CVE-2010-3962逆向分析过程

来源：互联网发布：淘宝客户下单自动回复编辑：程序博客网时间：2024/04/29 05:23

这个漏洞已经发布有一段时间了，现在假期有空，分析一下当作练手。

运行环境：

Windows XP SP3

IE 6.0.2900.5512

以下将从逆向的角度，通过对汇编代码的分析，找出漏洞产生原因。

首先从网上下载CVE-2010-3962利用程序。在此附上一份下载地址：

http://www.exploit-db.com/exploits/15421/

获得漏洞利用网页之后，做了简单的测试，发现该程序无法正确执行，但可以正常出发漏洞，如果shellcode能正确执行的话，只需在shellcode开始处加入0xcc，略作调整，就能让程序断下来了。

下面开始分析用WinDbg加载IE，打开利用程序网页，当程序因出错停下来后查看寄存器和调用堆栈。

eax=7e2233f1 ebx=0012e1ec ecx=0176ae50 edx=3fffffff esi=00000000 edi=0176ae50eip=ed7e27c8 esp=0012e1a0 ebp=0012e1b0 iopl=0 nv up ei pl nz na pe nccs=001b ss=0023 ds=0023 es=0023 fs=0038 gs=0000 efl=00010206ed7e27c8 ?? ??? 0:000> kChildEBP RetAddr 0012e19c 7e291a6d 0xed7e27c80012e1b0 7e2c60e4 mshtml!CLayout::EnsureDispNodeBackground+0x970012e274 7e2c5345 mshtml!CTableLayoutBlock::EnsureTableDispNode+0x388

可以看到，是在函数mshtml!CLayout::EnsureDispNodeBackground中出现了问题。

查看mshtml!CLayout::EnsureDispNodeBackground函数的反汇编

mshtml!CLayout::EnsureDispNodeBackground:……7e291a66 8b07 mov eax,dword ptr [edi] //edi为函数第二个参数，可推测出为一类指针，则eax指向类的虚函数表7e291a68 8bcf mov ecx,edi //__thiscall,ecx传递this指针7e291a6a ff5030 call dword ptr [eax+30h] //根据偏移调用虚函数7e291a6d 85c0 test eax,eax……

可以看出是因为虚函数表被修改而造成的错误，重新运行，在mshtml!CLayout::EnsureDispNodeBackground处下断点，确定一下，发现，进入EnsureDispNodeBackground函数时，虚函数表中内容都是非法的。

下面就要想办法找到在什么地方修改了对象的虚函数表，继续根据调用堆栈向前查找，通过对mshtml!CTableLayoutBlock::EnsureTableDispNode的分析可以发现，mshtml!CLayout::EnsureDispNodeBackground中第二个参数是在EnsureTableDispNode中生成的，这样就节省了很多力气，只要跟踪EnsureTableDispNode中出错对象的改变即可。

经过测试，可以发现在第二次调用mshtml!CDispNode::SetUserClip之后，esi指向类的前四个字节，即虚函数表地址由0x7e2233f0变为0x7e2233f1，那么问题就出在mshtml!CDispNode::SetUserClip里面了。

mshtml!CDispNode::SetUserClip的调用过程如下：

7e32a11e 33c0 xor eax,eax7e32a120 898564ffffff mov dword ptr [ebp-9Ch],eax7e32a126 898560ffffff mov dword ptr [ebp-0A0h],eax7e32a12c 89855cffffff mov dword ptr [ebp-0A4h],eax7e32a132 898558ffffff mov dword ptr [ebp-0A8h],eax7e32a138 8d8558ffffff lea eax,[ebp-0A8h]7e32a13e 50 push eax7e32a13f 8bce mov ecx,esi7e32a141 e8d7410e00 call mshtml!CDispNode::SetUserClip (7e40e31d)

