作者:
cssembly
·
2015/04/21 9:58
MS15-035是Microsoft Graphics 元件處理增強型圖元檔案 (EMF) 的漏洞,可能允許遠端執行程式碼。
透過補丁比對,可以看到主要是修補了一些可能存在整形溢位的位置,但是這些位置,我嘗試了很多方法都無法執行到。
但是
#!c++
int __thiscall MRSETDIBITSTODEVICE::bPlay(EMRSETDIBITSTODEVICE *this, HDC hdc, struct tagHANDLETABLE *a3, unsigned int a4)
的修補是個例,補丁前的程式碼如下:
打補丁後,程式碼如下:
顯然補丁後的程式碼對LocalAlloc分配的記憶體空間的最小值進行了限制,而打補丁之前並沒有限制,因此猜測這裡可能存在一個緩衝區越界寫入問題。
透過分析函式呼叫鏈,可以找到MRSETDIBITSTODEVICE::bPlay被PlayEnhMetaFileRecord呼叫。PlayEnhMetaFileRecord根據EMF檔案中元檔案塊型別呼叫不同的解析函式。09年的文章《New EMF gdiplus.dll crash not exploitable for code execution》描述的EMF漏洞CVE-2009-1217也進一步確認了explorer程式就是透過PlayEnhMetaFileRecord解析EMF檔案的元檔案塊的。
下面簡要介紹一下EMF檔案的結構,EMF檔案由可變大小的元檔案塊組成。每個元檔案塊都是一個可變長度的ENHMETARECORD結構,結構如下。
#!c++
typedef struct tagENHMETARECORD {
DWORD iType;
DWORD nSize;
DWORD dParm[1];
} ENHMETARECORD, *PENHMETARECORD;
SDK中定義了不同的iType型別,如下所示。
根據iType型別的不同,dParm是不同的結構,EMR_SETDIBITSTODEVICE對應的結構是EMRSETDIBITSTODEVICE。
#!c++
typedef struct tagEMR
{
DWORD iType; // Enhanced metafile record type
DWORD nSize; // Length of the record in bytes.
// This must be a multiple of 4.
} EMR, *PEMR;
typedef struct tagEMRSETDIBITSTODEVICE
{
EMR emr;
RECTL rclBounds; // Inclusive-inclusive bounds in device units
LONG xDest;
LONG yDest;
LONG xSrc;
LONG ySrc;
LONG cxSrc;
LONG cySrc;
DWORD offBmiSrc; // Offset to the source BITMAPINFO structure
DWORD cbBmiSrc; // Size of the source BITMAPINFO structure
DWORD offBitsSrc; // Offset to the source bitmap bits
DWORD cbBitsSrc; // Size of the source bitmap bits
DWORD iUsageSrc; // Source bitmap info color table usage
DWORD iStartScan;
DWORD cScans;
} EMRSETDIBITSTODEVICE, *PEMRSETDIBITSTODEVICE;
對於MRSETDIBITSTODEVICE::bPlay函式,其第一個引數為EMRSETDIBITSTODEVICE。為了驗證猜想的正確性,透過程式生成一個小的emf檔案,對其中的iType進行修改,以便其執行到MRSETDIBITSTODEVICE::bPlay函式,將0x54(EMR_EXTTEXTOUTW)修改為0x50(EMR_SETDIBITSTODEVICE)
。
#!c++
HDC hEmf = CreateEnhMetaFile( 0 , "1.emf" , NULL , NULL );
RECT rect;
rect.top = 0 ;
rect.left = 0 ;
rect.bottom = 20;
rect.right = 200;
char szStr[] = "WSAWSAW";
ExtTextOut( hEmf , 0 , 0 , ETO_OPAQUE , &rect , szStr , sizeof(szStr) , NULL );
CloseEnhMetaFile(hEmf);
DeleteObject(hEmf);
由於我在Win7下,瀏覽存放EMF檔案的目錄並沒有觸發EMF檔案的解析,因此透過mspaint.exe載入1.emf檔案,執行到
#!c++
int __thiscall MRSETDIBITSTODEVICE::bPlay(EMRSETDIBITSTODEVICE *this, HDC hdc, struct tagHANDLETABLE *a3, unsigned int a4)
函式時,可以看到ecx指向的資料與檔案中的資料一致。
為了實現之前的猜想,實現越界寫操作,假定在((_DWORD *)v8 + 5) = v4->cbBitsSrc處實現了越界寫,這就要求v4->cbBmiSrc小於(64)。
由於MRSETDIBITSTODEVICE::bCheckRecord實現了對EMRSETDIBITSTODEVICE結構的合法性檢查。函式如下。
根據檢查的內容,對emf檔案進行修改,使其滿足MRSETDIBITSTODEVICE::bCheckRecord檢查的各項條件,同時使v4->cbBmiSrc小於(6*4),最終得到如下檔案內容。
用mspaint.exe載入emf檔案,透過windbg可以觀察到所有的檢查都被繞過,同時LocalAlloc分配的記憶體大小為2。
之後的((_DWORD *)v8 + 2) = v9與((_DWORD *)v8 + 5) = v4->cbBitsSrc都將實現緩衝區越界寫入操作。
如果可以透過指令碼在瀏覽器上顯示emf檔案,則有可能利用該漏洞實現遠端程式碼執行。另外值得一提的是補丁中修補的其他如MF16_*的函式,這些函式的呼叫點都存在如下的程式碼段。這是對HDC的型別進行驗證,只有型別是0x660000時,才會執行這些函式,而我只在呼叫CreateMetaFile後才得到了型別是0x660000的HDC,螢幕上顯示時使用的HDC型別為0x10000。當HDC型別是0x660000時,呼叫PlayEnhMetaFile,最終不會執行PlayEnhMetaFileRecord。
本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!