CVE-2012-0003:Microsoft Windows Media Player winmm.dll MIDI 文件堆溢出漏洞调试分析
0x01 蜘蛛漏洞攻击包
- 前言:2012 年 2月,地下黑产中流行着一款国产名为蜘蛛漏洞的攻击包 —— “Zhi-Zhu Exploit Pack”,该工具包含 5 个漏洞,都是在当时比较流行的漏洞,涵盖了 Flash、IE 等产品,其中就包含 CVE-2012-0003,此国产漏洞利用包与国外有一定的差别;国外通常用于构建僵尸网络或者窃取重要的情报,而 “蜘蛛” 这款漏洞攻击包主要用于盗取游戏账号,比如 “龙之谷”,这似乎也比较复合国情
- 微软发布该漏洞补丁之后,国外安全团队 VUPEN 在其博客上公布了该漏洞的成因和利用方法,其中对漏洞的利用构造的相当精妙,堪称艺术,可谓经典中的经典
- 该漏洞成因主要是由于 winmm.dll 动态链接库在处理 MIDI 文件的 Note On 和 Note Off 字段没有做限制,导致可以操纵该字段访问堆块之外 1 个字节的内存空间;由于该漏洞过于特殊,所以在分析和利用的时候难度是相当大的
0x02 分析环境
- 虚拟机:Windows XP sp3,版本:11.0.8211(提取码:woi9)、Sublime Text3
- 调试工具:Windbg(Windbg32,Windbg64)、OD、IDA(提取码:v0pt)、C32Asm(16进制分析文件工具,提取码:4sj8)
- 漏洞程序:IE6 浏览器
- 漏洞DLL:有漏洞的 winmm.dll 动态链接库文件(提取码:0n2a)
- 漏洞样本:能够触发漏洞 POC 样本(包含 poc.html 和 toto.mid 两个文件,提取码:nd0b)
0x03 MIDI 文件格式
- 想要理解漏洞的成因,首先需要了解什么是 MIDI 文件格式:MIDI 全称 Musical Instrument Digital Interface,是一种乐器数字接口,说白了就是一种音频格式(通过winmm.dll 链接库解析这种格式的文件之后可以播放出音乐)
- 总体来说 MIDI 可分为 “头块” 和若干多的 “音轨块”
块名称 | 块标记(4个字节) | 块长度(4个字节) | 块数据 |
头块 | "MThd" | 00 00 00 06 | 6个字节长度 |
音轨块1 | "MTrk" | 后面块数据长度 | 音轨事件数据,按时间顺序排序 |
音轨块2 | "MTrk" | 后面块数据长度 | 音轨事件数据,按时间顺序排序 |
... | ... | ... | ... |
音轨块n | "MTrk" | 后面块数据长度 | 音轨事件数据,按时间顺序排序 |
- 头块结构如下
偏移 | 长度 | 描述 | 数值 |
0x00 | 4 | 块标记 | "MThd" |
0x04 | 4 | 块长度 | 00 00 00 06 |
0x08 | 2 | 格式类型 | 0 ~ 2 |
0x10 | 2 | 音轨数 | 1 ~ 65535 |
0x12 | 2 | 时间计数值(每拍的计数值) | 比如数值 0x60 就为八分一拍 |
- 音轨事件如下
注意:这个是音轨事件,不是音轨的结构,一个音轨结构中可以包含许多的音轨事件
事件类型 | 格式 | 描述 |
关闭音符(Note Off) | 0x8n note velocity | n 代表通道号,note 代表高音数值,velocity 代表按键速度 |
打开音符(Note On) | 0x9n note velocity | n 代表通道号,note 代表高音数值,velocity 代表按键速度 |
触后音符(Note Aftertouch) | 0xAn note amount | n 代表通道号,note 代表高音数值,amount 代表按压力度 |
控制器(Controler) | 0xBn type value | n 代表通道号,note 代表控制项(如主音、延音等音量大小的调节),value 即为设置值 |
音色切换(Program Change) | 0xCn num | n 代表通道号,num 代表音色号 |
触后通道(Channel Afertouch) | 0xCn note amount | n 代表通道号,note 代表高音数值,amount 代表按压力度 |
滑音(Pitch Bend) | 0xEn LSB MSB | n 代表通道号,LSB 代表低位值,MSB 代表高位值 |
- toto.mid 样本中的十六进制数据如下图所示
0x04 触发漏洞,定位异常点
