CVE-2012-0003：Microsoft Windows Media Player winmm.dll MIDI 文件堆溢出漏洞调试分析

0x01 蜘蛛漏洞攻击包

• 前言：2012 年 2月，地下黑产中流行着一款国产名为蜘蛛漏洞的攻击包 —— “Zhi-Zhu Exploit Pack”，该工具包含 5 个漏洞，都是在当时比较流行的漏洞，涵盖了 Flash、IE 等产品，其中就包含 CVE-2012-0003，此国产漏洞利用包与国外有一定的差别；国外通常用于构建僵尸网络或者窃取重要的情报，而 “蜘蛛” 这款漏洞攻击包主要用于盗取游戏账号，比如 “龙之谷”，这似乎也比较复合国情
• 微软发布该漏洞补丁之后，国外安全团队 VUPEN 在其博客上公布了该漏洞的成因和利用方法，其中对漏洞的利用构造的相当精妙，堪称艺术，可谓经典中的经典
• 该漏洞成因主要是由于 winmm.dll 动态链接库在处理 MIDI 文件的 Note On 和 Note Off 字段没有做限制，导致可以操纵该字段访问堆块之外 1 个字节的内存空间；由于该漏洞过于特殊，所以在分析和利用的时候难度是相当大的

0x02 分析环境

• 虚拟机：Windows XP sp3，版本：11.0.8211（提取码：woi9）、Sublime Text3
• 调试工具：Windbg（Windbg32，Windbg64）、OD、IDA（提取码：v0pt）、C32Asm（16进制分析文件工具，提取码：4sj8）
• 漏洞程序：IE6 浏览器
• 漏洞DLL：有漏洞的 winmm.dll 动态链接库文件（提取码：0n2a）
• 漏洞样本：能够触发漏洞 POC 样本（包含 poc.html 和 toto.mid 两个文件，提取码：nd0b）

0x03 MIDI 文件格式

• 想要理解漏洞的成因，首先需要了解什么是 MIDI 文件格式：MIDI 全称 Musical Instrument Digital Interface，是一种乐器数字接口，说白了就是一种音频格式（通过winmm.dll 链接库解析这种格式的文件之后可以播放出音乐）
• 总体来说 MIDI 可分为 “头块” 和若干多的 “音轨块”

块名称	块标记（4个字节）	块长度（4个字节）	块数据
头块	"MThd"	00 00 00 06	6个字节长度
音轨块1	"MTrk"	后面块数据长度	音轨事件数据，按时间顺序排序
音轨块2	"MTrk"	后面块数据长度	音轨事件数据，按时间顺序排序
...	...	...	...
音轨块n	"MTrk"	后面块数据长度	音轨事件数据，按时间顺序排序

• 头块结构如下

偏移	长度	描述	数值
0x00	4	块标记	"MThd"
0x04	4	块长度	00 00 00 06
0x08	2	格式类型	0 ~ 2
0x10	2	音轨数	1 ~ 65535
0x12	2	时间计数值（每拍的计数值）	比如数值 0x60 就为八分一拍

• 音轨事件如下

注意：这个是音轨事件，不是音轨的结构，一个音轨结构中可以包含许多的音轨事件

事件类型	格式	描述
关闭音符（Note Off）	0x8n note velocity	n 代表通道号，note 代表高音数值，velocity 代表按键速度
打开音符（Note On）	0x9n note velocity	n 代表通道号，note 代表高音数值，velocity 代表按键速度
触后音符（Note Aftertouch）	0xAn note amount	n 代表通道号，note 代表高音数值，amount 代表按压力度
控制器（Controler）	0xBn type value	n 代表通道号，note 代表控制项（如主音、延音等音量大小的调节），value 即为设置值
音色切换（Program Change）	0xCn num	n 代表通道号，num 代表音色号
触后通道（Channel Afertouch）	0xCn note amount	n 代表通道号，note 代表高音数值，amount 代表按压力度
滑音（Pitch Bend）	0xEn LSB MSB	n 代表通道号，LSB 代表低位值，MSB 代表高位值

• toto.mid 样本中的十六进制数据如下图所示
  
  

