CVE-2015-5122 简要分析

背景

最近在学习Flash漏洞的分析，其与IE漏洞的分析还是有诸多的不同（不便）之处，折腾了一阵子终于克服了没有符号表、Flash的超时定时器等问题。所以找到了去年HT事件其中的一个Flash漏洞，练练手，分析和学习。

分析

测试环境：Win7 64bit+IE10+Flash 17.0.0.169

在exp开始的时候会先判断系统是64位还是32位，然后调用利用的关键函数TryExp1。

1. InitArray

在函数TryExp1中，其会先创建一个大小为0x7e的Array，此时的Array在内存中的布局：

2. Set Array[0~0x1d]

创建Array后，接下来会将长度为0x62的unit vector赋值给Array[0]~Array[1d]，as代码段：

创建的unit vector在内存中的分布：

此时的Array：

&ArrayBuff[0~1d]:

内存中Array[0]的值:

3. Set Array[2e~7d]

接着为Array[2e~7d]赋值，这次是长度为8的unit vector，对应的as代码：

赋值完毕后，Array的内存布局.
&ArrayBuff[2e~7d]:

Array[2e]:

4. Set Array[1e~2d]

接下来TextLine对象赋给Array[1e~2d],代码：

赋值结束后，Array的内存布局。

&ArrayBuff[1e~2d]:

5.Set Array Value Over

对Array的赋值都结束后，此时Array中的内容：

6. Allocate Background object

通过为上面的TextLine设置opaqueBackground属性，接下来会分配大小0x390的Backgroud对象。分配该内存的代码段在IDA中的截图：

通过对该代码段设置断点，可以得到所有创建对象的地址：

7. override valueOf method and call it

接着，程序会重载MyClass类的valueof方法为valueof2，重新设置TextLine的opaqueBackground属性，相关代码段：

8. my valueof method

因为_mc是一个类，所以在设置opaqueBackground属性的时候，valueof2函数会被调用。

这一过程中，valueof2函数一共会被调用6次，形成一个嵌套调用，最后一次调用的时候，进入else分支中，完成Background object的释放和unit vector的占位。当valueof2函数返回的时候，还会对Backgroud操作，所以其返回值就有可能会写入到某个unit vector的头部。下面来具体分析一下这个过程：

9. free Background object

这段执行完毕后，会释放之前创建的5个Background object，利用windbg搜索和之前的object地址对比，就能够得到释放object的地址：

10. occupy the freed memory

接下来使用大小为0x190的unit vector，尝试对刚释放掉的Background object内存进行占位。

至于为什么要使用0x190大小的内存进行占位，是因为接下来会对object+320h位置进行赋值操作，这个偏移刚好是两个unit vector的内存大小，这样就有机会对unit vector的长度进行改写。

可以看到一个已经释放掉了的Background object被unit vector占据：

11. set Background value

当valueof2函数返回的时候，会使用其返回值对object+320h进行赋值，IDA中的代码段如下：

此时地址处的Background object已经被unit vector占据，改写unit vector的长度为6a:

12. get big unit vector

在得到一个较大的unit vector之后，程序会利用这个vector改写紧接其后的一个vector长度为0x4000000:

在获得这一一个超大长度的vector之后，攻击者就拥有了当前程序地址空间类，任意地址读写的能力了。

补丁对比

有点好奇Adobe是怎么来补这个漏洞的，所以分析了一下补丁。

补丁前：

补丁后：

可见，Adobe将valueof函数的调用放在了获得Background object地址之前。这样如果在valueof函数中，Background object被释放掉了，在走到语句“mov [esi+320h], bl”之前，就会再重新为其分配一块内存。

这也再一次说明了，UAF漏洞从本质上来说就是时序问题。

by：会飞的猫
转载请注明:http://www.cnblogs.com/flycat-2016

最新文章

1. python27 windows 下三种安装第三方库的办法
2. dotnetbar入门
3. 定时备份mysql
4. 一个java覆盖的例子
5. bash操作小结
6. 第二十八课：focusin与focusout,submit,oninput事件的修复
7. 【转】Http Cache最基本的一些东西
8. Uva_11762 Race to 1
9. dapper 扩展插件: Rainbow
10. javascript与jQuery选项卡效果
11. Maven项目热部署,修改代码后不用重启tomcat服务器
12. 使用 Except 和 Intersect
13. Linux学习之CentOS(十四）----磁盘管理之 硬连接与软件连接(转)
14. 缓存，热点key
15. 常用weblogic搜索关键字
16. 直接插入排序算法的C++实现
17. 使用Crash工具分析 Linux dump文件【转】
18. php 非对称加密解密类
19. 脚本中 if 判断细节
20. [IDEA插件] - 一个不错的插件

热门文章

1. table指定位置添加行
2. Js-Html 前端系列--checkbox
3. 部署 instance 到 OVS vlan100 - 每天5分钟玩转 OpenStack（138）
4. Linux笔记（一） - 目录处理命令
5. Android自定义控件系列(二)—icon+文字的多种效果实现
6. XAF-列表视图编辑模式
7. oracle if else 判断
8. template template parameter
9. 详解一下网络广告cpc、cpm、cpl、cpa、cps、cpr的计费方法是什么
10. Android Studio利用异步任务AsyncTask发送post请求获取json数据