百度360必应搜狗淘宝本站头条
当前位置:网站首页 > 技术文章 > 正文

警惕利用CVE-2015-2545漏洞进行的攻击

haoteby 2025-03-26 12:21 64 浏览

前言

近期,APT预警平台捕获到了一个攻击样本,经过分析,该样本似利用CVE-2015-2545进行攻击,并且具备较高的攻击水平。

分析

该样本是一个由Encapsulated PostScript (EPS) filter模块(32bit下模块为EPSIMP32.FLT)中一个User-After-Free漏洞所构造的利用样本。

其漏洞成因及利用在于:当EPS在处理字典类型(dict)的copy操作时,会将接受拷贝方的键值对条目全部删除,然后再重新分配一个进行数据拷贝(正常情况下在字典拷贝时只对要拷贝的元素进行操作,而不影响其它元素)。而EPS在处理forall操作时,当处理类型为字典(dict)时,forall逐个处理字典(dict)中的每个键值对,forall会获得当前键值对的内容以及一个ptrNext指针指向下一个要处理的键值对,并将键(key)

和值(value)的内容放到操作栈中,然后处理forall的处理过程(proc),处理完后仍保留ptrNext指针以处理下一个键值对。而如果在forall处理过程(proc)中有字典的拷贝(copy)操作,copy操作会将键值对条目全部删除,而forall的ptrNext指针仍存在着,这时ptrNext就变成一个野指针,只要精心构造指针指向的数据,就可以达到利用效果。如该样本利用方式为通过该野指针最终构造出一个起始地址为0x0,大小为0x7fffffff的string对象,这样就可以在该空间内作任意的读写作为后期ROP及shellcode等的利用。

图1:forall定义

图2:字典copy操作过程中的delete过程

图3:forall处理字典类型时的部分过程

详细分析过程如下:

该样本为docx文件,在word/media文件夹下有一个image1.eps文件,该文件即为精心构造的eps文件。

图4

可以看到样本定义了两个字典并为各字典分配元素,然后对第一个构造的字典执行forall操作,在forall的proc处理过程中包含有字典copy操作。

如下图可见元素初始分配内容示例如下:

图5、6: KeyZ1及KeyZ2元素结构内容 (KeyZX元素内容示例)

图7:PostScript Objects 定义

PostScript在解释执行过程中的PostScript Object结构定义大致如下:

struct PostScript object {

dword type;

dword attr;

dword value1;

dword value2;

}ps_obj;

用户定义字典元素对象的结构体大致如下:

struct {

dword * pNext;

dword dwIndex;

ps_obj key;

ps_obj value;

}kv_pair_element;

如此可见如下对应关系:

图8:结构内容(以KeyZ2为例)

下面继续分析:

在forall处理第一个元素时会获取ptrNext,即为指向KeyZ2元素的指针。

图9:forall处理字典类型时的部分过程

图10: 获取键及值的内容以及指向下一个元素的指针

图11: ptrNext指针初始值为-1

图12: 获得的ptrNext的值,即KeyZ2元素的地址

图13

将键和值放入操作栈中后执行proc处理函数,处理函数中有copy操作,在对字典类型进行copy操作的过程中会将键值对元素全部删除,即对该内存空间进行释放。

图14

图15:字典copy操作过程中的delete过程

但ptrNext指针仍然存在,但指向了一块未经分配的区域,这时就可以对该未分配空间进行数据构造。

图16

图17

如上图所示原先KeyZ2元素空间被构造成了如上数据。注意这里03de8e1c处的03d8fc88为原先的数据。

在第一个元素的forall的proc处理过程结束后ptrNext依然存在。

图18

然后进行下一个元素的forall操作。

原先ptrNext指向了KeyZ2元素空间,现在已经被重新构造。

图19: forall处理字典类型时的部分过程

在forall处理该元素时,依然获取键和值,并将键和值放到操作栈中。

图20

图21

在执行完对键和值存储到操作栈的处理函数后,这时键和值已经被保存到操作栈中。

然后处理forall的proc处理过程,

图22

在本地测试环境下,通过exch堆栈交换及对/xx_26500 的def定义操作,

图23

得到xx_26500元素,可以看到forall放在操作栈的值已经被放在xx_26500中,这时可以看到03d8fc88被泄漏了出来,00000500类型应该说明为字符串类型。

(xx_19169同理,可以看出00000003的类型为integer类型

图24

在本测试环境中即按照old version这条路线来走,其余路线包含64位版本或其它版本。)

回到上面03d8fc88被泄漏了出来,又定义了一个字符串类型的结构,这时获得了一个可控地址,在这个可控地址的基础上再进行构造,最终构造出一个起始地址为0x0,大小为0x7fffffff的可读写字符串空间。这样就可以在该空间内作任意想要的读写操作,做后续的处理。

图25

如搜索并保存ROP指令的地址:

图26

放置shellcode数据:

图27

放置PE文件:

图28

最后通过构造并使用bytesavailable操作将执行地址转换到ROP链上。

图29

图30:bytesavailable函数内

图31:call到ROP 修改栈地址

ROP链:

0:000> dd /c 1 eax

0be7f03a 0bc5c543 c20c 00 //ret 0Ch

0be7f03e 0bc5c543 c2 0c 00 //ret 0Ch

0be7f042 00000000

0be7f046 00000000

0be7f04a 0bc9b9b9 94 c3 //xchg eax,esp;ret

0be7f04e 0bc6a0b6 8b 41 14 //mov eax, [ecx+14h];retn //eax <= NtProtectVirtualMemory的序号

