zoukankan      html  css  js  c++  java

  • CVE-2011-0104:Microsoft Office Excel 中的栈溢出漏洞调试分析

    0x01 前言

    • CVE-2011-0104 是 Microsoft Office 中的 Excel(没有打补丁的情况下)表格程序在处理 TOOLBARDEF 中的 Record 字节时没有对 Len 字段和 Cbtn 字段做过滤导致可以将任意大小的数据复制到任意地址的空间去,从而导致栈溢出漏洞。若攻击者通过构造恶意的 XLB 文件,受害者在未知的情况下打开恶意文件,受害者主机可能会被完全控制。到目前为止 CVE-2011-0104 漏洞还未收录在 metasploit 中

    0x02 分析环境

    • 虚拟机:Windows XP sp3 64 位操作系统,ASLR 处于关闭状态,便于调试(提取码:d3ho)
    • 漏洞程序:Microsoft Office Excel 2003,版本:11.0.8211(提取码:woi9)
    • 分析工具:ODIDA(提取码:v0pt),Windbg(Windbg32Windbg64),C32Asm(16进制分析文件工具,提取码:4sj8)
    • 样本(POC):能够触发异常的 .XLB 格式文件(提取码:0oic)

    0x03 定位程序异常

    • 有了 POC 下面就可以开始定位异常,通用的做法是利用正宗的微软调试器 Windbg,先运行 EXECEL.EXE 文件吧
      在这里插入图片描述
    • 附加一个进程,一般是以附加的方式调试,也可以运行一个源程序再调试
      在这里插入图片描述
    • 找到刚刚运行的 EXECEL.EXE 程序的进程
      在这里插入图片描述
    • 运行,g 是运行的意思
      在这里插入图片描述
    • 这里使用打开文件的做法,如果使用的是拖入的方式加载文件,异常触发后会被 Windows 的异常处理给捕捉到,不利于调试,这里要注意
      在这里插入图片描述
    • 这个样本就是 POC 选中之后打开它
      在这里插入图片描述
    • Windbg 成功捕捉到异常,异常出现在 EXECEL.EXE 中,而不是通常的 .dll 文件中。这个异常表示在 0x30089ca1 这个地址,编译器读不出 0x51455047 这个地址,不知道这个地址代表什么。
    • 一个正常的文件加载是不会出现这个异常的,那么为什么会出现这个异常呢,原因就是堆栈中的数据被覆盖了,原来可以读的地址被改成了 POC 样本中的数据导致不可读,0x51455047 这个数据极有可能是 POC 中的数据
      在这里插入图片描述
    • 最后看一下堆栈中的数据,都被覆盖了
      在这里插入图片描述

    0x04 OD调试

    • 记下刚才程序发生异常的地址,在 OD 中断下
      在这里插入图片描述
    • 重新运行断在了异常处,暂且将这个异常函数称为 test_error 函数
      在这里插入图片描述
    • 此时堆栈的情况
      在这里插入图片描述
    • 下面需要跟踪堆栈,为什么需要跟踪堆栈呢,因为虽然知道异常点触发点,但并不知道堆栈中的数据何时被复制进堆栈的
    • 为了搞清楚这个问题,首先需要定位栈顶位置和 test_error 函数入口点在哪里,但是目前堆栈中的数据被溢出覆盖了,没有办法定位怎么办,这里可以加载一个正常的文件
      在这里插入图片描述
    • 下图是加载了一个正常的文件并且定位到了异常点,注意此时 EBP 的位置
      在这里插入图片描述
    • 查看一下堆栈,利用 EBP 找到函数返回地址
      在这里插入图片描述
    • enter 一下返回值,断下这个函数,异常就出现在 EXECAL.30089b57 中也就是 test_error 这个函数
      在这里插入图片描述
    • 之后重新载入有漏洞的文件
      在这里插入图片描述
    • 运行到刚刚断下的函数后,F7 进入这个函数,运行到如下位置,此时函数已经开辟出 0x60 大小的栈空间
      在这里插入图片描述
    • 堆栈窗口如下图所示
      在这里插入图片描述
    • 在数据窗口查看堆栈信息,并且在栈底下内存写入断点
      在这里插入图片描述
    • F9 运行两次终于找到了这个污点,就是它将 POC 中的数据复制到了堆栈当中(其实找到查询堆栈复制信息的时候,还可以利用函数调试法来追踪,这里不做过多阐述)
    • rep 是循环复制命令,计数器为 ecx,也就是 eax / 4 的值,此时 eax 为 0x300,可能是某个处理内存函数的参数在这里插入图片描述
    • 下断点后重新运行,F8 单步之后,堆栈空间被 POC 数据覆盖
      在这里插入图片描述
    • 和 POC 中的数据作对比,果然一模一样
      在这里插入图片描述

    0x05 结合 IDA 进行污点追踪,寻找出现问题的函数

    • 在追踪之前需要知道污点函数的入口点,重新运行,断在了如下位置
      在这里插入图片描述
    • 利用堆栈进行查找函数,成功找到了污点函数的位置
      在这里插入图片描述
    • 下面就是污点追踪所需要的数据
    地址 函数地址
    污点 0x3008942F 0x3070DEA5
    异常出发点 0x30089CA1 0x3008A85C
    • 直接利用 IDA 定位污点函数的地址 0x3070DEA5,翻译成伪代码(F5)
      在这里插入图片描述
    • 进函数看一下,发现了果然是 memcpy 这个函数处理内存的时候没有对数据大小进行过滤,0x300 就是这个函数的一个参数
      在这里插入图片描述
    • 来看一下函数的原型,IDA 中 a1 就是复制的目标地址,v7 就是拷贝的大小为 0x300
      在这里插入图片描述
    • 从 V7 入手(与 a1 分析原理相似,不做阐述),层层溯源,发现是这个函数传入的第三个参数
      在这里插入图片描述
    • 第三个参数又是 sub_3008945F 中获取的
      在这里插入图片描述
    • 进入这个函数看一下,发现这个函数是读取 POC 上的数据,下面来验证一下
      在这里插入图片描述
    • OD 载入,找到 0x3008945F 这个函数,下断点,返回值为 eax,所以看看 eax 何时变为 0x300
      在这里插入图片描述
    • 经过多次运行,找到了 0x300 这个数据
      在这里插入图片描述
    • 结合堆栈进行分析,发现确实是样本中构造的数据
      在这里插入图片描述
    • 逻辑图
      在这里插入图片描述

    0x06 总结

    • CVE-2011-0104 漏洞归根结底还是利用了不安全的函数 memcpy,而函数的两个参数一个是复制源数据的大小,一个是复制的地址都是从 POC 中读取的,竟然没有做任何的过滤,最后导致了栈溢出的发生,之后发布的补丁也是对这两个参数做了过滤处理
    • 参考资料:0day安全:软件漏洞分析技术 + 漏洞战争
  • 相关阅读:
    linux 杂类
    set
    C++ 基础 杂类
    linux 添加samba账户
    git 常用命令
    git 设置bitbucket 邮箱、用户
    C++ shared_ptr
    git 免密码配置
    2014的新目标
    为/Date(1332919782070)/转时间2013-09-23
  • 原文地址:https://www.cnblogs.com/csnd/p/11800538.html
Copyright © 2011-2022 走看看