码迷,mamicode.com
首页 > 其他好文 > 详细

cve-2015-5199漏洞分析

时间:2015-08-06 20:21:39      阅读:194      评论:0      收藏:0      [点我收藏+]

标签:

继续之前hackteam的flash漏洞,这次的对象为cve-2015-5199,遂做一下记录。

首先,在该exp中TryExpl函数为漏洞的触发函数,该函数也为本次调试的主要对象,函数的开始首先创建两个Array对象a和_gc.

技术分享 

此处对Array函数下断,对象断在array。

 技术分享

函数返回之后a  array对象生成,地址为04115a30,对于Array对象在其偏移+10的地方保存了实际Array内容的地址。此处为03d800d8,03d800d8+8即可观察到array中实际保存的内容。

 技术分享

Gc array对象生成,此处为04115a30。

 技术分享

将a(喷射对象)保存在_gc中,此处主要是考虑到之后会有大量的释放操作,以此来保护a对象内存。

技术分享 

gc.push(a),push之后,a对象的地址保存到了_gc对象中,如下图所示。

技术分享 

开始对a进行循环赋值,一共操作5a次。

技术分享 

技术分享

生成一次之后,得到一组MyClass2,ByteArray,MyClass2的内存结构。

技术分享

A对象中对应的两个myclass2和一个array

技术分享 

对应的myclass2

技术分享 

具体对MyClass2结构的布局如下

 技术分享

接下来详细分析一个MyClass2对象的生成过程,下图的call eax jitcode中,实现对MyClass2对象的生成。

 技术分享

该处完成0x11223344赋值,该处jit结束之后,myclass2已经完成赋值。

 技术分享

生成的Bytearray。

 技术分享

生成的第二个Myclass2

 技术分享

循环几次之后a中保存的多组结构。

 技术分享

 

如下图图所示,最后生成的a ,注意由于内存分配的原因,可以发现,在分配的一开始,每一组myclass2,array,myclass2在内存中并不是连续的,如下图所示,之后内存的分配趋于稳定,最后形成的每一组中的这三个对象在内存空中内存布局连续,这也是为什么之后的exp中循环赋值的时候是从数组后面往前赋值的原因,因为后面内存连续。

技术分享 

a中内存布局完成之后,进入以下循环,在该循环中,会依次将a中Bytearray赋值给_ba,之后MyClass对象的赋值将导致valueof函数的调用。

 技术分享

对应的valuefo函数,该函数中对ba.length的修改,将导致a中对应的Array对象的内存释放,之后代码中的一个循环操作完成对释放对象的站位。

 技术分享

_va Array对象生成,此处的地址为041152e0。

技术分享

同样申城的_va对象会进行gc.push(_va)的操作。

 技术分享

对_ba.length 进行1100赋值操作。

 技术分享

改变长度之后会导致_ba中的内存重新分配,因为_ba中的值其实就是a中所有的ByteArray结构,所以对于一组Myclass2,ByteArray,Myclass2的连续空间而言,相当于中间的ByetArray

直接被释放。

 技术分享

因为发释放时循环从a array的后向前,如下图所示。

技术分享 

结合之前的中a array的结构,可以确定第一个释放的ByteArra结构的地址为0483b8c9

技术分享 

站位之后可以发现,此时0483b8c9处指向的地址和正常的ByteArray已经不同,此时已被

释放。

技术分享 

释放之后,生成vector.<uint>(0x3f0)用于站位,此处0x3f0*4 = fc0,内存对齐之后,为0x1000,正好满足站位的条件。

 技术分享

查看_va的内存,可以发现,此时vector对象的地址040f8ab1已经保存在_va中,在该对象偏移1c处保存了vector的内存空间的地址,不过同样该处的地址需要>>16的操作,最后vector在0x0489c000处,可以看到在偏移0处正好为vector的长度3f0.

 技术分享

此时释放的ByteArray空间已经被站位,当返回的时候,0x40的值会被赋值给_ba[3]中指向ByteArray的地址,因为此处对于ByteArray的引用存在问题,依然指向old的ByteArray,此时ByteArray内存的地址实际上是我们站位的vector,此时的赋值会将0x40赋值到vector对象长度地址的高位处,从而导致一个超长的vector产生,如下图下断点。

 技术分享

运行之后,产生一个超长的vector

 技术分享

此时已经赋值成功。

 技术分享

cve-2015-5199漏洞分析

标签:

原文地址:http://www.cnblogs.com/goabout2/p/4708898.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!