1 实验环境
操作系统:XP SP3
调试器:OllyDbg
反汇编:IDA Pro 7.0
Adobe Reader : 9.3.4
2 漏洞背景
CVE-2010-2883是Adobe Reader和Acrobat中的CoolType.dll库在解析字体文件SING表中的uniqueName项时存在栈溢出漏洞。
3 实验内容
首先在系统中找到问题库文件,也就是xp sp3中的CoolType.dll库。使用ida分析该动态库,查看多个SING字体出现的代码段附近的代码,可以看到第二个SING的附近调用了strcat函数,该函数就是溢出漏洞所在。
接下来,利用OD对poc文件动态调试,用来理解漏洞的触发机制。首先打开Adobe Reader 9.X,将该进程附加到OD上。
使用快捷键ALT+E,在导入库的列表中选择CoolType.dll。
然后开始只能搜索字符串,以查找SING出现的位置,从而定位到strcat函数。
在SING第二次出现的位置附近,找到了strcat的调用代码,在这里设置断点。
然后将poc文件拖入OD中,点击运行,程序会断在strcat处。图片右下角处可以看到strcat函数的目的地址和源地址。
利用快捷键ALT+E输入目的地址的值,用来查看目的地址(12E504h)处的数据。将该片区域设置内存访问断点,这样程序每一次访问这片区域中的位置时都会断下来。
多次按F9单步执行后,可以看到目的地址区域的数据已经被修改。又由于没有控制连接的字符的长度,攻击者就可以通过该函数溢出栈,修改栈的返回地址到恶意代码存在的位置。
使用PDFStreamDumper软件查看PDF格式信息及二进制信息,发现12ch处的数据就是被复制到目的地址处的数据。所以攻击者可以修改这一部分,用以产生恶意代码。
持续单步执行至此,发现栈中的栈顶地址为0x0c0c0c0c,指向堆中。
此时F7单步进入,就进入了ROP链。ROP是代码复用技术,即用程序中已有的代码,通过反复跳转执行,完成相应的程序逻辑。持续单步执行,可以看到执行了创建文件的代码,和文件创建位置。