office CVE-2015-1641杂谈

之前看CVE-2017-11826的时候发现该漏洞和早年的CVE-2015-1641不仅在漏洞类型上相似,甚至部分漏洞代码也一致,遂将之前的分析有回顾了一下,留个记录。

 

具体触发漏洞的字段如下所示,为<w:p>标签下的四个smartTag,该标签用于word和excel中的智能标签,针对任命,日期,时间,地址,等进行智能识别并允许用户执行特征操作的标签,其中displacedByCustomxml字段在多个标签中被使用,其目的在于标记当前标签被一个cumtomxml标签替代,替代的方式基于displacedByCustomxml字段的参数,prev表示上一个,next表示下一个,该漏洞的本质在于wwlib中相关的标签解析函数在处理customxml标签是没有进行校验,导致customxml可被混淆为smartTag标签,从而导致代码执行。

 

由于手中的是标准的利用样本,无法触发函数的崩溃,因此需要对该样本进行改造,这里的思路在于将除了漏洞触发以外的ole objdata代码删除,从而导致利用代码执行出错崩溃(一般样本有三或四个ole对象,区别在于是否具备绕过alsr的ole,找到对应的漏洞出发ole对象,其他的全部删除即可)。

此时再运行调试器断下。 

Heapspra内存如下所示:

 

09c9080c即为对应的漏洞利用后跳转的shellcode地址。

 

Poc断下的地址处对应的代码如下所示,由于trigger处,ecx中指向的地址为非法地址导致调试器崩溃断下,此处知道对应的漏洞触发函数,即可设置断点,并运行正常的样本。

断点如下:bp wwlib+0x00009d30,如下图所示此时红框中函数的参数如下所示

Eax:7c38bd50(SmartTag element 值)

Esi:标签层级

Src:smartTag下的w:id值

 

如下图所示

 

进入fun_cpy1_Vul_17_11826_Vul_1641,之后执行函数fun_CalcspectalTagobject(详见11826分析),该函数通过这两个参数(两个参数分别为taglist base address及index,由此可知此处的element被作为taglist base address来计算对应的标签对象地址)会返回一个具体的标签对象地址,之后通过函数fun_cpy_Vul_17_11826_Memcpy_1641将参数src中的内容拷贝到该地址中(可以看到起逻辑和11826中十分相似)。

如下图所示进入对应的fun_CalcspectalTagobject函数前。

 

具体的计算代码如下所示(对象地址+对象头长度+对象长度*index),如下所示

 

taglist base + head len + index * objectsize

0x7c38bd50 + 0x18 + 3 * 4 = 0x7c38bd74。

如下所示生成地址0x7c38bd74

 

进入拷贝函数。

 

拷贝前

 

拷贝后,写入的值为ffffe696。

 

之后处理第二个tag,同样的公式,此时

taglist base + head len + index * objectsize

0x7c38bd68 + ffffe696 +6*7 = 0x7c38a428,此时可以看到head len的值即为上次写入的ffffe696,用于辅助第二个标签生成对应的地址(此时第一次写入的位置为第二次tag对象的headlen域),以此控制生成对应的写入地址。

 

进入之后的拷贝函数。

 

如下所示0x7c38a428这个地址原本保存了kernel32!FlsGetValueStub的地址

 

此时写入的地址为7c376fc3,该地址代码如下所示:

 

之后的第三,第四个标签和之前一致,用于将9c90808写入到0x7c38a430中。

下断点到前面的劫持地址7c376fc3,重新运行,漏洞触发,布置好两处写入地址后,之后的程序会调用之前修改的0x7c38a428函数指针,即kernel32!FlsGetValueStub的函数调用,而该地址已经被修改为7c376fc3。

 

运行到7c376fc3,通过简单的操作设置好esp栈值后,通过ret返回。

 

通过回溯可知实际上对该函数指针的调用处如下所示,其传入的参数ecx为之前修改过的指向9c90800的7c38a430。

9c90808通过计算得出9c9080c,并布置于esp上,最后ret返回进入该heapspray布置的shellcode处执行。

 

进入shellcode。

 

此时再来回顾之前的触发漏洞poc,如下所示的4个smartag两两配合,用于完成两次内存写入,每次内存写入依赖两个smarttag,第一个用于初始化真实写入的地址,第二次通过第一次初始写入的地址,生成最后的写入地址。前两个smarttag用于完成对函数指针的篡改劫持,后两个smarttag用于准备篡改后的函数参数,之后wwlib往后运行到劫持函数时导致代码执行。

 

具体的篡改流程如下所示:

 

回溯trigger函数,其父函数调用如下所示,可以看到*(v9+4)即为指向element的指针,SRC为对应的写入id,v9的值来自于v27+0x44的位置。 

往上回溯,可以看到v27来自于v25,而v25的值为fun_GettagObject,很熟悉吧,在之前CVE-2017-11826的文章中我们提到该函数用于返回具体的tag标签的对象。

 

通过分析发现进入解析smartag解析流程时,对应的xml返回的结构如下所示,其中Tagobeject[3]标签为此时返回的标签,对应Tagobeject[3]+44的位置即为之后导致漏洞的所谓smarttag结构,(Tagobeject[3]+44)+4位置指向smarttag中对应的element。

 

如下图所示可知每个对象对应的xml中的标签,对于正常的子costomxml标签而言,其taglist应该位于(Tagobeject[3]+44)+4中的位置,由于wwlib对costomxml及smarttag的校验不严,构造非法的smarttag标签被costomxml的代码逻辑处理,最为致命的在于,此时的处理中smarttag标签的element被识别为taglist的baseaddress,导致在标签解析时fun_CalcspectalTagobject函数计算出的对象地址为攻击者所控制(通过两个smarttag标签可实现指定地址的写入),而costomxml的处理逻辑中fun_CalcspectalTagobject计算的地址后续会进行内存写入,此时写入的值正好也是攻击者可控的smarttag中的id字段,此时攻击者具备完整的内存任意地址写的能力,从而导致代码执行

补丁代码中,在进入Tagobeject[3]+44的处理前,会对Tagobeject[3]+48处的函数指针进行校验,以防止不合法的标签混入。

 

相关断点

bp wwlib+0x00009d30 ".if(ecx = 7c38bd50 | ecx = 7c38bd68| ecx = 7c38bd60| ecx = 7c38bd80){.printf\"woca1\\n\"}.else{gc}"  four memory copy

bp wwlib+0x00e1211c  get parent tag object of smarttag

 

相关参考

http://www.freebuf.com/vuls/81868.html

https://paper.seebug.org/351/

 

 转载请注明出处

posted @ 2018-04-14 16:58  goabout2  阅读(531)  评论(0编辑  收藏  举报