调用关系的数据结构,和基本栈结构.
关于定时器 setTimeout 可能会引发的内存泄露
Constantiny的博客
03-02 1632
setTimeout本身并不直接引发内存泄露,但如果使用不当,确实可以间接导致内存泄漏。以下是一些使用setTimeout可能导致内存泄漏的情况:闭包引用:在setTimeout的回调函数中,如果引用了外部变量(形成闭包),那么直到回调函数执行完毕之前,这些外部变量都不会被垃圾回收。如果这个外部变量是一个大对象或者包含大量数据,并且setTimeout设置了很长的延时,那么这段时间内这些数据都无法被回收。取消引用失败:如果setTimeout
setInterval 和 setTimeout会产生内存溢出
01-19
来一个简单的例子。有兴趣的朋友可以自己尝试 代码如下:function a(){ document.title = “ok”; setTimeout(a,0); } setTimeout(a,0);
解决火狐浏览器JS setTimeout函数不兼容失效不执行的方法
12-07
今天检查自己用JQuery+AJAX+PHP做的网站后台登录检测,发现登陆成功后执行页面跳转函数这段JavaScript(JS)代码特效在IE和谷歌浏览器Chrome下都可以很好地执行,兼容性还不错。结果到了火狐(FireFox)浏览器下...
JavaScript计时器用法分析setTimeout和clearTimeout】
11-29
本文主要分析了两种主要的计时器函数:`setTimeout` 和 `clearTimeout`。 `setTimeout` 函数用于在指定的毫秒数之后调用一个函数或执行某段代码。其基本语法为: ```javascript setTimeout(functionToRun, ...
关于setTimeout溢出问题
最新发布
u013396363的博客
03-26 142
第一段代码中,setTimeout函数是一个异步函数,一开始调用fn函数执行上下文进入栈中,开始运行fn函数里面的代码,然后通知计时线程去计时,此时 栈中的fn函数就算是执行完了,就出栈了,然后计时结束后进入事件队列,又重新运行fn函数,又入栈,如此循环往复,永远不会出现栈溢出问题。第二段代码中,因为setTimeout的第一个参数是函数调用,它需要函数执行完的结果作为第一个参数的值放入事件队列,但是此时fn1函数一直无法执行完成,没有执行完就没办法出栈,最终就会导致栈溢出。如果改成下面这样代码的话呢?
JS闭包产生条件、作用、生命周期
aolyu的博客
06-07 897
闭包1. 闭包的概念2. 闭包产生条件 1. 闭包的概念 闭包就是能够读取其他函数内部变量的函数,或者子函数在外调用(子函数所在的夫函数的作用域不会被释放)。 2. 闭包产生条件 函数嵌套 例如: function A() { function B() { } } 内部函数引用了外部函数中的数据(属性、函数) 例如: function A() { var a = "a"; function B() { console.log(a); } } 执行外部函数(也可理解
使用setTimeout函数解决栈溢出问题
weixin_30448685的博客
07-21 1005
下面的代码,如果队列太长会导致栈溢出,怎样解决这个问题并且依然保持循环部分: var list = readHugeList(); var nextListItem = function() { var item = list.pop(); if (item) { // process the list item... nextLis...
内存泄漏
hcy48的博客
04-08 2256
关于这方面的文章太多,综合一下写个简单的方便自己理解,针对js的内存泄漏 1、什么是内存泄漏? 内存泄露是指一块被分配的内存既不能使用,又不能回收,直到浏览器进程结束。 2、出现情况(1) 当页面中元素被移除或替换时,若元素绑定的事件仍没被移除,在IE中不会作出恰当处理,此时要先手工移除事件,不然会存在内存泄露。<div id="myDiv"> <input type="button"
ajax timeout 内存溢出,setInterval 和 setTimeout会产生内存溢出
weixin_39934063的博客
08-05 1058
setInterval 和 setTimeout会产生内存溢出 来一个简单的例子。有兴趣的朋友可以自己尝试复制代码 代码如下:functiona(){document.title="ok";setTimeout(a,0);}setTimeout(a,0);时间: 2008-02-13先来了解 setInterval : 1,HTML DOM setInterval() 方法 定义和用法...
js定时器一直开启会增加内存么_JavaScript各种定时器总结
weixin_39859819的博客
11-22 1416
setTimeout与setIntervalsetTimeout和setInterval已经存在已久了,我们什么场景下会使用它们完成我们的业务呢?我列举一些例子:轮询接口动画不知名的bug去解决我们会遇到使用它们的场景其实归纳起来就是以上三点。轮询接口这种情景,一般出现在不用socket的情况下使用的,例如我们有一个支付功能,前端调用了sdk获取h5支付链接后,页面就需要轮询一个后端的接口去查询这...
JavaScript 性能优化之安全类型检测
wzg0817的博客
06-03 831
JavaScript内置的类型检测机制并非完全可靠。比如: var isArray = value instanceof Array; 以上代码要返回true,value必须是一个数组,而且还必须与Array构造函数在同个全局作用域中。(别忘了,Array是window的属性。)如果value是在另个frame中定义的数组,那么以上代码就会返回false。 解决方法: 众所周知,在任何值上调用Object原生的toString()方法,都会返回一个[obj ect NativeConstructorNam
63-ALTERNATIVE IO MODELS
gaoxiangnumber1——Gao Xiang's Blog
09-21 2383
Please indicate the source: http://blog.csdn.net/gaoxiangnumber1Welcome to my github: https://github.com/gaoxiangnumber163.1 Overview Traditional blocking I/O model: A process performs I/O on one file
setinterval内存溢出
09-14
setInterval是JavaScript中的一个方法,用于设置一个定时器,定期执行指定的函数。然而,如果在使用setInterval时忽略了一些注意事项,可能会导致内存溢出的问题。 当使用setInterval时,每次定时器触发时都会执行指定的函数,然后等待一段时间后再次触发。如果这个函数本身有一些内存泄漏的问题,那么每次定时器触发时都会分配一些内存,但这些内存却无法被正确释放。随着时间的推移,这些未释放的内存会累积起来,导致内存溢出的问题。 为了避免setInterval导致的内存溢出问题,我们可以采取一些措施。首先,要确保定时器的执行函数内没有引用任何全局变量或者持久化的对象。其次,要确保在不需要定时器时及时清除它,可以使用clearInterval方法来手动清除定时器。另外,还可以考虑使用setTimeout替代setInterval,因为setTimeout只会执行一次,不会重复触发。 除了遵循上述的注意事项,还要确保编写高效的代码,及时释放不再需要的资源。可以通过定期检查内存使用情况,查找可能的内存泄漏问题,并进行修复。此外,也可以使用一些工具和技术来帮助我们发现和解决内存泄漏问题,例如使用Chrome DevTools中的Memory面板来进行内存分析。 总结而言,使用setInterval时必须要注意内存管理的问题,避免内存溢出。合理使用定时器,确保函数内没有内存泄漏问题,并及时清除定时器,可以帮助我们解决内存溢出的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值