0be7f052 00000000

0be7f056 00000000

0be7f05a 00000000

0be7f05e 7c92d075 ntdll!ZwCreateEvent+0x5 //NtProtectVirtualMemory

0be7f062 0be81008 shellcode

0be7f066 ffffffff

0be7f06a 0be7e208

0be7f06e 0be7e20c

0be7f072 00000040

0be7f076 0be7e210

0be7f07a 00000000

0be7f07e 00000000

该ROP使用了一种较新的方法,该方法可以绕过EMET等防护软件的检测。

EMET依赖HOOK关键函数进行ROP检测。

由于ZwProtectVirtualMemory是被EMET HOOK到进行检测的,而ZwCreateEvent函数没有被EMET HOOK到,

ntdll!ZwCreateEvent:

7c92d070 b823000000 mov eax,23h

7c92d075 ba0003fe7f mov edx,offset SharedUserData!SystemCallStub (7ffe0300)

7c92d07a ff12 call dword ptr [edx]

7c92d07c c21400 ret 14h

7c92d07f 90 nop

该类函数结构都似如上结构所示,先写入一个序号再CALL,各函数只有序号是不同的。

所以该方法先找到ZwProtectVirtualMemory的序号,然后ROP方式写入eax中,再调用

ZwCreateEvent + 5的地址,这样就绕过了ROP检测(64bit同理)。

Shellcode的功能主要为释放一个DLL并加载执行之。

结语

该漏洞及利用样本的威胁程度非常高,可以在多种环境下成功利用,并且其构造的ROP链及shellcode能够绕过多款安全性增强工具的检测。所以需要做好防范工作。

相关推荐

别争了,Access数据库才是真正的低代码开发平台

Access数据库是微软公司搞出来的“奇葩”产品。...

Access开发轻松一键将 Access 全库表格导出为 Excel

hi,大家好呀!在日常工作中,Access常常是我们忠实的数据管家,默默守护着项目信息、客户列表或是库存记录。它结构清晰,录入便捷,对于许多中小型应用场景来说,无疑是个得力助手。然而,当我们需要对这...

跟我学:从零开始用Access设计一套完整的系统(一)

序言:Access是一款强大而灵活的数据库软件,可以设计和开发各种类型和规模的数据库应用程序。本文旨在为您提供从零开始设计Access数据库系统的详细指导,并通过实际案例演示如何在Access中设计和...

问卷调查管理程序 Access数据库 功能介绍和VBA代码分享

o本系统包含主要功能有:问卷管理,题目管理,问卷填写,调查结果统计,数据汇总导出o数据库系统包含:表,查询,窗体,VBA代码...

非绑定记录窗体查看管理数据 Access数据库功能模块 VBA代码编程

模块Public成绩IDnumAsLong学生成绩管理PrivateSubCommand更新_Click()DoCmd.SetWarnings(False)...

ACCESS中的DLookUp函数是如何运算的?

一、DLookUp函数介绍1.DLookUp函数的用途:可以用于从指定集合(一个域)中获取符合条件的特定字段的值。2.DLookUp函数的格式为:DLookUp(expr,domain,...

Excel常用技能分享与探讨(5-宏与VBA简介 VBA之用户窗体-一)

用户窗体(UserForm)是VBA中创建交互式界面的核心工具,可用于数据录入、设置参数或展示信息。...

【每日任务计划管理系统】Access数据库管理系统 VBA代码分享

窗体系统主页文本框,组合框,按钮,子窗体OptionCompareDatabase...

VBA高效开发:用用户窗体打造个性化数据录入工具

在日常办公中,Excel的数据录入是否总让你陷入这些困境?手动输入易错、格式混乱难追溯、重复操作耗时费力。今天,我们将突破常规,利用VBA的用户窗体(UserForm)构建一套“智能校验、流程清晰、...

VBA编程(基于Access)第1课:VBA的作用和学习方法

VBA,英文全称VisualBasicforApplications,直接翻译过来叫做“可以直接使用的VB语言”。...

Access数据库宏与VBA代码的使用(精品一)

Access数据库的宏相当于实现某一功能的一系列命令和操作,我们无需写代码,系统已经将主体代码集成一块,我们只需要做一些简单的操作即可,而VBA代码则是实实在在的代码写到程序里面,我们可以自己编写,也...

【每日任务管理系统】(2) VB 管理系统 代码 Visual Basic access数据库

窗体全部任务DimdhAsLong'存储高度差DimdwAsLong'存储宽度差...

VBA连接access数据库开发软件(vba调用数据库连接)

VBA连接access数据库开发小软件虽然VBA(包括VB)已不再流行,但是在某些场合还是比较方便的,尤其对非编程专业人员。灵活使用VBA,可以很十分方便的处理excel,access数据,提高工作效...

九章云极发布全新AI智算云平台:支持秒级生成百万级Token

6月16日,在在九章云极智能计算科技论坛上,九章云极宣布推出全新AI智算云平台“九章智算云AlayaNeWCloud2.0”,该平台基于Serverless技术架构与强化学习技术(RL)的深度融合...

浅谈基于大数据技术下的“云旅游”平台运营策略研究

云旅游体验平台是利用大数据和虚拟技术,构建虚拟旅游环境,能够改变旅游企业的营销模式和旅游者的消费模式。本文从云旅平台多维度数据信息的获取与分析,平台体验质量反馈信息数据构建,云旅游平台服务功能设计方案...