CVE-2015-5122 簡要分析(2016.4)

時間 2019-11-18

標籤 cve 簡要分析 2016.4 简体版

原文原文鏈接

CVE-2015-5122 簡要分析

背景

最近在學習Flash漏洞的分析，其與IE漏洞的分析仍是有諸多的不一樣（不便）之處，折騰了一陣子終於克服了沒有符號表、Flash的超時定時器等問題。因此找到了去年HT事件其中的一個Flash漏洞，練練手，分析和學習。ide

分析

測試環境：Win7 64bit+IE10+Flash 17.0.0.169函數

在exp開始的時候會先判斷系統是64位仍是32位，而後調用利用的關鍵函數TryExp1。佈局

1. InitArray

在函數TryExp1中，其會先建立一個大小爲0x7e的Array，此時的Array在內存中的佈局：學習

2. Set Array[0~0x1d]

建立Array後，接下來會將長度爲0x62的unit vector賦值給Array[0]~Array[1d]，as代碼段：測試

建立的unit vector在內存中的分佈：
3d

此時的Array：
對象

&ArrayBuff[0~1d]:
blog

內存中Array[0]的值:

事件

3. Set Array[2e~7d]

接着爲Array[2e~7d]賦值，此次是長度爲8的unit vector，對應的as代碼：內存

賦值完畢後，Array的內存佈局.
&ArrayBuff[2e~7d]:

Array[2e]:

4. Set Array[1e~2d]

接下來TextLine對象賦給Array[1e~2d],代碼：

賦值結束後，Array的內存佈局。

&ArrayBuff[1e~2d]:

5.Set Array Value Over

對Array的賦值都結束後，此時Array中的內容：

6. Allocate Background object

經過爲上面的TextLine設置opaqueBackground屬性，接下來會分配大小0x390的Backgroud對象。分配該內存的代碼段在IDA中的截圖：

經過對該代碼段設置斷點，能夠獲得全部建立對象的地址：

7. override valueOf method and call it

接着，程序會重載MyClass類的valueof方法爲valueof2，從新設置TextLine的opaqueBackground屬性，相關代碼段：

8. my valueof method

由於_mc是一個類，因此在設置opaqueBackground屬性的時候，valueof2函數會被調用。

這一過程當中，valueof2函數一共會被調用6次，造成一個嵌套調用，最後一次調用的時候，進入else分支中，完成Background object的釋放和unit vector的佔位。當valueof2函數返回的時候，還會對Backgroud操做，因此其返回值就有可能會寫入到某個unit vector的頭部。下面來具體分析一下這個過程：