深信服科技EasyConnectvpn0day漏洞分析和利用.docVIP

深信服科技 EasyConnectVpn 0day漏洞分析与利用 环境： xp sp3 浏览器： xp sp3 自带的ie6 （安装install程序，程序目录C:\Program Files\Sangfor\SSL） 一、先用windbg加载poc(c:\11.htm) 然后g运行程序，出现异常，异常情况如下: 0:000 g (830.fb8): Access violation - code c0000005 (first chance) First chance exceptions are reported before any exception handling. This exception may be expected and handled. eax=0000004a ebx=022cde82 ecx=0013e140 edxesi=0013df00 edi=0013e140 eip=77c12332 esp=0013dea0 ebp=0013deac iopl=0 nv up ei pl nz na po nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 eflmsvcrt!wscanf+0x6c: 77c12332 8802 mov byte ptr [edx],al ds:002341 *** ERROR: Symbol file could not be found. Defaulted to export symbols for C:\Program Files\Sangfor\SSL\ClientComponent\CSClientManagerPrj.dll - 然后kv 查看异常时的堆栈情况，猜测出现异常的模块CSClientManagerPrj.dll。 异常处的代码: 0:000 u msvcrt!wscanf+0x6c msvcrt!wscanf+0x6c: 77c12332 8802 mov byte ptr [edx],al //此处发生异常 77c12334 ff01 inc dword ptr [ecx] 77c12336 0fb6c0 movzx eax,al 77c12339 eb0c jmp msvcrt!wscanf+0x81 (77c12347) 77c1233b 0fbec0 movsx eax,al 77c1233e 51 push ecx 77c1233f 50 push eax 77c12340 e818c9ffff call msvcrt!_flsbuf (77c0ec5d) 使用IDA打开CSClientManagerPrj.dll，定位到偏移0x46c0处， 猜测出现异常可能是因为sprintf的问题。 二、使用OD打开poc文件 F9运行，ie弹出Active警告，暂时先不运行，在OD中Ctrl + g 定位到出现异常的代码处，地址：77c12332 当然你可以看到CSClientManagerPrj+0x46c0处的代码 不过这对后面的分析已经无关紧要了。 一直F9，执行到 77c12332 8802 mov byte ptr [edx],al 后，一直F9，会发现我们poc中的字符串被逐个放到内存上（堆栈） 一边F9一边你观察内存数据变化，在内存数据覆盖到0013ffed时，此时注意慢点执行，在执行几次F9，观察edx的值，当edx值为0014000时，出现异常（即windbg中异常时edx的值）。为什么edx = 0014000时会出现异常呢，我们看下内存 由上如图可知，140000开始3000大小的内存空间是只读属性，所有 mov byte ptr [edx],al 时发生了写异常。 由此我们可以判断漏洞形成的原因是： 因为未对字符串的长度做判断，导致在sprintf时字符串覆盖到只读区域，引发了写异常。 三、漏洞利用： 由上分析可以，造成漏洞的原因并不是字符串过长覆盖函数返回地址，而是覆盖了到了只读区域，出现内存写异常。 在F9执行 77c12332 8802 mov byte ptr [edx]