函数名前面的指针_一个指针引发的“血案”

最新推荐文章于 2022-07-23 22:42:34 发布
最新推荐文章于 2022-07-23 22:42:34 发布
阅读量201 收藏
点赞数
文章标签: 函数名前面的指针
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42137022/article/details/112733188
版权

5fc459e78187ead945e58c973fa819ad.gif

脚本引擎开发者在设计GC(Garbage Collect,简称GC)时追踪指针不善导致的UAF(Use-After-Free),是一类常见的漏洞。本文通过一个例子来向读者介绍这类漏洞的成因与分析思路。

漏洞描述

CVE-2018-8353是谷歌的Ivan Fratric发现的一个jscript漏洞,该漏洞在2018年8月被修复。这是一个UAF漏洞,Ivan Fratric在披露页清晰地描述了该漏洞的成因:

24ed57e225d69b06e9beb83789a763e2.png

通俗一点说就是RegExp类的lastIndex成员没有被加入GC追踪列表,如果给它赋值,在GC时会导致lastIndex处存储的指针变为悬垂指针。后续再访问lastIndex时,即造成一个典型的Use-After-Free场景。

jscript模块目前已发现多个类似漏洞,例如CVE-2017-11793,CVE-2017-11903,CVE-2018-0866,CVE-2018-0935,CVE-2018-8353,CVE-2018-8653,CVE-2018-8389,CVE-2019-1429

本文试图通过CVE-2018-8353一窥这类漏洞的成因,并在此基础上分析谷歌PoC中的信息泄露利用代码。读者将会看到一个GC导致的UAF如何被转化为高质量的信息泄露漏洞。

PoC

以下为Ivan Fratric给出的PoC,下一小节将通过该PoC分析漏洞成因。

d618977227b76bebbec59b01e83673a3.png

UAF

@0Patch团队已通过补丁分析发现,x86下lastIndex位于RegExpObj对象的+A8偏移处,如下:

c125f531077e56bc7edd3ff347d67334.png

现在RegExpObj::Create函数内下断点,在RegExpObj对象创建完成后,对其偏移+A8处下一个硬件写入断点,这个偏移处存储一个VAR结构体,此结构体在x86下大小为0x10。重点观察+B0处的数据变化。

为了更清晰地解释成因,笔者并没有开启页堆,但开启了用户模式下堆申请的栈回溯,以下为调试日志:

2d73b165d97d4fce24c22bf6b8727b28.png 22ab850517a19ea87aac9a3f137f75e8.png cf1a7c7512c979993db1e85316576f04.png c768d1769cca7de922c976c881f57c5d.png

重占位

到这里已经获得一个非常好的UAF,接下来的问题是:如何使用它?

从调试日志中可以看出,用来存储VAR变量的内存块是从GcBlockFactory::PblkAlloc申请的,x86下其申请大小固定为0x648(《Garbage Collection Internals of JScript》这篇文章有解释为什么x86下这个大小是0x648):

5253e42d62c454f6dfb62363408c4777.png

如果要重用被释放的内存,得在GC后迅速用大小为0x648的内存申请去占用之。如何做到?

一个比较好的方法是借助NameList。jscript对象在创建成员变量时,如果成员变量的名称过长(谷歌的文章中说这个长度阈值为4),会在NameList::FCreateVval函数内单独申请内存,以存储对应的成员变量,并且会以第一个成员名称的长度去申请特定大小的内存,而相关计算公式是固定的。

3f3474d48f50cde8e572a9fd6c18d8e6.png

通过逆向调试,可以得到x86下的计算公式:

cfd7984068957d842cd696f2cdc382cb.png

现在,令alloc_size=0x648,解上述方程,可得到x=0x178(0n376)。于是可以通过下面的代码重用被释放的内存:

3ddc5e1027a8e7484412f60d73b17eeb.png

在调试器中观察验证重用:

261b4b2cc6d19eb4bf937ac19c676fe3.png f256493eb43d108d2218053b5174fff4.png a2377a1ba142558528f47c64a6d6846f.png 39ef01abffad53dd9b37234d27e544da.png