- 我们选择通过用 IE 加载 winmm.dll 的方式触发漏洞,为了让 IE 浏览器能够触发漏洞,所以在 poc.html 样本中嵌入了一个音频播放器,由音频播放器来调用 toto.mid 文件播放音频从而触发漏洞
- 第一步设置堆页保护,第二部打开 IE,第三部使用 Windbg 附加进程
- F5 运行之后将 poc.html 文件拖入 IE,并且允许运行 ActiveX 控件
- 成功断下异常,可以看出 esi 指向的地址超出了堆空间,之后被堆页保护捕捉到
- 有经验的可以看出是 winmm.dll 中出了问题
- IDA 载入这个 winmm.dll,该动态库在 system32 下
- 下图可以看出是 v25 这个指针越界访问了堆上的数据
- v25 受 v24 和 v20 影响,通过观察可以发现 v24 受 v2、v9、v11、v13、v21影响(v2 由 wParam 控制)
- v20 受 v1 影响(v1 也由 wParam 控制)
0x05 OD 调试分析
- 将 IE 载入 OD 运行,先不要将 html.poc 拖入到 IE 中,之后 shift + F4 对 v2、v9、v11、v13、v21、v23 和 v20 下条件记录断点
- 设置 v9
- 设置 v11
- 设置 v13
- 设置 v21
- 设置 v23
- 设置 v20,最后别忘了断下漏洞触发点断点,这个断点是真的断点
提醒:什么条件记录断点,当程序运行到这个断点时,程序并不会真正的断下,而是会记录表达式的值;一般断点为红色,而条件记录断点为粉色
- 将 poc.html 文件放入刚刚运行的 IE 之中,之后会在异常触发点断下,按 l 这个快捷小按钮查看日志
- 可以看出 v11、v13、v21 相等
- v2 不变,v20 最后才被记录,且指向的地址都在 0x07EC0000 往后的堆中
- 从资料中可以得知最后 v23 的值,也就是 0x007DB29F 是来自漏洞样本的数据,结合MIDI 格式分析可以知道,9F 代表的就是打开音符(Note On),F 就是通道号
- 这个就是样本中的数据,刚好是倒过来的 0x007DB29F
- 下面就对 v21 下条件断点(shift + F2),看看读取样本数据 0x007DB29F 之后是怎么处理的
- 重新运行后断下,注意此时 ecx = 007DB29F,之后接着往下调试
- 首先会将 9F 和 0xF0 做按位与运算,之后将结果与 90 作比较,判断这是打开音符(Note On)还是关闭音符(Note Off);由于 9F0 | 0xF = 90,所以这个是打开音符
提醒:由上可知,打开音符为 0x9n,关闭音符为 0x8n
- 之后将 9F 和 0xF 做按位与操作,取出通道号 F,之后左移 7 位右移 1 位,最后等于 419
提醒:9F | 0xF = F
- 最后将 esi(堆基址)+ eax(偏移地址419)
提醒:下面会解释 esi 为什么是堆基址
- 这时已经知道通道号 F 经过计算之后值为 419,控制着指针的偏移地址,也就是 v24 的值
- 此时只需要知道 esi,也就是 v20 的值是怎么来的,就可以完全搞清楚漏洞的成因了
- 首先 v20 由传入的参数 wParam 控制,对 midiOutPlayNextPolyEvent 函数进行交叉引用查询,看看是哪一个函数调用的这个函数
提醒:上面说到 v25 受 v20 和 v24 影响
- 发现是 midiOutTimerTick函数调用了 midiOutPlayNextPolyEvent 函数,并且把 v6 当作参数传入,而 v6 = gpEmuList
- gpEmuList 不是参数传入的,所以查询 gpEmuList 的交叉引用,看看是哪一个函数设置了 gpEmuList 这个值,发现是 mseOpen 函数中引用了这个值
- 这个就是 mseOpen 函数,gpEmuList 由 v5 传入,v5 等于 winmmAlloc 函数分配的堆空间地址
- 整理一下调用关系
- 因为 v6 是堆块的基地址,且这个堆块的大小为 0x400,又因为 v20 = v6,所以 v20 也为这个 0x400 堆块的基地址
- 这样关系就很明了了,v25 的指针由 v24 和 v20 相加得出,v20 是堆的基址,而 v24 是样本数据解析运算获得,由于没有限制通道号的大小,导致运算后的偏移地址 v24 为 419,可是堆只有 0x400大小,很显然超出了申请的堆空间,照成了非法访问,故引发了堆页保护异常
