该漏洞为office中的一处混淆漏洞,相应的poc如下所示:可以看到其中font标签未闭合。
该漏洞中一个重要的点在于明白对应poc中解析标签在内存中的结构,如下所示为其中漏洞触发时的地方,这里有两个重要的函数即fun_GettagObject,fun_CalcspectailTagobject,
fun_GettagObject:返回当前tag对象,传入的参数为一个taglist对象,实际索引依赖于fun_CalcspectailTagobject
fun_CalcspectailTagobject:通过传入的level层级返回数组中对应的tag对象,如下所示漏洞触发时使用的正是fun_CalcspectailTagobject返回的Tagobject对象,在poc下该对象被混淆为一个font对象,从而导致后续调用对象虚表函数时的代码执行。
具体的Taglist/TagObject结构如下所示(这个地方感谢部门魔法师同学的提醒):
如下所示为对应的fun_GettagObject函数,该函数的参数为一个Taglist,首先获取对应的current_index,之后通过fun_CalcspectailTagobject获取当前curren_index标记的Tagobject
fun_CalcspectailTagobject,首先比较索引层级和当前层级,之后获取对应TagObect数组中对应的tag对象,公式为taglist base address + head len + index * tagobject len
如下图所示为正常对应的Taglist在内存中的布局,头部长度为0x10,偏移0x0的位置为current_index,之后为对应TagObject arragy,如下所示
将下图对应到poc中,可以看到此时对应的标签,由于对象存在数组中,所以实际标签层级要比数组中大一,这也就是索引时减一的原因。
下图为漏洞函数的父函数,在处理对应的poc时,font标签会在fun_copy5_Vul_17_11826中生成并完成对应对象的初始化,然后返回,而对于其余的标签,如oleobject则在第二个红框fun_may_TagobjInit中完成初始化,注意初始化时会将taglist中的curren_index+1,如oleobject对象进入漏洞父函数是current_index为3,在fun_may_TagobjInit中完成初始化后变成4(即实际的level,对照上图),font进入漏洞函数父函数时current_index为4,fun_copy5_Vul_17_11826执行之后为5。
当一个标签解析完后,会调用以下函数对current_index减一,如正常闭合font标签的doc中在解析完font后会将current_index减一,之后再进入到idmap的解析流程中,而office中这个减一的过程应该是依赖于结束标签,至少font标签如果没有对应的结束标签则不会对curren_index减一,这也是导致该漏洞的根本原因(即无闭合标签,导致fun_may_sub函数未调用,Taglist中的current_index未减一,后续标签寻址的时出错)。
通过以下断点对比正常doc和漏洞poc标签处理的过程,可以首先下第一个断点,断下之后g两次,然后再下后续的断点,这样可以减少大量不必要的断下。
bp wwlib+0x000861d4 ".printf \"vul_fun\";du poi(poi(esp + 8) + 18) Lpoi(poi(esp + 8) + 1c);dc poi(poi(poi(esp + 4) + b14)) L8"
bp wwlib+0x0003d3fb ".printf \"parent_fun\";du poi(poi(esp + 8) + 18) Lpoi(poi(esp + 8) + 1c);dc poi(poi(poi(poi(esp+4)+b10) + b14)) L8"
bp wwlib+0x0003d5e9 ".printf \"font copy and level+1\\n\""
bp wwlib+0x0004e3a8 ".printf\"tag level+1\\n\""
bp wwlib+0x00033aad ".printf\"font level-1\\n\""
如下图所示可以看到左右两边分别是从处理oleobject开始到漏洞触发函数正常和不正常的文档的标签输出(左为正常doc,右为poc),其中最大的区别就在于正常情况下font会对current_index中减一,最终到处理idmap时进入漏洞父函数时为4,之后+1=5,最后传入漏洞函数时为5,而poc中传入漏洞函数时为6。
回到触发漏洞时的代码,此时如果是正常情况,进入idmap是current_index为5,函数fun_CalcspectialTagobject中索引的位置为5-2=3,即Tagobject array[3]的对象,为oleobject对象,但是当运行poc时,current_index为6,6-2=4,即Tagobject array[4]的对象,为font对象,即正常情况上用于处理oleobject对象的代码,被用于处理font对象,由于这两个对象在内存中是完全不同的内存布局从而导致代码执行。
下图为触发时通过fun_CalcspectialTagobject返回的Tagobj对象,可以看到该对象就是font对象
下图为漏洞触发时对应的Taglist,可以看到正常应该调用时获取的应该是Tagobject[3]的oleobj对象,由于漏洞导致current_index未减一,通过6-2=4获取的却是之后Tagobject[4]中的font对象,反应到之后具体的比特位就是正常应该返回03a07780,却返回了05696b00
可以看05696b00+44的位置就是poc中攻击者可控的heap sprey地址,从而导致之后call [ecx+4]时代码执行,而正常的03a07780+44位置是一处虚表,从而在call [ecx+4]中调用的时正常的函数处理流程。
相关参考:
https://www.anquanke.com/post/id/87122
https://bbs.pediy.com/thread-221995.htm
感谢魔法师的提醒-_-
转载请注明出处