从UAF到信息泄露

前一小节已经在合适的时机控制了被Free的内存,接下来要通过这个UAF漏洞实现信息泄露,以得到被重用内存的起始地址。

NameList::FCreateVval点

NameList::FCreateVval函数内在申请成员变量名内存时,若成员名长度超过一定值,就会额外申请内存去存储这些名称。第一个成员名可以用来控制申请的内存大小,相关计算过程已经在前面说明。后面的成员名称只要长度合适,就可以在第一个成员名称初始化时申请的内存中使用剩余的部分,从而用来布控内存。

在x86环境下,通过逆向NameList::FCreateVval函数,发现每个成员名称前面会额外留0x30大小的空间作为头部,用于初始化各种数据。每次成员名称进行申请时,还会按照下图的计算公式按4字节对齐并保存与返回相关偏移:

296d1c541c446a95040359eac909fb90.png

整个计算公式比较复杂,但设计思路很简单,笔者在这里描述一遍,读者大致了解即可:x86下,第一个成员名初始化时,先申请(2x+0x32)*2+4的内存大小,得到内存后,最初的0x30作为头部使用,用来初始化各种数据,包括本次字符串长度,指向下一个成员名头的指针(这个指针会后面的成员名初始化时被更新),然后因为是第一个成员,按照公式直接加4字节进行对齐,所以从前面的调试日志也可以看到,第一个成员名从+0x34开始被复制。只要第一次申请的内存空间够,第二个成员名按照base+offset+4的方式进行内存地址获取,然后前0x30又是头部,接着再开始复制,以此类推。

泄露被重用内存首地址

接下来是泄露被重用内存的首地址。

由于被重用的内容之前存储着lastIndex引用的VAR数据,所以只要用长度及内容合适的字符串设计类成员名称,就可以控制指定地址处的VAR结构。

从这里开始,使用Ivan Fratric在附件中给出的infoleak.html代码,为便于展示,去除了部分注释:

bc4d93c80a3a5295ed7e1a553a4fda11.png

name1用来申请大小为0x648的内存。name2可调节,用来对齐。name3用来指定类型,以泄露特定偏移处的一个指针,这个后面再会提及。name4用来布控0x1337对应的VAR,用于jscript代码中的条件判断。

上面的小节中只关心了name1,现在开始来具体设计name4,name3,name2。

  • 锁定偏移值

首先得计算垂悬指针指向的VAR结构在被重用内存的偏移值。Ivan Fratric的适配的是x64的版本,原poc在笔者的环境中运行后0x1337对应的i为十进制的115。

x64与x86的原理一致,以x86的版本进行说明。既然x64环境中对应的i为115。x32环境中,也以115为例进行偏移计算。在上述代码中在第115个RegExpObj对象创建时下断点,相关方法在前面UAF小结已经描述,这个偏移很容易计算得到。

笔者的环境中这个偏移每次固定为0x3d8,如下:

a59e64e11316f5561f0c8dd03fffd8b1.png

  • 设计name

现在来设计name,在每个成员名称初始化时,都会有0x30的头部,在这个头部的+0x24处是一个指针(这个指针要到初始化下一个成员名时才会被初始化),指向下一个变量名的0x30头部,下图中字体为红色的即为这些指针。如果能读取其中一个指针,减去其相对内存起始地址的偏移,就可以得到被重用内存的首地址。

下图中字体颜色为橙黄的是被拷贝的成员名称,每个名称最后会多拷贝两个0x00。字体颜色为蓝色的是每个成员名称的实际长度(转化为unicode后的长度)。字体颜色为红色上面已经进行解释。字体背景为灰色的一个个0x30内存区域为name2、name3、name4三个成员名的头部。

字体背景为黄色高亮的区域,实验时发现会与name3的值相同(意思就是给3得3,给5得5)。后面需要借助这个值来读取它后面偏移8字节的一个红色指针。

8db406c40e7bc9b8aa1df16a30c0a9f5.png

  • 最后一个注意点

因为要泄露某个红色指针,所以x86下必须保证这个红色指针之前8字节处的type为long型,这可以通过设计name3来实现。现在的问题是:VAR与某个特定的lastIndex对应起来?