这里需要注意的是虽然申请的堆空间大小为 400,可是实际大小不同环境会有不一样的结果,本文测试的时候实际的大小会多出 8 个字节,为 0x408
0x06 漏洞利用
- 那么如何利用这一个字节来执行任意代码呢?国外安全团队 VUPEN 在其博客上给出了构造的方法,过程十分精彩:
- 第一步通过 JavaScript 创建一个 html 元素 select,之后给 select 元素设置 60 个属性,并且将第一个属性设置为 String 类型(w0),其余的属性设置任意即可,拥有 60 个属性的 select 大小为 0x408
- 第二步创建一个 cloned 对象数组大小为 50,之后循环复制 select 元素到 clone
- 第三步每隔 6 个元素,释放回收第七个元素
- 这样的话内存空间的分布就如下图所示,只需要等待有漏洞的堆插入到这个精心构造的堆列当中即可,在 windows XP sp3 + IE6 的环境下,成功率接近为百分之百左右
- 当插入完成之后,漏洞指令会将 String 类型(w0)标识符 0x08 加上 1,变为 0x09 的对象
String 在内存中的标识符为 0x08,对象为 0x09
- 最后循环调用每个 cloned.w0 属性的 toString() 方法,调用该方法会使每个对象的头 4 个字节当作索引
- 索引虚表会取出对象的头 4 个字节,之后进行 call 调用,从而执行任意代码
0x07 OD 调试分析
- 首先关闭堆页保护
- 负责解析 Html 语言的 IE 模块 mshtml.dll 在处理 html 元素时会调用 CImplAry::clone() 函数和 ClmplAry::DeleteAll() 函数来添加和删除属性的堆空间,上面的申请属性和释放属性就靠这两个方法
- 使用字符串查找的方法找到 clone 函数和 DeleteAll 函数
- 这个就是 clone 函数,其中 EnsureSize 函数会给每个元素的属性分配 0x10 大小的堆空间
- 这个是 DeleteAll 函数,负责释放属性的堆空间
- 之后下 CImplAry 数组堆首地址、CImplAry 释放堆地址、漏洞函数分配的堆地址(VulBuffer)的条件记录断点
- 运行之后断在了漏洞触发的汇编指令上
- 数据窗口跟随后发现此时 esi 指向的是 0x08 这个 String 标识符
- 查看日志分析,VulBuffer 成功的插入了刚刚释放的空间中去,且大小为 0x408
- VulBuffer 的地址 + 0x419 刚好为 1E5721,也就是 String 的标识符 0x8
此处多出来的 16 字节应该是堆块头部信息
- 去除断点继续运行之后,来到了虚表索引
- 此时 String 的标识符已经变为 0x9
- 最后会执行 call [ecx+0x4] 的地址
- 此时 ecx 的值就是 select.w0 对象的头4个字节 0x0c0c1c0c
- 从而控制了程序的流程,最后通过堆喷射的方法,达到了执行任意代码的目的
- 关于绕过防护的方法,参考下图
- 参考资料:0day安全:软件漏洞分析技术 + 漏洞战争
以上就是 CVE-2012-0003 的调试分析,如有错误,欢迎指正
CVE-2012-0003:Microsoft Windows Media Player winmm.dll MIDI 文件堆溢出漏洞调试分析的更多相关文章
- CVE-2012-0003 Microsoft Windows Media Player ‘winmm.dll’ MIDI文件解析远程代码执行漏洞 分析
[CNNVD]Microsoft Windows Media Player ‘winmm.dll’ MIDI文件解析远程代码执行漏洞(CNNVD-201201-110) Microsoft Wi ...
- CVE-2013-0077:Microsoft DirectShow quartz.dll m2p 文件堆溢出漏洞简单分析
0x01 前言 2012 年 10 月 5 日,exploit-db 漏洞公布站点上发布了 QQplayer.exe 3.7.892 m2p quartz.dll Heap Pointer OverW ...
- CVE-2010-2553:Microsoft Cinepak Codec CVDecompress 函数堆溢出漏洞调试分析
0x01 前言 微软提供一个叫 Cinepak 的视频解码器,通过调用 iccvid.dll 这个动态链接库文件可以使用这个解码器:微软自带的 Windows Media Player(视频音频软件) ...