我们看看mshtml!CDispNode::SetUserClip都做了些什么：

mshtml!CDispNode::SetUserClip:7e40e31d 8bff mov edi,edi7e40e31f 55 push ebp7e40e320 8bec mov ebp,esp7e40e322 83ec10 sub esp,10h7e40e325 56 push esi7e40e326 57 push edi7e40e327 8bf9 mov edi,ecx //edi指向类对象指针7e40e329 8b4704 mov eax,dword ptr [edi+4] // 将CDispNode类的第一个成员变量值赋给eax7e40e32c 2500108800 and eax,881000h7e40e331 3d00108000 cmp eax,801000h7e40e336 6a0f push 0Fh7e40e338 5e pop esi //esi = 0x0f7e40e339 7548 jne mshtml!CDispNode::SetUserClip+0x66 (7e40e383) //jne跳转实现……mshtml!CDispNode::SetUserClip+0x66:7e40e383 804f0704 or byte ptr [edi+7],4 7e40e387 6800000008 push 8000000h7e40e38c 8bcf mov ecx,edi7e40e38e e8dae5e7ff call mshtml!CDispNode::SetFlagsToRoot (7e28c96d) //调用成员函数7e40e393 ff7508 push dword ptr [ebp+8] // SetUserClip的参数7e40e396 8d4df0 lea ecx,[ebp-10h]7e40e399 e8c9bce7ff call mshtml!CRect::CRect (7e28a067)7e40e39e 8d4df0 lea ecx,[ebp-10h]7e40e3a1 e8a4e8ffff call mshtml!CRect::RestrictRange (7e40cc4a)7e40e3a6 8b4704 mov eax,dword ptr [edi+4]7e40e3a9 23c6 and eax,esi //esi == 0x0f7e40e3ab 0fb688101c217e movzx ecx,byte ptr mshtml!CDispNode::_extraSizeTable (7e211c10)[eax] ds:0023:7e211c10=00 //关键！将mshtml!CDispNode::_extraSizeTable值赋给ecx，其值为07e40e3b2 8bc7 mov eax,edi7e40e3b4 c1e102 shl ecx,2 //ecx = ecx * 4 = 07e40e3b7 2bc1 sub eax,ecx //eax = eax – ecx = eax = edi = this指针7e40e3b9 830801 or dword ptr [eax],1 //虚函数表被悲剧了～～7e40e3bc 8b4704 mov eax,dword ptr [edi+4]7e40e3bf 23c6 and eax,esi7e40e3c1 0fb688101c217e movzx ecx,byte ptr mshtml!CDispNode::_extraSizeTable (7e211c10)[eax]7e40e3c8 8bc7 mov eax,edi7e40e3ca c1e102 shl ecx,27e40e3cd 2bc1 sub eax,ecx7e40e3cf 8320fd and dword ptr [eax],0FFFFFFFDh //这里本应该也会影响到虚函数表，但因为[eax]第二位恰好为0，故没造成影响7e40e3d2 8b4704 mov eax,dword ptr [edi+4]7e40e3d5 23c6 and eax,esi7e40e3d7 0fb680101c217e movzx eax,byte ptr mshtml!CDispNode::_extraSizeTable (7e211c10)[eax]7e40e3de c1e002 shl eax,27e40e3e1 2bf8 sub edi,eax7e40e3e3 83c704 add edi,47e40e3e6 8d75f0 lea esi,[ebp-10h]7e40e3e9 a5 movs dword ptr es:[edi],dword ptr [esi]7e40e3ea a5 movs dword ptr es:[edi],dword ptr [esi]7e40e3eb a5 movs dword ptr es:[edi],dword ptr [esi]7e40e3ec a5 movs dword ptr es:[edi],dword ptr [esi]7e40e3ed 5f pop edi7e40e3ee 5e pop esi7e40e3ef c9 leave7e40e3f0 c20400 ret 4

通过以上的分析，可以发现，造成错误的关键在于mshtml!CDispNode::_extraSizeTable值为0，这个值是在对象实例化的时候进行赋值的，我们在看看对象创建时的情况。