幸运的是,通过调试观察发现,当连续申请VAR结构时,一个个大小为0x10的VAR似乎是从高内存往低内存次第排列。笔者用下图来通俗地解释一下VAR的分布(name2中b的数量被用来调节这里的对齐):

96f4108a74afea098679671c35282a64.png

所以,在x86下,如果找到了0x1337对应的regexps[i].lastIndex,就可以通过读取regexps[i+5].lastIndex来泄露相关指针,减去固定偏移就得到被重用内存的起始地址了。如下:

17d682cf44a9575c6392331aaf8c2a9a.png

到这里已经将这个UAF漏洞转为了信息泄露,泄露出一块(aaa...部分)完全可控的内存的首地址。如果读者之前看过笔者之前的一篇文章,就会明白这里已经将CVE-2018-8353转换为和CVE-2017-11906具有相同功能的信息泄露漏洞。

从信息泄露到RCE

此类信息泄露漏洞与其他堆溢出漏洞一起使用可以实现远程代码执行。笔者将这个漏洞的利用代码稍加改动,并配合CVE-2017-11907一起使用,可以在未打补丁的机器上完成概念验证。

考虑到CVE-2018-8653或CVE-2019-1429这类在野0day的利用方式,应该是用了更高级的利用手法,通过UAF直接实现了任意地址读写,通过单个UAF即可实现远程代码执行,并不需要其他漏洞进行辅助。

此类UAF漏洞后面一定还会出现,请大家做好防范工作。

参考文章

Issue 1587: Windows: use-after-free in JScript in RegExp.lastIndex

Garbage Collection Internals of JScript

团队简介

猎影威胁分析团队是安恒安全研究院一支专注于攻防技术研究的团队,团队由一支擅长攻防技术研究、APT分析、二进制研究的年轻队伍组成。欢迎有志于安全检测、二进制研究和攻防技术研究的小伙伴加入我们团队。

招聘二进制安全研究员

职位描述:

1、在日常可疑文件分析的基础,进行数据挖掘,寻找APT攻击事件;

2、分析客户反馈的可疑文件,编写分析报告,提供解决方案等;

3、负责热门安全事件、最新漏洞的分析,编写分析报告或poc代码等

4、研究新的检测方法,维护和完善APT检测等产品策略

5、协助内部威胁分析平台建设等

职位要求:

1、熟悉windows、Linux上调试手段,能够熟练使用常用逆向分析工具(IDA、WinDbg、OD等);

2、熟悉C/C++、汇编语言,至少熟悉一门脚本编程语言,能快速完成POC代码编写;

3、熟悉病毒、木马通信原理和常用技术以及常见加密算法等;

4、熟悉安全漏洞原理,有独立文档漏洞分析能力;

5、至少1年以上逆向分析、安全研究相关工作经验,能力优先不受工作年限限制;

6、具备大数据挖掘能力,对数据极度敏感,能够快速对数据进行关联分析;

7、思路清晰,善于主动思考,有创新、能独立分析和解决问题,具有良好的沟通能力和团队合作精神;

8、有漏洞分析、病毒木马分析、Web攻防、威胁情报挖掘、反APT攻击、机器学习相关、IOT、ICS等工作经验的优先。

联系方式:

xiaoyi.tu@dbappsecurity.com.cn

往期精选

围观

dcf03e80c036a322cd91be60ab5bf8c8.gif安恒信息荣获国家工业信息安全发展研究中心感谢信

热文

安恒信息2019年“时间账单”

