通过异常处理机制实现漏洞利用 - MS09-032漏洞分析与利用<\/h1>

0x1 MS09-032漏洞简介<\/h2>

MS09-032是微软DirectShow MPEG-2视频ActiveX控件中的远程代码执行漏洞，具体信息如下：<\/p>

微软编号：MS09-032<\/li>
CVE编号：CVE-2008-0015<\/li>
补丁号：KB 973346<\/li>
受影响组件：msvidctl.dll（路径：C:\WINDOWS\system32\msvidctl.dll）<\/li>

漏洞类型：参数传递错误导致的S.E.H覆盖漏洞<\/li> <\/ul>

漏洞原理：程序员将传入参数buff<\/code>误写为&buff<\/code>，导致数据被写入错误的内存位置，恰巧该位置附近存放着S.E.H异常处理函数指针，可通过覆盖S.E.H并结合Heap spray技术实现利用。<\/p>

0x2 Windows异常处理机制<\/h2>
S.E.H（Structure Exception Handler）基本结构<\/h3>
S.E.H是Windows异常处理机制的重要数据结构，每个S.E.H包含：<\/p>

8字节大小（两个DWORD指针）

第一个DWORD：Next S.E.H recoder（指向下一个S.E.H的指针）<\/li>
第二个DWORD：Exception handler（异常处理函数句柄）<\/li>
<\/ul>
<\/li>
<\/ul>
S.E.H关键特性<\/h3>

S.E.H结构体存放在系统栈中<\/li>
线程初始化时自动安装一个S.E.H作为默认异常处理<\/li>
栈中通常同时存在多个S.E.H<\/li>
多个S.E.H通过链表指针在栈内形成单向链表（栈顶→栈底）<\/li>
链表顶端的S.E.H通过T.E.B（线程环境块）0字节偏移处的指针标识<\/li>
异常发生时，操作系统从T.E.B开始依次尝试异常处理函数<\/li>
所有处理函数都失败时，系统使用默认异常处理函数（通常会弹出错误对话框并关闭程序）<\/li>
<\/ol>
0x3 实验环境准备<\/h2>

操作系统：Windows XP SP3<\/li>
调试工具：

OllyDbg（OD）<\/li>
IDA Pro<\/li>
<\/ul>
<\/li>
浏览器：IE7<\/li>
漏洞文件：msvidctl.dll版本6.5.2600.5512<\/li>
<\/ul>
0x4 漏洞原理分析<\/h2>
POC代码分析<\/h3>
POC使用HTML页面触发漏洞，主要包含以下关键部分：<\/p>


Heap Spray技术实现<\/strong>：<\/p>
var<\/span> nop<\/span>=<\/span>"\u9090\u9090"<\/span>; 
<\/span><\/span>var<\/span> shellcode<\/span>=<\/span>"\u68fc\u0a6a\u1e38\u6368\ud189\u684f..."<\/span>; \/\/ 弹窗shellcode
<\/span><\/span><\/span><\/span>
<\/span><\/span>\/\/ 生成1MB大小的nop滑板
<\/span><\/span><\/span><\/span>while<\/span>(nop<\/span>.length<\/span><=<\/span>0x100000<\/span>\/<\/span>2<\/span>) { nop<\/span>+=<\/span>nop<\/span>; }
<\/span><\/span>nop<\/span>=<\/span>nop<\/span>.substring<\/span>(0<\/span>,0x100000<\/span>\/<\/span>2<\/span>-<\/span>32<\/span>\/<\/span>2<\/span>-<\/span>4<\/span>\/<\/span>2<\/span>-<\/span>shellcode<\/span>.length<\/span>-<\/span>2<\/span>\/<\/span>2<\/span>);
<\/span><\/span>
<\/span><\/span>\/\/ 创建200个内存片（约200MB）
<\/span><\/span><\/span><\/span>var<\/span> slide<\/span> =<\/span> new<\/span> Array();
<\/span><\/span>for<\/span>(var<\/span> i<\/span>=<\/span>0<\/span>;i<\/span><<\/span>200<\/span>;i<\/span>++<\/span>) {
<\/span><\/span>  slide<\/span>[i<\/span>] =<\/span> nop<\/span> +<\/span> shellcode<\/span>;
<\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>

