从调试MS06-057细谈IE漏洞的分析及利用.pdfVIP

适合读者：入侵爱好者、网马爱好者 前置知识：JavaScript 语言、汇编基础 从调试MS06-057 细谈IE 漏洞的分析及利用 文/ 图 何永强/H.S.T 到微软网站上看安全公告，你会发现今年补的漏洞体现出了一个趋势：客户端漏洞暴 得越来越频繁，特别是IE 和Office 系列的漏洞。这不，10 月的公告里就分别有1 个和4 个， 这和那些国内外专业漏洞挖掘组织或个人的努力密不可分。初学的朋友固然不需要也暂时没 能力去挖掘这些漏洞，但漏洞信息出来后，通过现有技术清楚地利用起来却不失为明智之举。 Office 漏洞影响不大，就不提其中的分析细节了。本文中，我将以MS06-057 为例，详细讨 论现在的IE 漏洞该如何分析和利用。 IE 漏洞的一般特征及研究思路 了解IE 漏洞的一般特征，有助于我们对相应漏洞利用方法的归纳，以及遇到新问题时 思路的扩展。IE 漏洞的一般特征有以下几个： 1）漏洞起因有规律可循。不少漏洞是由ActiveX 对象的方法引起的堆溢出，还有部分 是传统的堆栈溢出。对前者，我们经常看到利用漏洞做好的网马里有下列形式的JavaScript 语句： var target = new ActiveXObject(‘xxxx’) target.fun( 参数1, 参数2…) target 就是创建的xxxx 对象，而fun 为该对象的一个方法。一般到Windows 具体处理 的时候，会引用类似于call [reg + disp]这样的指令。该指令访问一片内存，而这片内存中的 内容是我们可以控制的，从而导致漏洞的产生。至于传统的堆栈溢出，国庆之前公布的VML 漏洞 （MS06-055 ）就是典型的一个，导致漏洞的语句如下： v:fill method= AAAAAAAAAAAAAAAAAAAAA… 这个漏洞的产生就不是由JavaScript 语句导致的，而是纯粹的HTML 语句引起的。其它 可能的一些漏洞起因，大家就具体情况具体分析，把握好主要的就可以了。 2 ）传播方式多样。利用漏洞作好网页木马后，放在特定站点上，可以通过邮件、QQ、 MSN 、媒体文件 （如.rm）等多种传播方式，诱使目标打开网马对应的URL 。但是有个前提 条件，就是其默认浏览器是IE ，其它浏览器不一定存在这些漏洞。所以大家不要认为IE 漏 洞的影响不大，其实是可能造成很广泛的传播的。此外，为什么大家都不喜欢把html 文件 直接发送给目标呢？原因主要是用IE 直接打开html 文件，在Windows XP SP2 下会弹出烦 人的保护提示，如图1 所示。如果通过浏览器访问URL 来打开的话，很多时候不会弹出这 样的提示，大家试试就知道了。 图1 3 ）容易被查杀。大家知道，IE 访问 URL 的时候一般是先把页面下载到本地的 TIF （Temporary Internet Files ）文件夹下后，再在本地打开。如果网马不加密的话，主流的杀毒 软件，如麦咖啡、诺顿、OfficeScan、卡巴、瑞星等，都能根据页面代码中的特征脚本字段 进行查杀或警告。以VML 漏洞为例，如果发现页面中包含了v:fill method= A….”，且引 号中的数据长度大于某个数值的时候，就认为是病毒。从这个角度讲，网马的构造以及脚本 的加密技术，即使简单也显得十分有意义，具体的方法在后面介绍。 了解了IE 漏洞的一些特征后，我们下面来看看漏洞的基本研究思路，目的不是制定框 架，而是希望以后有规范可循。我自己归纳了IE 漏洞的研究思路，大致为下列几条： 1）获取PoC ，初步判断漏洞类型。所谓PoC （Proof of Concept ），是指技术演示，通俗 地说，就是给出某个漏洞存在的样本文件。我们经常拿到漏洞发现者公布的PoC ，大多只是 触发漏洞而不能直接利用的，需要进一步调试。以VML 溢出漏洞为例，PoC 部分内容如图 2 所示。 图2 通过 PoC 构造相应的测试网页，保存后通过记事本方式打开，仔细识别一下，应该就 能看到问题脚本，如var target = new ActiveXObject(‘xxxx’) 、target.fun( 参数1, 参数2…) 等，这些是引起堆