热文

2019年,总有一个安恒瞬间,让你铭记于心

210b2f4f56b7c86e6e70e97424b16ed6.gif

龙猫美术的世界
关注
【文章汇总】嵌入式Linux公众号
嵌入式Linux
01-08 1万+
据悉,深圳某工程师沦为C语言笔试枪手 修改cmdline 把内存改成512MB 上拉电阻的作用 剖析C语言是如何画出这样的三角形的 c语言画谢宾斯基三角形 Linux字符设备驱动实例 哦,这是桶排序 回答一个微信好友的创业问题 Linux-C编程 / 多线程 / 如何终止某个线程? 想要学好C++有哪些技巧? 单片机外围模块漫谈之二,如何提高ADC转换精度 多重 for 循环,如何提高效率? Linus 在圣诞节想提前放假做了这些解释,哈哈哈 一步步分析-C语言如何面向对象编程 测试内存对齐对运行速度的影响
一份呕心沥血整理的bug list
嵌入式小栈
07-30 4780
  1、 指针相关   (1)      指针类型转换出错   比如下面这个写串口的函数,长度len是一个int型指针:   图1 写串口API示例   在调试时发现当串口无回复重发时再次去写串口,传进去的长度变了,无法正常写串口   图2串口调试log截图   想要写的数据是上面红框中,实际写的数据是下面红框中,检查发现是传进去的len指针类型不对,把一个cha...
函数前加::的缘由
haiross的专栏
04-20 2064
函数前加::的缘由   在开发MFC之前,自己开发的是以AFx(ApplicationFrameworks,x是没有什么意义的)开头的一些函数。但是那个时候开发的函数并没有进行封装,但是有很多很有用的函数。最后AFx开发失败,于是就转而开发MFC。但是对于在AFx中一些有用的函数,希望能够放在里面用。于是就放在最外层。但是在里面的类中也有一些和它同函数。于是如果想调用最外层
关于在函数前出现双冒号::的语法说明
chenbiyun940419的博客
07-11 4398
双冒号::的用法是用来限定字空间的,比如std::cout表示在std字空间下的cout函数,但是::sort()又是什么意思呢?原来地址空间中的/的用法比较类似,::表示在字空间中取更深层,用在函数前就表示顶层命空间,相当于全局变量。 #include<iostream> #include<algorithm> using namespace std; clas...
Linux kernel Exploit 内核漏洞学习(1)-Double Fetch
钞sir的博客
07-25 1万+
简介 Double Fetch从漏洞原理上讲是属于条件竞争漏洞,是一种内核态与用户态之间的数据存在着访问竞争;而条件竞争漏洞我们都比较清楚,简单的来说就是多线程数据访问时,并且没有对数据做必要的安全同步措施;当多线程时,对于同一数据有一个线程在读而有另外一个线程在写,这就可能引起数据的访问异常,而此时如果这个异常访问情况发生在内核与用户线程之间时,就触发double fetch漏洞了… 为了简化漏......
Kernel pwn 入门 (5)
CoLin的pwn小屋
07-23 996
Kernel pwn 入门之double fetch
linux_kernal_pwn 2018 0CTF Finals Baby Kernel
yongbaoii的博客
09-01 259
看看保护,似乎没啥保护。 其实看到它不是单核单线程,猜测可能会有条件竞争。 挂载文件时baby.ko 来看程序 __int64 __fastcall sub_25(__int64 a1, int a2, __int64 a3) { __int64 result; // rax int i; // [rsp+1Ch] [rbp-54h] if ( a2 == 26214 ) { printk("Your flag is at %px! But I don't think you kn
scanf函数、冒泡排序和不定长度数组的使用 —— malloc
不善挽留
04-05 4243
一个C语言排序作业题(用if语句判断)引发血案……
GObject学习(一)
whitealbert的专栏
05-17 673
本文是笔者整理网上资料加上一些自己实践的纪录,本文的主体内容转自如下文章: 源博客网址:http://garfileo.is-programmer.com/categories/6934/posts 以下是本文的所主要学习实践的其中a, b两个小题目的原文链接。 1.http://garfileo.is-programmer.com/2011/2/25/we-should-believe...
linux网络编程--网络编程的基本函数介绍与使用
鱼思故渊的专栏
12-24 2266
我们深谙信息交流的价值,那网络中进程之间如何通信,如我们每天打开浏览器浏览网页时,浏览器的进程怎么与web服务器通信的?当你用QQ聊天时,QQ进程怎么与服务器或你好友所在的QQ进程通信?这些都得靠socket?那什么是socket?socket的类型有哪些?还有socket的基本函数,这些都是本文想介绍的。本文的主要内容如下: 1、网络中进程之间如何通信? 2、Socket是什么?
