Flash Player最新安全特性分析及绕过思路-郑文选.pdfVIP

[Pwn2Own 2016] Flash Player最新安全特性分析 及绕过思路 文选@腾讯电脑管家网络攻防小组 About Us Tencent 腾讯 大纲 ?早期Flash特性及攻击思路 ? 不安全的内存设计 ? 脆弱的obj ect ? 攻击流程 ?Flash新的安全特性 ? 隔离堆 ? obj ect加固 ? CFG ?Flash内存管理 ? GCHeap内存结构 ? 内存分配器结构 FiexedMalloc/GCAlloc/GCLargeAlloc ?新的利用思路 ? 隔离堆绕过 ? 内存不连续问题 ? 绕过CFG Tencent 腾讯 早期Flash特性 – 不安全的内存设计 GCHeap ?GCHeap负责ActionScript中的内存分配 ?所有的对象和数据都在一个GCHeap空间 ?容易实现堆喷 ，内存布局 Tencent 腾讯 早期Flash特性 – 不安全的内存设计 3个内存分配器 ?相近大小的对象可以连续 ，内存布局操作容易 Tencent 腾讯 早期Flash特性 – 脆弱的obj ect Vector/Array/ ByteArray/… 关键数据 （如长度、数据缓冲区指针 ）无校验、没有异地备份 ，无法防止 被修改 Tencent 腾讯 早期Flash特性 – 脆弱的obj ect Vector.uint 漏洞触发前 漏洞触发后 Tencent 腾讯 早期Flash 攻击流程 Tencent 腾讯 你丫弱爆了 Tencent 腾讯 转折点 Tencent 腾讯 新的安全特性 - 隔离堆 对象隔离 ?堆的数 目1 8 ?分配器数 目39 Tencent 腾讯 新的安全特性 - 隔离堆 堆地址随机化 ?不同堆的地址 随机且相差很大 ?同一堆中内存 块也可能不连续 Tencent 腾讯 新的安全特性 - obj ect加固 Security Cookie ?用于异或加密obj ect中的关键数据 ?针对漏洞利用中的有长度的对象 ?在GCHeap初始化时生成 ?存放在flash.ocx的.data区中 Tencent 腾讯 新的安全特性 - obj ect加固 ByteArray Tencent 腾讯 新的安全特性 - obj ect加固 Vector ?vector obj ect中新增了一个length字段 ?vector data中的length存放的是异或后的值 Tencent 腾讯 新的安全特性 - CFG(Control Flo