漏洞概述
该漏洞是一个flash 在解析 swf 文件时产生的漏洞,其原因是在处理畸形 opcode 时没有进行相应的判断,导致程序发生越界访问。
分析工具
flash 解析工具 JPEXS Free Flash Decompiler
Windows 调试器 Windbg
漏洞分析
打开 flash 播放器,加载漏洞样本,程序崩溃。
崩溃点如下
0:000> r
eax=ffffd103 ebx=04104980 ecx=00000000 edx=04da0c38 esi=030d4db4 edi=00000000
eip=0043ccd7 esp=0012ee14 ebp=0012f088 iopl=0 nv up ei ng nz na pe nc
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00010286
XXXXXXXX+0x3ccd7:
0043ccd7 8a5c10ff mov bl,byte ptr [eax+edx-1] ds:0023:04d9dd3a=??
查看此时寄存器信息,edx
0:000> db edx
04da0c38 47 3c 96 03 00 00 01 00-1c 96 05 00 07 fa 02 00 G<..............
04da0c48 00 0e 12 9d 02 00 21 00-96 03 00 00 01 00 96 03 ......!.........
04da0c58 00 00 01 00 1c 96 05 00-07 08 02 00 00 0b 1d 96 ................
04da0c68 02 00 05 01 99 02 00 c9-ff 96 03 00 00 01 00 1c ................
04da0c78 96 05 00 07 fe 01 00 00-0e 12 9d 02 00 77 02 96 .............w..
04da0c88 03 00 00 01 00 96 03 00-00 01 00 1c 96 05 00 07 ................
04da0c98 25 00 00 00 0b 1d 88 58-02 36 00 65 78 70 61 6e %......X.6.expan
04da0ca8 64 6d 65 6e 75 00 43 6f-6e 74 65 78 74 4d 65 6e dmenu.ContextMen
这一段信息在 swf 文件中可以找到,是 as 代码对应的 opcode
很明显,这里的操作应该是在 opcode 中根据相对偏移进行查找下一个位置的 opcode 信息。
在这个位置下 条件断点 。当 edx 指向 opcode 时断下,观察程序表现。此处语句所查找的 opcode 位置顺序与 as 代码执行流程相当。在索引到 opcode 偏移 0x542 位置的数据之后,程序崩溃,由此可以判断,程序是在解析执行了偏移 0x542位置的代码之后发生的崩溃。
0:000> g
eax=00000542 ebx=041847e8 ecx=00000000 edx=0c7e3c38 esi=03154db4 edi=00000000
eip=0043ccd7 esp=0012e928 ebp=0012eb9c iopl=0 nv up ei pl nz na pe nc
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000206
XXXXXXXX+0x3ccd7:
0043ccd7 8a5c10ff mov bl,byte ptr [eax+edx-1] ds:0023:0c7e4179=99
0:000> g
eax=ffffd103 ebx=041847e8 ecx=00000000 edx=0c7e3c38 esi=03154db4 edi=00000000
eip=0043ccd7 esp=0012e928 ebp=0012eb9c iopl=0 nv up ei ng nz na pe nc
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000286
XXXXXXXX+0x3ccd7:
0043ccd7 8a5c10ff mov bl,byte ptr [eax+edx-1] ds:0023:0c7e0d3a=??
转到 opcode 代码处观察,可以看到在偏移 0x542 (需要加上头部偏移0x64)的位置,opcode 执行 jump loc721
跳转指令,程序执行流程会转到 loc721 位置去执行,然而 loc721并不是一个合法的 opcode 标签位置, 这里显然出了问题,这段opcode 被恶意的更改了,而 flash 并没有对这里的跳转做出限制,从而导致了程序的崩溃。(由于工具的原因图中显示的opcode 字节码不正确,以下面的分析为准)
从解析 jump loc721
开始分析程序处理流程,jump loc721
指令对应的字节码为 99 02 00 bc cb
0x99
字节码代表跳转指令,接下来两个字节为跳转类型,剩下的两个字节为偏移。
解析 opcode 时,取出其后面的数据进行偏移计算。关键的取数据代码如下,这里取出 jump
指令的偏移数据。
0043ee91 03c8 add ecx,eax
0043ee93 83c002 add eax,2
0043ee96 894584 mov dword ptr [ebp-7Ch],eax
0043ee99 8a7101 mov dh,byte ptr [ecx+1]
0043ee9c 0fbfc2 movsx eax,dx
0043ee9f 33d2 xor edx,edx
0043eea1 8a11 mov dl,byte ptr [ecx]
0043eea3 8b4ddc mov ecx,dword ptr [ebp-24h]
0043eea6 0bc2 or eax,edx
0043eea8 03c8 add ecx,eax
注意到 movsx eax,dx
,这条语句使用的是有符号扩展指令将 dx扩展到eax中。向前跳转时,eax值会变成负数从而使 opcode 向前索引;向后跳转时,eax 值为正值,opcode 向后索引。
取出偏移值之后,flash 将偏移值与当前索引到的 opcode 位置直接相加,作为下一个 opcode 的索引。
!!期间,并未对计算所得的结果值做任何合法性的判断,导致程序可以进行越界访问,从而触发崩溃