老表带你学Linux kernel pwn 入门(三)
weixin_43889007的博客
11-12 710
double fetch 条件竞争
linux kernel pwn学习之double fetch
seaaseesa的博客
02-27 777
Double fetch Double fetch漏洞是一种条件竞争漏洞,由于多线程的原因,使得内核里多次访问到用户的数据不一致而引发的漏洞。我们用户态传数据给内核,如果是简单的数据,则按传值传递,如果数据量很大很复杂,我们则传指针给内核。内核里首先会对数据的合理性进行校验,校验成功后,待会内核又重新在某处来访问我们的数据,而如果有另外一个线程在这之前篡改了数据,就使得数据不一致,从而可能形成漏...
以太网帧格式
热门推荐
小手挥墨
08-05 1万+
概述 以太网LLC帧头格式 以太网SNAP帧头格式 以太网MAC帧 概述 以太网(Ethernet)是数字设备、英特尔、施乐在1982年联合公布的标准(实际上这是以太网的第二版,即Ethernet II)。它采用CSMA/CD介质访问控制,传输速率仅为10Mbps。1985年,IEEE的802委员会公布一个系列的以太网标准,见下图: 不幸的是,802.2和802.3定...
kernel_Double_Fetch详解
starssgo的博客
04-30 673
Double_Fetch本质上是一种条件竞争漏洞,当系统采用并发编程,经常对资源进行共享时,往往会出现条件竞争漏洞。 条件竞争的条件 我们以计算机程序方面的条件竞争来举例,当一个软件的运行结果依赖于进程或者线程的顺序时,就可能会出现条件竞争。综合考虑下,条件竞争需要的条件如下。 1.并发,即至少存在两个并发执行流。这里的执行流包括线程,进程,任务等级别的执行流。 2.共享对象,即多个并发流会访问...
Kernel Pwn基础教程之 Double Fetch
蚁景网安学院
03-24 286
Double Fetch是一种条件竞争类型的漏洞,其主要形成的原因是由于用户态与内核态之间的数据在进行交互时存在时间差,我们在先前的学习中有了解到内核在从用户态中获取数据时会使用函数copy_from_user,而如果要拷贝的数据过于复杂的话则内核会选择引用其指针而将数据暂存于用户态中等待后续处理,而在这时数据会存在被条件竞争修改原有数据的风险,也就是笔者要分享的Double Fetch的由来。
C语言指针的运算(指针加或减一个整数的意义)
Change的博客
04-30 1万+
        指针可以加上或减去一个整数。指针的这种运算的意义和通常的数值的加减运算的意义是不一样的,以单元为单位。例一:#include&lt;stdio.h&gt; int main() { char a[]="0123456789"; int *ptr = (int *)a; char *cp = a; printf("%d\t%d\n",sizeof(int),sizeof(c...
关于函数指针以及由函数指针引起的混乱
weixin_61944889的博客
02-02 1422
目录 【问题引入】 【例1】 【例2】 【问题1】 【由函数指针引起的混乱】 【问题2】 【理解1】 【理解2】 【特殊引用】 【我的问题】 【问题引入】 函数指针是什么? 一个函数总是占用一段连续的内存区域,函数在表达式中有时也会被转换为该函数所在内存区域的首地址,这和数组非常类似。我们可以把函数的这个首地址(或称入口地址)赋予一个指针变量,使指针变量指向函数所在的内存区域,然后通过指针变量就可以找到并调用该函数。这种指针就是...
通过函数指针申请内存时遇到的内存泄漏问题
syeming的编程专栏
09-25 1227
通过函数指针申请内存说到底就是一个参数传递的问题,很简单但是也很容易犯错误。 例子(一) 使用一级指针作为参数 #include "stdio.h" #include "malloc.h" void mem_malloc(int *p, int num) { p = (int *)malloc(num * sizeof(int)); return; } void m
文件的读写以及指针的使用
capsnever的博客
04-29 705
#include <iostream> #include <fstream> using namespace std; int val[]={1,2,3,9,6}; int main(){ ofstream os("C:\\Apps\\qaq.txt",ios_base::out|ios_base::binary); os.write(reinterpret_cast<char *>(val),sizeof(val)); os.close();
C语言中的函数函数指针解析
这里的`FunP`是一个函数指针变量,它能够存储`MyFun`函数的地址,或者任何具有相同参数列表和返回类型函数的地址。 申明函数指针变量的语法类似于函数申明,只是将函数替换为星号和变量的组合,即`(*FunP)`。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值