好了，来到关键的第三次 rep movsd

查看拷贝的数据

0:006> du esi L2 * ecx

020f0910  "/aaaaaaa潨硣睡焳椶䝲稹䭷佰畓穏䡨噣浔桅㥓偬啧杣.䘰硅楒吱"

...(lines have been omitted)...

020f0a10  "Ꮐ栃䠴攱潃湦瑁䍬Ꮐ栃千橁灒.塦䉌灋捆关祁穐䩬>"

拷贝前，对比一下目的地址的原始数据和源地址的数据

忍不住又要剧透了，这次拷贝的关键在于覆写地址 0x00fef90c 处的数据，数据 0x00FEF804 修改为 0x680312C0，这不是一个巧合。

单步过去，然后 G 起来

中断到上层函数，看看这次的参数

0:006> dds esp L3

00fef7a0  680312c0 rsaenh!g_pfnFree+0x4

00fef7a4  00fef800

00fef7a8  00000000

经过前面的调试，已经知道地址 0x680312c0 肯定会作为目标地址被拷贝数据，那么就，围观一下这段内存空间

这就是初初调试时感到美妙的地方，0x680312c0 这个值是哪里冒出来的？这可是别人的模块

查看上下文环境

那么地址 0x00fef7b8 的数据 0x680312c0 又从哪里来的呢？

重新运行样本，对地址 0x00fef7b8 下个写断点

0:006> ba w4 00fef7b8

留意地址 0x00fef7b8 处数据的值，执行到这里时出现我们寻找的值

查看上下文环境

edi 的值来自 [ebp-328h]

0:006> dd ebp-328h L1

00fef90c  680312c0

这就是前面剧透的，拷贝数据时，地址 0x00fef90c 处的数据由 0x00FEF804 修改为 0x680312C0

取消该写断点，G一下，中断到上层函数，地址 0x00fef90c 处的数据没有变化

如上所述，当前参数如下

0:006> dds esp L3

00fef7a0  680312c0 rsaenh!g_pfnFree+0x4

00fef7a4  00fef800

00fef7a8  00000000

以上整个过程中，弄清了第一次大规模拷贝数据的意义：控制第二次大规模拷贝数据的目的地址

现在分析第二次大规模拷贝，G 一下，直接断在第三次 rep movsd 处

是的，目的寄存器 edi 的值在内存中属于 rsaenh.dll 模块

查看拷贝的源数据

0:006> du esi L2 * ecx

020f2898  "/bbbbbbb祈慵佃潧歯䡅㙆杵䐳㡱坥婢吵噡楒橓兗㡎奈捕䥱䍤摲㑨"

...(lines have been omitted)...

020f2e58  "L3W9P5POO0F2SMXJNJMJS8KJNKPA>"

拷贝之后的内存数据

现在分析第三次大规模数据拷贝，来到上层函数

0:006> dds esp L3

00fef944  00fefab4

00fef948  00fef9a4

00fef94c  00000000

G 一下，断在第三次 rep movsd 处

查看源数据，和第一次大规模拷贝的数据相同

0:006> du esi L2 * ecx

020f0730  "/aaaaaaa潨硣睡焳椶䝲稹䭷佰畓穏䡨噣浔桅㥓偬啧杣.䘰硅楒吱"

...(lines have been omitted)...

020f0830  "Ꮐ栃䠴攱潃湦瑁䍬Ꮐ栃千橁灒.塦䉌灋捆关祁穐䩬>"

拷贝之后的内存数据

这次大规模拷贝的数据，连上第一次 rep movsd，是从地址 0x00fefab4 开始的

G一下，再次来到上层函数

查看参数

0:006> dds esp L3

00fef944  00fefab4

00fef948  00fef9a4

00fef94c  00000000

此次的参数跟上一次参数是相同的，上一次已经向地址 0x00fefab4 拷贝了数据，经过调试，现在没有大规模数据拷贝了，跟进 httpext!ScStoragePathFromUrl 函数

单步来到地址 0x67126cc4 处，继续单步步入

67126cc4 e80cc90000      call    httpext!ScStripAndCheckHttpPrefix (671335d5)

httpext!ScStoragePathFromUrl 函数中，关键代码如下


单步到地址 0x671335e8 处

很明显 ecx 是 this 指针，ecx 给到 edi，edi 取内容给 eax，那么 eax 此时是虚表指针

继续单步

调用虚函数，进入第二次大规模布置数据的内存中

继续单步步入，首先是换栈操作

68016082 8be1            mov     esp,ecx

68016084 8b08            mov     ecx,dword ptr [eax]

68016086 8b4004          mov     eax,dword ptr [eax+4]

68016089 50              push    eax

6801608a c3              ret

经过 ROP 链和解密 shellcode 后，执行到

680315fa ffe0            jmp     eax {kernel32!WinExec (77ea411e)}

查看命令行参数

0:006> db poi(esp + 4) L9

68031633  63 61 6c 63 2e 65 78 65-00                     calc.exe.


运行起来，如图所示，产生 calc.exe 进程(为了方便调试，前文已经提过，加载 w3wp.exe 之前运行一次样本已经存在一个 calc.exe 进程)

该结束了，可是好像只用到了前两次大规模的数据，那么第三次拷贝的意义在哪里呢？

其实第三次拷贝数据之后，调用 CMethUtil::ScStoragePathFromUrl 之前，来到 CParseLockTokenHeader::HrGetLockIdForPath 函数

以下几句代码就是 ecx 的值的来源

单步围观

看见了，内存地址 0x00fefbe8 在第三次大规模数据拷贝的地址范围，其内容为后续调用用到的 this 指针

0x4 总结 & 致谢

——————————

该漏洞的成因是没有对输入数据进行有效的长度检查造成溢出。样本通过三次精妙的数据拷贝稳定利用该漏洞。第一次拷贝的目的是控制第二次拷贝的数据位置，将第二次拷贝的数据布置到一个可读可写可执行的模块空间中，第二次拷贝向该可控空间中写入 ROP 链和 Shellcode，第三次拷贝的目的是修改 this 指针、虚表指针以及虚表的值，使得样本执行成功劫持虚函数

第一次发帖，虽然行文烦琐，仍然在此感谢武汉科锐的钱老师带我走进逆向大门一窥二进制的精彩世界。钱老师认真的治学态度、丰富的逆向经验以及对待生活的热情给人许多启发和帮助、受益匪浅。

0x5 参考资料

——————————

[1]

[2]

     更正作者一处笔误：

     原文中： "PoC 绕过栈返回地址保护的方法就是修改 IEcb 对象结构地址到 0x680312C0"

     应该是：0x680313C0

[3]

     更正作者一处笔误：

     原文将内存地址 0x680312c0 描述为堆地址，不是特别恰当，如上文调试中显示，这个地址属于 rsaenh 模块

本文由看雪论坛 花剌子模 原创

❤ 往期热门内容推荐

• 看雪众测及其渗透测试服务介绍

• PHP 7 漏洞挖掘系列之一：Stack-based integer overlow

• 电信又曝漏洞！可随意查看个人通话信息！

• VirtualHook—基于 VirtualApp 的 Java 代码 hook 工具
  

• WEB渗透测试中回显的一些技巧

• 报名 |《走近企业看安全》第10站 知道创宇
  

• ......
  

更多优秀文章，长按下方二维码，“关注看雪学院公众号”查看！

看雪论坛：http://bbs.pediy.com/

微信公众号 ID：ikanxue

微博：看雪安全

投稿、合作：www.kanxue.com