0x04 触发漏洞，定位异常点

• 我们选择通过用 IE 加载 winmm.dll 的方式触发漏洞，为了让 IE 浏览器能够触发漏洞，所以在 poc.html 样本中嵌入了一个音频播放器，由音频播放器来调用 toto.mid 文件播放音频从而触发漏洞
  
  
  
  
• 第一步设置堆页保护，第二部打开 IE，第三部使用 Windbg 附加进程
  
  
• F5 运行之后将 poc.html 文件拖入 IE，并且允许运行 ActiveX 控件
  
  
• 成功断下异常，可以看出 esi 指向的地址超出了堆空间，之后被堆页保护捕捉到
• 有经验的可以看出是 winmm.dll 中出了问题
  
  
• IDA 载入这个 winmm.dll，该动态库在 system32 下
  
  
• 下图可以看出是 v25 这个指针越界访问了堆上的数据
  
  
• v25 受 v24 和 v20 影响，通过观察可以发现 v24 受 v2、v9、v11、v13、v21影响（v2 由 wParam 控制）
  
  
  
  
• v20 受 v1 影响（v1 也由 wParam 控制）
  
  

0x05 OD 调试分析

• 将 IE 载入 OD 运行，先不要将 html.poc 拖入到 IE 中，之后 shift + F4 对 v2、v9、v11、v13、v21、v23 和 v20 下条件记录断点
  
  
• 设置 v9
  
  
• 设置 v11
  
  
• 设置 v13
  
  
• 设置 v21
  
  
• 设置 v23
  
  
• 设置 v20，最后别忘了断下漏洞触发点断点，这个断点是真的断点
  
  

提醒：什么条件记录断点，当程序运行到这个断点时，程序并不会真正的断下，而是会记录表达式的值；一般断点为红色，而条件记录断点为粉色

• 将 poc.html 文件放入刚刚运行的 IE 之中，之后会在异常触发点断下，按 l 这个快捷小按钮查看日志
  
  
• 可以看出 v11、v13、v21 相等
• v2 不变，v20 最后才被记录，且指向的地址都在 0x07EC0000 往后的堆中
• 从资料中可以得知最后 v23 的值，也就是 0x007DB29F 是来自漏洞样本的数据，结合MIDI 格式分析可以知道，9F 代表的就是打开音符（Note On），F 就是通道号
  
  
• 这个就是样本中的数据，刚好是倒过来的 0x007DB29F
  
  
• 下面就对 v21 下条件断点（shift + F2），看看读取样本数据 0x007DB29F 之后是怎么处理的
  
  
• 重新运行后断下，注意此时 ecx = 007DB29F，之后接着往下调试
  
  
• 首先会将 9F 和 0xF0 做按位与运算，之后将结果与 90 作比较，判断这是打开音符（Note On）还是关闭音符（Note Off）；由于 9F0 | 0xF = 90，所以这个是打开音符

提醒：由上可知，打开音符为 0x9n，关闭音符为 0x8n

• 之后将 9F 和 0xF 做按位与操作，取出通道号 F，之后左移 7 位右移 1 位，最后等于 419

提醒：9F | 0xF = F

• 最后将 esi（堆基址）+ eax（偏移地址419）

提醒：下面会解释 esi 为什么是堆基址

• 这时已经知道通道号 F 经过计算之后值为 419，控制着指针的偏移地址，也就是 v24 的值
• 此时只需要知道 esi，也就是 v20 的值是怎么来的，就可以完全搞清楚漏洞的成因了
• 首先 v20 由传入的参数 wParam 控制，对 midiOutPlayNextPolyEvent 函数进行交叉引用查询，看看是哪一个函数调用的这个函数

提醒：上面说到 v25 受 v20 和 v24 影响

• 发现是 midiOutTimerTick函数调用了 midiOutPlayNextPolyEvent 函数，并且把 v6 当作参数传入，而 v6 = gpEmuList
• gpEmuList 不是参数传入的，所以查询 gpEmuList 的交叉引用，看看是哪一个函数设置了 gpEmuList 这个值，发现是 mseOpen 函数中引用了这个值
  
