MS-07004分析和利用--MS-07004,分析,利用

 

.text:6FF176A7 loc_6FF176A7: ; CODE XREF: sub_6FF17642+21j
.text:6FF176A7 mov eax, [esi+8]
.text:6FF176AA add eax, [esi+4]
.text:6FF176AD test eax, eax
.text:6FF176AF jle short loc_6FF176C4
.text:6FF176B1 imul eax, 2Ch
.text:6FF176B4 push 101h
.text:6FF176B9 push eax ; size_t
.text:6FF176BA call sub_6FECFEF4
.text:6FF176BF pop ecx
.text:6FF176C0 pop ecx
.text:6FF176C1 mov [esi+14h], eax

 

eax 是从html代码中得到的，由于32位寄存器所能表示数的范围是有限的，所以假如我们提交一个很大的数，那么乘以2Ch以后就反而变小了， 6FF176BA中的代码调用了malloc申请堆内存，所以这个漏洞本质上来说是因为整数溢出而间接导致了堆溢出，那么我们如何定位这一段代码呢？我们首先在OD中在上面这段代码中下硬断点，在命令行中输入he 7FF176AD，然后打开poc页面，很快OD断了下来，如图2：

图2
然后跟进6FECFEF4得到了malloc返回的指针003A8320，在这个地址上下写断点，hw 003A8320，断在处，如图3

图3
push 0B pop ecx和下面的rep movs这三条指令是将rgb（x，x，x）（参见后面的Exp）的颜色参数经过一定的算法（下文简称RGB算法）算出的结果拷贝到堆中，每次0B字节。 recolorinfo 中共有五个参数，分别是tocolor、lbcolor、forecolor、backcolor、fromcolor需要经过RGB算法得出，0B*5 =2C，我们可以猜测下面每个recolorinfoentry都会拷贝2C个字节到堆中，我们来看看OD下方的数据窗口来验证一下我们的猜测，果然是从 003A83FC处开始每2C（十进制的44）字节的数据都是重复的。然后我们按下F9键让IE跑起来，OD提示有异常，如图4：

图4
很明显某些函数指针被覆盖了，我们在内存中搜索6E006F00，在00010101的地方发现了这串序列，而00010101就是出现在堆内存中的数据，假如我们能将指针指向我们的shellcode，嘿嘿...如何利用呢？这个漏洞又和普通的堆溢出的利用方式有点不同，传统的堆溢出是通过二次Alloc 或Free改写RtlEnterCriticalSection 或者Unhandled Exception Filter等指针来获得代码的执行权，而IE里则可以通过一种“暴力扩张堆”的方法来获得代码执行权，就是连接成05050505+shellcode 这样的形式，堆是从低地址向高地址增长的，再看看堆中被我们覆盖的数据，假如我们call的不是[00010101]而是[01010100]那就正好跳转到了05050505这个地址，在一连串的Add eax，5050505h指令之后，这些指令是无关紧要的，最终跳入了我们的shellcode中执行，堆中的数据都是由recolorinfo 中的一些参数得到的，具体的算法我也没有细细的跟，头大啊，但rgb（x，x，x）的三个参数最终会直接决定函数指针的指向，网上公布的poc中rgb （1，1，1）生成的地址是00010101。另外这个漏洞因机子而异不会有100%的成功率，相信看到现在读者朋友也该明白是什么原因。然后我们把 shellcode换成自己的down&exec的，关于怎么写shellcode大家可以翻翻黑防以前的文章。但是有一点就是记得前面要加4个 nop，否则可能出现失败的情况，因为连续的050505会破坏你的shellcode，需要几个nop缓冲一下，害我郁闷好一阵子，汗...我在中文 xp SP2 + IE6下测试成功了，测试的代码如下，测试结果如图5：

相关代码查看： article_1066_code.txt
另外，为了方便黑防读者的测试，我写了一个生成器，填充的是down&exec的Shellcode，填入要下载的程序的网址点生成即可，假如一切顺利，程序将会被执行，希望大家不要用于非法用途啊！需要扩展功能的自己可以改shellcode，通过更改RGB算法中的三个参数可以更加精确的定位 shellcode，假如读者朋友有什么好的思路或者方法，一定要告诉大家啊，另外javascript加密可以躲过杀毒软件的追杀，瑞星卡卡有个防漏墙功能可以阻止IE执行代码，在一定程度上确实让相当一部分网马没辙了，在这里也推荐广大网民使用，以免中招，但世界上没有不透风的墙，假如我们在 shellcode中将代码注入其他进程下载执行那么防漏墙就形同虚设了.