Board logo

标题: IE IFRAM 漏洞的简单分析和临时补丁 [打印本页]

作者: 大漠的苍凉    时间: 2004-11-5 06:44     标题: IE IFRAM 漏洞的简单分析和临时补丁

1. 漏洞的由来
   bugtraq上有人发布了一个针对IE iframe的exploit, 用的方法非常巧妙,针对2K IE6能做到基本通用了. 牛人就是牛人.
2. 漏洞的分析.
   IE 在处理iframe 标签的时候,会调用SHDOCVW!CBaseBrowser2::SetFrameName函数来进行unicode copy(wcscpy):
.text:71754F67 ; public: virtual long __stdcall CBaseBrowser2::SetFrameName(unsigned short *)
.text:71754F67 ?SetFrameName@CBaseBrowser2@@UAGJPAG@Z proc near ; DATA XREF: .text:717233B8o
.text:71754F67                                         ; .text:71739900o
.text:71754F67
.text:71754F67 arg_0           = dword ptr  4
.text:71754F67 arg_4           = dword ptr  8
.text:71754F67
.text:71754F67                 mov     eax, [esp+arg_0]
.text:71754F6B                 push    [esp+arg_4]     ; wchar_t *
.text:71754F6F                 add     eax, 368h
.text:71754F74                 push    eax             ; wchar_t *
.text:71754F75                 call    ds:__imp__wcscpy
.text:71754F7B                 pop     ecx
.text:71754F7C                 pop     ecx
.text:71754F7D                 xor     eax, eax
.text:71754F7F                 retn    8
.text:71754F7F ?SetFrameName@CBaseBrowser2@@UAGJPAG@Z endp

在拷贝iframe的name时候,没有进行边界检查,导致了溢出.
3. 能覆盖的东西
   这里没有进行深入研究,大部分引用exp的原文.
   这个exp覆盖了一个结构,什么结构目前未知, 按照作者的说法,是在
    7178EC02                      8B08            MOV     ECX, DWORD PTR [EAX]
    //[0x0D0D0D0D] == 0x0D0D0D0D, so ecx = 0x0D0D0D0D.
    7178EC04                      68 847B7071     PUSH    71707B84
    7178EC09                      50              PUSH    EAX
    7178EC0A                      FF11            CALL    NEAR DWORD PTR [ECX]
这里的时候,因为其中的一个指针被覆盖,最后当程序运行到   7178EC0A 的时候,会跳转到ecx.而ecx是一个受控制的区域.(其实
是通过暴力扩大内存区域,使0d0d0d0d总能指向我们的javascript请求的内存块) 这个从他的exp上能很好的看出来,这里就不多说了.
4. 补丁.
   目前microsoft官方还没有发布补丁, 但是未了避免遭受毒害, 我还是想简单的patch一下. 思想是用msvcrt!wcsncpy来代替wcscpy.
因为要保证字节一至,就没有严格做到程序的输入/返回一样.
下面是做的简单补丁:
text:71754F67 sub_71754F67    proc near               ; DATA XREF: .text:717233B8o
.text:71754F67                                         ; .text:71739900o
.text:71754F67
.text:71754F67 arg_0           = dword ptr  4
.text:71754F67
.text:71754F67                 mov     eax, [esp+arg_0]
.text:71754F6B                 push    20h
.text:71754F6D                 push    esi
.text:71754F6E                 add     eax, 368h
.text:71754F73                 push    eax
.text:71754F74                 mov     eax, 780104FCh
.text:71754F79                 call    eax
.text:71754F7B                 pop     ecx
.text:71754F7C                 pop     ecx
.text:71754F7D                 pop     eax
.text:71754F7E                 nop
.text:71754F7F                 retn    8
.text:71754F7F sub_71754F67    endp
因为在前面调用的时候就是push esi来做arg 2的,所以这里直接用push esi 节省了几个字节的指令. 后面本来是要返回0的,但
因为call 一个8字节的地址在6字节内没有解决(不知道大家有没有好方法?) 所以只好牺牲eax了, 其实调用返回后eax本身也没用.
[root@DUMPLOGIN C:\WINNT\system32\dllcache]#fc /b shdocvw.dll shdocvw.dll.org
正在比较文件 shdocvw.dll 和 SHDOCVW.DLL.ORG
0005436B: 6A FF
0005436C: 20 74
0005436D: 56 24
0005436E: 05 08
0005436F: 68 05
00054370: 03 68
00054371: 00 03
00054373: 50 00
00054374: B8 50
00054375: FC FF
00054376: 04 15
00054377: 01 6C
00054378: 78 12
00054379: FF 70
0005437A: D0 71
0005437D: 58 33
0005437E: 90 C0
5. 使用.
patch补丁后, 用zap 删除掉shdocvw.dll,然后将这个copy过去,打开IE, 再来浏览exploit页,发现已经攻击无效了.
6. 郁闷:
很奇怪的是,在explorer中加载我修改后的shdocvw.dll和IE中加载的不一样,
具体在:
explorer中:
0:015> uf SHDOCVW!CBaseBrowser2::SetFrameName
SHDOCVW!CBaseBrowser2::SetFrameName:
00dd4f67 8b442404         mov     eax,[esp+0x4]
00dd4f6b 6a20             push    0x20
00dd4f6d 56               push    esi
00dd4f6e 0568030000       add     eax,0x368
00dd4f73 50               push    eax
00dd4f74 b8fc040178       mov     eax,0x780104fc
00dd4f79 6760             pushad
00dd4f7b 59               pop     ecx
00dd4f7c 59               pop     ecx
00dd4f7d 58               pop     eax
00dd4f7e 90               nop
00dd4f7f c20800           ret     0x8
IE中:
SHDOCVW!CBaseBrowser2::SetFrameName:
71754f67 8b442404         mov     eax,[esp+0x4]
71754f6b 6a20             push    0x20
71754f6d 56               push    esi
71754f6e 0568030000       add     eax,0x368
71754f73 50               push    eax
71754f74 b8fc040178       mov     eax,0x780104fc
71754f79 ffd0             call    eax
71754f7b 59               pop     ecx
71754f7c 59               pop     ecx
71754f7d 58               pop     eax
71754f7e 90               nop
71754f7f c20800           ret     0x8

注意到了吗?
00dd4f79 6760             pushad
vs
71754f79 ffd0             call    eax
这里没有深入研究, 不知道为什么会出现这种情况.






欢迎光临 黑色海岸线论坛 (http://bbs.thysea.com/) Powered by Discuz! 7.2