  
• 这个就是 mseOpen 函数，gpEmuList 由 v5 传入，v5 等于 winmmAlloc 函数分配的堆空间地址
  
  
• 整理一下调用关系
  
  
• 因为 v6 是堆块的基地址，且这个堆块的大小为 0x400，又因为 v20 = v6，所以 v20 也为这个 0x400 堆块的基地址
• 这样关系就很明了了，v25 的指针由 v24 和 v20 相加得出，v20 是堆的基址，而 v24 是样本数据解析运算获得，由于没有限制通道号的大小，导致运算后的偏移地址 v24 为 419，可是堆只有 0x400大小，很显然超出了申请的堆空间，照成了非法访问，故引发了堆页保护异常

这里需要注意的是虽然申请的堆空间大小为 400，可是实际大小不同环境会有不一样的结果，本文测试的时候实际的大小会多出 8 个字节，为 0x408

0x06 漏洞利用

• 那么如何利用这一个字节来执行任意代码呢？国外安全团队 VUPEN 在其博客上给出了构造的方法，过程十分精彩：
• 第一步通过 JavaScript 创建一个 html 元素 select，之后给 select 元素设置 60 个属性，并且将第一个属性设置为 String 类型（w0），其余的属性设置任意即可，拥有 60 个属性的 select 大小为 0x408
  
  
• 第二步创建一个 cloned 对象数组大小为 50，之后循环复制 select 元素到 clone
  
  
  
  
• 第三步每隔 6 个元素，释放回收第七个元素
  
  
• 这样的话内存空间的分布就如下图所示，只需要等待有漏洞的堆插入到这个精心构造的堆列当中即可，在 windows XP sp3 + IE6 的环境下，成功率接近为百分之百左右
  
  
• 当插入完成之后，漏洞指令会将 String 类型（w0）标识符 0x08 加上 1，变为 0x09 的对象

String 在内存中的标识符为 0x08，对象为 0x09

• 最后循环调用每个 cloned.w0 属性的 toString() 方法，调用该方法会使每个对象的头 4 个字节当作索引
  
  
• 索引虚表会取出对象的头 4 个字节，之后进行 call 调用，从而执行任意代码
  
  

0x07 OD 调试分析

• 首先关闭堆页保护
  
  
• 负责解析 Html 语言的 IE 模块 mshtml.dll 在处理 html 元素时会调用 CImplAry::clone() 函数和 ClmplAry::DeleteAll() 函数来添加和删除属性的堆空间，上面的申请属性和释放属性就靠这两个方法
• 使用字符串查找的方法找到 clone 函数和 DeleteAll 函数
  
  
• 这个就是 clone 函数，其中 EnsureSize 函数会给每个元素的属性分配 0x10 大小的堆空间
  
  
• 这个是 DeleteAll 函数，负责释放属性的堆空间
  
  
• 之后下 CImplAry 数组堆首地址、CImplAry 释放堆地址、漏洞函数分配的堆地址（VulBuffer）的条件记录断点
  
  
  
  
  
  
• 运行之后断在了漏洞触发的汇编指令上
  
  
• 数据窗口跟随后发现此时 esi 指向的是 0x08 这个 String 标识符
  
  
• 查看日志分析，VulBuffer 成功的插入了刚刚释放的空间中去，且大小为 0x408
  
  
• VulBuffer 的地址 + 0x419 刚好为 1E5721，也就是 String 的标识符 0x8

此处多出来的 16 字节应该是堆块头部信息

• 去除断点继续运行之后，来到了虚表索引
  
  
• 此时 String 的标识符已经变为 0x9
  
  
• 最后会执行 call [ecx+0x4] 的地址
  
  
• 此时 ecx 的值就是 select.w0 对象的头4个字节 0x0c0c1c0c
  
  
  
  
• 从而控制了程序的流程，最后通过堆喷射的方法，达到了执行任意代码的目的
• 关于绕过防护的方法，参考下图
  
  
• 参考资料：0day安全：软件漏洞分析技术 + 漏洞战争

以上就是 CVE-2012-0003 的调试分析，如有错误，欢迎指正