WinDbg 漏洞分析调试（一）

0x00 引子

最近开始要在部门内进行 WinDbg 漏洞分析方面的专题showcase，打算将每次分享的内容整理成文章，希望能写一个系列。另外，鉴于笔者还在学习中，不对的地方还望各位多多指正:D

0x01 概述

本文将作为此系列的开篇，首先会提及Windows进程的知识，而后就进入正式的漏洞分析，此次选的是一个IE漏洞（CVE-2012-1876）。需要说明一点，随着微软在自身安全上的不断改进，漏洞利用的难度也越来越大，出于学习目的这里主要关注比较经典的漏洞，虽然有些可能比较老了，但还是很有借鉴意义的。

0x02 Windows 进程

下面将通过实际例子对Windows进程做个概述，内容比较基础。

在逆向分析中，进程往往作为基本的调试单元，因此对其的理解是有必要的。这里我们先打开IE浏览器，可以知道对每个选项卡IE都会创建一个子进程来处理，接着我们打开WinDbg并附加到当前的IE页面进程，“|”和“~”命令可用于查看进程和线程的状态，注意前面有个小点的是此时所处的进程和线程，可以看到一个进程中包含有多个线程：

当然，如果需要WinDbg也是可以同时调试多个进程的，更详细的内容我们可以通过“!peb”和“!teb”命令来查看，其中PEB（Process Environment Block）存放着进程信息，而TEB（Thread Environment Block）则存放着线程信息。同时，通过“!address”命令可列出进程的地址空间信息，如下是用户模式下从地址0x00000000开始到0x80000000的信息，只给出部分：

可以看到用户进程空间中一般包含主模块、共享模块、堆栈资源等，相应的虚拟内存页也都有着各自的属性状态。

那么对于这样的进程是如何从无到有创建起来的呢？这就不得不提PE格式了，比如上面的exe、dll模块都是属于这种类型的文件，简单来看PE文件包含了DOS头、PE头、节表以及节数据，二进制数据将按装入内存后的页属性归类到不同的节中，而各个节中的数据按用途又可以被分为导出表、导入表、重定位表等数据块，通过“!dh [标志] 模块地址”命令可以显示非常详细的PE头信息。当我们运行iexplore.exe的时候，操作系统将分配所需资源并按照此PE文件中的信息完成加载，即进程的创建。一般来说，PE文件的加载过程是由操作系统提供的PE Loader功能实现的，但我们也可以自己手动实现此过程，比如ReflectiveLoader这个技术，它就能在当前进程中完成一个独立dll的加载，一些勒索病毒就是用的这个技巧来躲避杀软。我们可以由此技术大体了解下PE Loader的功能，首先是查找kernel32等模块中的特定函数，即获取模块基址和处理PE格式，而后申请空间写入节数据、处理输入表和重定位表等，最后跳转到执行入口，即模拟原先操作系统的加载。

我们可以简单看下如何获取kernel32模块的基址，这里由查找LDR链实现，即FS:[30] -> _PEB_LDR_DATA -> _LDR_DATA_TABLE_ENTRY：

这样我们就获取了kernel32模块的基址，接着就可以解析PE格式来继续后面的操作了。总体来看，要更好理解进程的创建需要了解相关的PE文件数据结构以及一些操作系统的数据结构，而WinDbg可以作为其中一个很好的学习工具，当然，完整的进程创建还是比较复杂的，除了这里关注的加载过程，还包括资源的分配管理等。

最后提一下WinDbg，它的相关命令可以参考这里，实际操作几次会熟悉的快点，此外，一定要设置好符号文件，毕竟在没有源码的情况下如果能有符号文件，那么对调试二进制文件来说将有莫大的帮助。

0x03 CVE-2012-1876 成因分析

接下来我们将借助WinDbg来详细跟一下CVE-2012-1876这个漏洞的成因，至于利用部分我们将在下回讨论。

1、漏洞简介

这是一个IE浏览器的漏洞，成功利用可实现远程代码执行，在Pwn2own 2012上VUPEN团队就用其攻陷了IE9。错误出在mshtml.dll这个模块的CTableLayout::CalculateMinMax函数里，程序在执行时会以HTML代码中\元素的span属性作为循环控制次数向堆空间写入数据，如果此span值设置的不当，那么就会引发堆溢出问题。

其中mshtml.dll模块是IE中的重要组件，它用来解析页面中的HTML和CSS，我们后续的分析也主要集中在此模块中。如下列出了IE中的主要组件，可参考微软的说明：

图0 Internet Explorer的主要组件

2、漏洞成因

用到的分析环境为Win7 x86 - IE 8.0.7601.17514，装完系统后默认的就是此IE版本，后面的分析都是在此环境下进行的。这部分内容我们将通过如下的PoC代码来梳理：

<html>  
<body>  
    <table style="table-layout:fixed" >
        <col id="132" width="41" span="6" >&nbsp </col>
    </table>

    <script>

    function over_trigger() {
        var obj_col = document.getElementById("132");
        obj_col.width = "42765";
        obj_col.span = 666;
    }

    setTimeout("over_trigger();",1);

    </script>
</body>  
</html>  

上述代码的功能还是很清晰的，最开始创建时span的属性值为6，而后通过js中的over_trigger()函数将其动态更新为666，当然，更新后的值可以是任意的，只要能保证溢出就可以了。另外，width的属性值和写入堆空间的内容有关，这个后面会再提。

将PoC保存为html文件并双击打开，会弹出阻止提示，此时用WinDbg附加IE进程，附加列表中会有两个IE进程，选择后一个，即当前选项卡对应的子进程。这里假设你的符号文件都已经配置好了，我们通过“.reload /f”命令强制加载，“lm”命令可以查看加载的结果。

···

注：受字数限制，完整版请点击阅读原文。