ActiveX控件触发<\/strong>：<\/p>
var<\/span> myObject<\/span>=<\/span>document.createElement<\/span>('object'<\/span>);
<\/span><\/span>DivID<\/span>.appendChild<\/span>(myObject<\/span>);
<\/span><\/span>myObject<\/span>.width<\/span>=<\/span>'1'<\/span>;
<\/span><\/span>myObject<\/span>.height<\/span>=<\/span>'1'<\/span>; 
<\/span><\/span>myObject<\/span>.data<\/span>=<\/span>'.\/logo.gif'<\/span>; \/\/ 加载畸形文件触发异常
<\/span><\/span><\/span><\/span>myObject<\/span>.classid<\/span>=<\/span>'clsid:0955AC62-BF2E-4CBA-A2B9-A63F772D46CF'<\/span>; 
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
漏洞触发流程<\/h3>

Heap Spray分配约200MB内存，覆盖0x0C0C0C0C地址处的数据<\/li>
加载畸形MPEG-2文件触发异常<\/li>
异常发生时，S.E.H的异常处理函数指针已被覆盖为0x0C0C0C0C<\/li>
程序跳转到0x0C0C0C0C执行，该处已被nop指令覆盖<\/li>
EIP滑过nop后执行shellcode<\/li>
<\/ol>
关键漏洞点分析<\/h3>
通过调试发现：<\/p>


异常发生在msvidctl.dll<\/code>的0x59F0D5A8<\/code>地址处，指令为：<\/p>
cmp dword ptr [ebx+8], esi
<\/code><\/pre>
尝试读取无效内存地址ds:[00000028]<\/code>导致异常<\/p>
<\/li>

漏洞根源函数位于0x59F0D3BA<\/code>，是一个递归函数<\/p>
<\/li>

关键错误发生在0x59F0D74D<\/code>处的ReadFile<\/code>调用：<\/p>

本应传递[EBP+8]<\/code>（安全数组指针）<\/li>
实际传递了EBP+8<\/code>（指针地址本身）<\/li>
导致数据被写入错误的内存位置（EBP+8<\/code>而非[EBP+8]<\/code>）<\/li>
<\/ul>
<\/li>

错误写入位置距离最近的S.E.H句柄仅48字节（S.E.H位于0x01E0922C<\/code>）<\/p>
<\/li>
<\/ol>
畸形文件构造<\/h3>
要在MPEG-2文件数据部分的41-48字节处放置：<\/p>

0xFFFFFFFF（伪造Next S.E.H）<\/li>
0x0C0C0C0C（覆盖异常处理函数指针）<\/li>
<\/ul>
这样当异常触发时，程序会跳转到0x0C0C0C0C执行shellcode。<\/p>
0x5 漏洞利用总结<\/h2>


利用条件<\/strong>：<\/p>

通过Heap Spray占领内存<\/li>
构造特殊畸形文件<\/li>
触发异常处理流程<\/li>
<\/ul>
<\/li>

利用关键<\/strong>：<\/p>

利用参数传递错误覆盖S.E.H<\/li>
精确控制覆盖位置和内容<\/li>
结合Heap Spray提高命中率<\/li>
<\/ul>
<\/li>

防护机制绕过<\/strong>：<\/p>

Vista\/2008系统虽有保护机制，但漏洞仍然存在<\/li>
需要额外技术绕过保护执行shellcode<\/li>
<\/ul>
<\/li>
<\/ol>
0x6 防御建议<\/h2>

及时安装微软安全补丁KB 973346<\/li>
禁用或限制ActiveX控件执行<\/li>
启用DEP（数据执行保护）等缓解措施<\/li>
对浏览器进行安全加固，限制脚本执行权限<\/li>
<\/ol>
附录：相关技术术语<\/h2>

Heap Spray<\/strong>：一种内存分配技术，通过大量分配包含shellcode的内存块，增加攻击成功率<\/li>
S.E.H<\/strong>：结构化异常处理，Windows处理程序错误的核心机制<\/li>
ActiveX<\/strong>：微软的组件对象模型技术，允许网页嵌入可执行内容<\/li>
DEP<\/strong>：数据执行保护，防止在非可执行内存区域执行代码的安全特性<\/li>
<\/ul>