7e2c604a 33c0 xor eax,eax……7e2c607a 50 push eax7e2c607b 8d430c lea eax,[ebx+0Ch]7e2c607e 50 push eax7e2c607f e8a9fcfeff call mshtml!CDispContainer::New (7e2b5d2d) mshtml!CDispContainer::New:7e2b5d2d 8bff mov edi,edi7e2b5d2f 55 push ebp7e2b5d30 8bec mov ebp,esp7e2b5d32 ff750c push dword ptr [ebp+0Ch] //值为07e2b5d35 6a00 push 0 7e2b5d37 6a48 push 48h7e2b5d39 e8d1bdfdff call mshtml!CDispNode::operator new (7e291b0f) //调用基类的构造函数，在此跟进7e2b5d3e 85c0 test eax,eax7e2b5d40 7416 je mshtml!CDispContainer::New+0x29 (7e2b5d58) //创建不成功则跳转7e2b5d42 8b4d08 mov ecx,dword ptr [ebp+8]7e2b5d45 668148068080 or word ptr [eax+6],8080h //注意此处，稍后会加以说明 mshtml!CDispNode::operator new: //三个参数的值依次为0x48 , 0x00 , 0x007e291b0f 8bff mov edi,edi7e291b11 55 push ebp7e291b12 8bec mov ebp,esp7e291b14 51 push ecx7e291b15 51 push ecx7e291b16 8b4508 mov eax,dword ptr [ebp+8] //eax为0x487e291b19 53 push ebx7e291b1a 8b5d10 mov ebx,dword ptr [ebp+10h] //ebx为0x007e291b1d 56 push esi7e291b1e 0fb6b3101c217e movzx esi,byte ptr mshtml!CDispNode::_extraSizeTable (7e211c10)[ebx] //关键！esi为07e291b25 c1e602 shl esi,2 //esi = esi * 4 = 07e291b28 57 push edi7e291b29 03c6 add eax,esi //eax = eax + esi = eax = 0x487e291b2b 50 push eax7e291b2c e87563feff call mshtml!_MemAllocClear (7e277ea6) //分配内存7e291b31 8bf8 mov edi,eax //分配内存首地址7e291b33 85ff test edi,edi7e291b35 740e je mshtml!CDispNode::operator new+0x47 (7e291b45) //分配不成功则跳转 mshtml!CDispNode::operator new+0x28:7e291b37 03fe add edi,esi //edi = edi + esi = edi7e291b39 f6c340 test bl,40h7e291b3c 895f04 mov dword ptr [edi+4],ebx //将_extraSizeTable值赋给[edi+4]7e291b3f 0f85391b0a00 jne mshtml!CDispNode::operator new+0x32 (7e33367e)……

由以上代码可以看到，在构造函数中，默认地使用了0x00作为_extraSizeTable的大小，并将其值放入[edi+4]处，及类首地址便宜为0x04处，此时再看

7e2b5d45 668148068080 or word ptr [eax+6],8080h //注意此处，稍后会加以说明

[eax+4]处为__extraSizeTable的大小，而[eax+6]处为0x8080，可以猜测_extraSizeTable的数据大小应该为2字节，但事实是否如此，在最后还有一个说法。

通过以上的分析，可以看到，在创建CdispContainer的时候，因为使用默认的0作为_extraSizeTable的大小，从而未分配内存，在其后的mshtml!CDispNode::SetUserClip函数中，需要对_extraSizeTable进行修改，而没有进行严格的检验，从而造成了漏洞的产生。

以上就是从逆向的角度分析的该漏洞的成因，至于原理方面，在看雪已经有大牛发过该漏洞的分析贴，在此附上链接，不再赘述：

http://bbs.pediy.com/showthread.php?t=125122

可能因为环境测试环境不同，造成分析结果会有一些差异，根据个人的调试过程，在此对llydd大大的分析提出一点质疑：

.text:7E36B4C4　CDispNode::SetUserClip................................text:7E36B54D mov eax, [edi+4]　<-------当这里为0时,虚函数表就被悲剧了..text:7E36B550 and eax, esi.text:7E36B552 movzx ecx, ds:uchar const * const CDispNode::_extraSizeTable[eax].text:7E36B559 mov eax, edi.text:7E36B55B shl ecx, 2.text:7E36B55E sub eax, ecx.text:7E36B560 or dword ptr [eax], 1 <-----------------------虚函数表被改了

由前面的分析可以发现[edi+4]本身不为0，其值为0x8c800000，esi为0x0000000f，经过

7e40e3a9 23c6 and eax,esi

运算之后，eax值才为0，事实上，由esi的值应该可以确定，_extraSizeTable的数据大小只有四位。