- CVE-2018-0802:Microsoft office 公式编辑器 font name 字段二次溢出漏洞调试分析
\x01 前言 CVE-2018-0802 是继 CVE-2017-11882 发现的又一个关于 font name 字段的溢出漏洞,又称之为 "第二代噩梦公式",巧合的是两个漏洞 ...
- CVE-2017-11882:Microsoft office 公式编辑器 font name 字段栈溢出通杀漏洞调试分析
\x01 漏洞简介 在 2017 年 11 月微软的例行系统补丁发布中,修复了一个 Office 远程代码执行漏洞(缓冲区溢出),编号为 CVE-2017-11882,又称为 "噩梦公式&q ...
- Windows Media Player axWindowsMediaPlayer1 分类: C# 2014-07-28 12:04 195人阅读 评论(0) 收藏
属性/方法名: 说明: [基本属性] URL:String; 指定媒体位置,本机或网络地址 uiMode:String; 播放器界面模式,可为Full, Mini, None, Invisible p ...
- CVE-2012-0158:Microsoft Office MSCOMCTL.ocx 栈溢出漏洞调试分析
0x01 Lotus Blossom 行动 在 2015 年 6 月,国外安全厂商 Palo Alto Networks 的威胁情报团队 Unit42 发现了一起针对东南亚政府的一次间谍行为,试图获取 ...
- win7自带windows media player 已停止工作
解决方法如下: 在计算机开始,菜单找到控制面板 ,然后打开程序和功能,选择打开或关闭window功能,媒体功能.再取消windows Media Center Windows MediaPlayer选 ...
- Windows Media Player安装了却不能播放网页上的视频
前段时间遇到Windows Media Player安装了却不能播放网页上的视频的问题,在网上查找资料时,发现大部分资料都没能解决我这个问题.偶尔试了网上一牛人的方法,后来竟然解决了.现在再找那个网页 ...
随机推荐
- 如果一个网站存在CSRF漏洞,可以通过CSRF漏洞做下面那些事情?
如果一个网站存在CSRF漏洞,可以通过CSRF漏洞做下面那些事情? 答:跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求.利用受害者在被攻击网站已经获取的注册凭证 ...
- Flink的日志配置
------------恢复内容开始------------ 介绍flink在本地运行和on yarn运行时的日志配置. 很多现代框架都是用门面模式进行日志输出,例如使用Slf4j中的接口输出日志,具 ...
- Debian中的NVIDIA显卡驱动安装——超简单,一行命令
其实Debian的non-free固件中包含NVIDIA的显卡驱动,所以没必要在官网下run包一步一步来 sudo apt install nvidia-settings 安装时会提示与X冲突,没关系 ...
- struts2.0中ognl栈的解析
ongl详解: ValueStack是Struts2的一个接口,字面意义为值栈,OgnlValueStack是 ValueStack的实现类,客 户端发起一个请求,struts2架构会创建一个acti ...
- 自己整理的acm模板
第一次上传: 链接:点我下载 大部分常用的模板都弄了,剩下的坑以后再补... 第二次上传: 链接:点我下载 更新内容:新增ST表.分块 第三次上传: 链接:点我下载 更新内容:新增AC自动机,修改权值 ...
- Codeforces Round #541 F. Asya And Kittens
题面: 传送门 题目描述: Asya把N只(从1-N编号)放到笼子里面,笼子是由一行N个隔间组成.两个相邻的隔间有一个隔板. Asya每天观察到有一对想一起玩,然后就会把相邻的隔间中的隔板取出来,使两 ...
- java 实现快速排序
package leetcode;public class Singleton { public static void sort(int[] array,int low,int high){ int ...
- sort函数用于vector向量的排序
参考资料: 关于C++中vector和set使用sort方法进行排序 作者注:这篇文章写得相当全面,包括对vector和set中不同数据类型(包括结构体)的排序,还有一些还没看懂--特作此摘录,供当前 ...
- 清明节特辑 |记忆存储、声音还原、性格模仿……AI可以让人类永生吗?
摘要:如果能用AI "复活"逝去的亲人 你愿意吗? 清明节,很少有人会去特地想这样一个问题:我们为什么要给过世的人修墓,然后每年固定的时间去扫墓?当农耕文化的色彩褪去,清明节的祭祀 ...
- Python 网络编程 C/S建立Socket连接
分为客户端和服务端 服务端 server.py 客户端 1 #coding=utf-8 2 import socket 3 4 client = socket.socket() #生成socket连接 ...