cve-2015-1635漏洞分析
上周(2015.4.15)爆出的cve-2015-1635漏洞,遂分析一番,留作记录。使用poc如下。
wget 192.168.16.168/welcome.png --debug --header='Range:bytes=10-18446744073709551615'
从之前的各种报告可知该漏洞起始于UlpParseRange函数,对该函数下断,发送poc之后断下。查看HTTP!UlpParseRange的堆栈情况,从堆栈可以清晰的发现,此时的内核正在对用户发送的http包头进行解析。
单步进入该函数,在这个位置会对poc中Range域的数值进行校验,首先校验lower的数值是否大于0xFFFFFFFFFFFFFFFFFF,此处我们的输入为a。
对比upper的数值是否大于lower。
计算length的数值,公式为length = upper – lower + 1。
实例中length为0xFFFFFFFFFFFFFFFF-a+1 =0xFFFFFFFFFFFFFFF6
总的校验图
在该函数中的校验伪代码
因此在HTTP!UlpParseRange中实现了对lower,upper的简单校验,同时生成了length(注意,此处并没有对生成的length的值做任何校验)。
然后函数会继续运行,直到UlAdjustRangesToContentSize,在该函数中同样会对包括upper,lower,length在内的多项数值进行校验,以下为该函数调用时的堆栈。
首先在该函数中同样会检测lower的值是否大于0xFFFFFFFFFFFFFFFF(同于之前HTTP!UlpParseRange)。
校验lower是否小于请求的内容的大小0x2d272(该值为发送请求中的资源的大小)。
通过计算(0x2d272 = 184946)确实与我们请求的图片的大小一致.
取之前函数HTTP!UlpParseRange中生成的length,校验length的值是否大于0xFFFFFFFFFFFFFFFF。
计算Legtncheck = length + setoff(实际就是lower的数值)。
并校验该值是否大于请求内容的大小0x2d272,此处lengthcheck = upper-lower+1 +lower ==0
因此此处一定绕过(当upper设置为0xFFFFFFFFFFFFFFFF),该安全校验(而此处也是唯一针对length的校验)。
在函数的结束处,该问题length会被返回,并继续向下传递。
该函数中的主要校验步骤。
该函数的主要校验伪代码
之后该参数会传递到UlBuildFastRangeCacheMdlChain函数中
UlBuildFastRangeCacheMdlChain,该函数的调用栈
在该函数中会对传入的length进行截断,致使0xFFFFFFFFFFFFFFF6->0xFFFFFFF6。
之后会在该函数中连续调用三次IoBuildPartialMdl,此处可以看看msdn中对于该函数的解释。可以使用IoBuildPartialMdl来把一个IRP请求分解成多个IRP请求。
在第四次时会触发真正的漏洞。此处为传入的第四个参数SourceMdl。
第三个参数length(该值前面生成),也是造成最后蓝屏的原因。
此处为第二个参数TargetMdl。
最后是第一个参数VirtualAddress
此处为函数调用前的两个Mdl结构,其中sourceMdl的大小只有2d316大小,TargetMdl的大小为ffffff6,因此理论上通过targetMdl能都有足够的空间存储来自TargetMdl的值。
跟进该函数nt! IoBuildPartialMdl,最后会完成由SourceMdlàTargetMdl的赋值,赋值循环之前两个Mdl结构的内存状态。
从SourceMdl+30出按8比特取值,并赋值到TargetMdl+30处
此处计算之后即为Target+30出的地址,复制前两个结构
一次赋值之后
整个赋值的循环很简单如下,但是为啥会蓝屏了?仔细看下汇编指令就会发现一个可疑的值rsd,整个过程的循环由该寄存器控制,我们来看看他是如何生成的。
通过ida的分析可知r8d的生成过程如下,总结起来是:r8d=target.cout&fff+target.offset+fff+1
此处我们生成的结果即为100000;
次数通过r8d = r8d + ffffffff,当r8d为零时,停止循环赋值,通过编程可知该处会循环1048576次,每次赋值8位,即为1048576*8 = 8388608 = 0x800000,即需要从sourceMdl中赋值出0x800000长度的内容,当通过之前source.count的值即可知count为0x2d316<<0x800000,因此此处循环赋值的结果就是越界读取内存,而此时的操作位于内核中,所以duan蓝屏了
此处sourceMdl的起始位fffffa800287e930,count为2d316,所以sourceMdl的结束应该为
fffffa800287e930+2d316=FFFFFA80028ABC46(此处计算方式存在疑问,对内核其实不是很了解),此处发现FFFFFA80028ABC46是不能下断,退而求其次,对FFFFFA80028ABC40内存度断点,运行。
断下之后,在进行两次循环,此时FFFFFA80028ABC50依然可读。
但是在FFFFFA80028ABC58读取是,发生pagefault错误,从而导致蓝屏。
duan蓝屏了。。。。
下图为总的函数触发流程
一些其他问题
蓝屏的问题
关于蓝屏的限制问题,通过之前的分析出发时需要如下限制
lower<0xffffffffffffffffff
lower<upper
lower<contenlength
length+lower<contenlength
通过上面的总结发现要稳定的触发蓝屏upper的值必须恒定为0xFFFFFFFFFFFFFFFF,lower的值必须小于contenlength。满足以上调节即可稳定触发蓝屏。
contenlength问题
触发蓝屏时需要poc中必须有请求资源,即如果只是一个简单的根目录,则不会蓝屏。原因如下图所示,漏洞触发前在韩式UlSendHttpResponseIoctl中会有一个判断,请求资源为空进入上一个分支,不为空则进入漏洞触发的分支。
如下图,影响源头来源于其中的rsp+3C8h+var_333中的值(该处没有做详细分析)。
32位触发的问题
之前漏洞刚爆出来的时候,部门有小伙伴提到18446744073709551615这个数32为操作系统不识别,32为系统应该不收影响,但是实际结果是32位体统也不能幸免,揪其原因是该大数在32位系统中被截断了,如下图所示,对于存储远内存中length,在传入函数HTTP!UlAdjustRangesToContentSize之前,是按32为进行的取值,所以该整数溢出绕过在32为依然可行。
最后感谢某人晚上陪我聊微信,否则一晚上的蓝屏真的会疯的,感谢。。。。