二进制漏洞-Windows XP SP1利用UEF机制进行堆溢出漏洞利用

本文是对fuzzysecurity教程Heap Overflows For Humans 101学习过程的记录，网上很多师傅介绍过。我在学习过程中也是看了很多师傅介绍的文章才成功完成漏洞利用，希望这篇文章也能给在学习堆溢出漏洞的读者有所帮助。

环境配置

• Windows XP SP1
• 调试器 OllyDebugger，mona 插件
• Visual C++ 6.0
• Python 2.7.1

编译程序

编译成程序 HeapOver.exe

定位溢出点

用 mona 插件执行命令!mona pattern_create 400生成 400 个字符

用调试器打开文件，在文件窗口中的参数（Arguments）一栏输入这 400 个字符

点击运行，程序运行到地址 0x77F5234C发生内存访问异常，第一个分配的堆块地址已经打印出来是0x003D0688

此时的 EAX = 0x41326A41，ECX = 316A4130，EAX 和 ECX 均被溢出数据所覆盖，所以在执行MOV DWORD PTR DS:[EAX], ECX时无法正常访问0x41326A41的数据，造成内存访问异常。

下面使用 mona 命令!mona pattern_offset 0x41326A41计算一下 EAX 偏移值，结果为276。

!mona pattern_offset 0x316A4130计算一下 ECX 偏移值，结果为272。

每个堆块的起始处是一个 8 字节的 HEAP_ENTRY 结构

为了满足 8 字节对齐，堆管理器会在第一个堆块后面填充 4 字节，也就是UnusedBytes，260 + 4 可以整除 8。根据前面的源代码可知，程序在拷贝 400 个字符串后面，分配了第二个堆内存。Windows XP 在管理堆内存时，会使用两个双链表指针，ECX 为前一指针的值，而 EAX 为后 一指针的值。
根据以上信息，可以分析通过参数传入的 400 个字符所覆盖的部分内存区域如下所示：

系统在管理堆时会做如下操作：

该操作的目的是在分配内存时改变链表的指向。堆管理的操作的本质是对链表的修改。双向链表拆卸一个节点的代码应该类似于下面的：

上面在实际环境下对应的汇编代码如下：

此时 EAX 是进行漏洞利用的理想溢出点，因为mov [eax]，ecx可以向内存任意地址写入任意数据。例如在 ECX 写入一个函数入口点，在 EAX 写入 shellcode 地址，如下图所示。

这样一来，在mov [eax]，ecx执行后，函数入口地址就会被替换为 shellcode 的地址，现在关键的问题是如何找到可供利用的函数。

构造 sehllcode

漏洞利用原理

在造成堆溢出后，程序遇到内存访问异常，会触发异常处理机制，调用KiUserExceptionDispatcher分发异常，当 SEH 链上的异常处理程序都未能处理异常时，系统会调用UnhandledExceptionFilter进行处理，这个函数负责显示一个错误对话框，来指出错误的原因，这就是一般的程序出错时显示错误对话框的异常处理机制，也被称作 UEF 机制。

UnhandledExceptionFilter可以放在一个距离堆块数据偏移 276 个字节的位置，shellcode 的地址可以放在距离堆块数据偏移 2762 个字节的地方，如下图所示。

这样在程序发生内存访问异常时，系统会调用UnhandledExceptionFilter函数，但因为mov [eax]，ecx，UnhandledExceptionFilter函数地址所指向的内容被替换成了shellcode。因此系统在调用UnhandledExceptionFilter处理异常时，实际上是在执行 shellcode。
这就是利用 windows UEF 机制进行堆溢出漏洞利用的基本原理。接下来需要弄清楚的是UnhandledExceptionFilter地址和 shellcode 的存放地址。

UnhandledExceptionFilter 函数地址

在 Windows XP SP1 中，系统的默认异常处理函数地址是固定的。默认异常处理指针通过如下函数来设置：

默认异常处理指针通过如下函数来调用：

在调试器搜索SetUnhandledExceptionFilter 地址，UnhandledExceptionFilter地址为0x77ED73B4

在内存窗口查看了0x77ED73B4处的值为0x77C26E79，也就是说系统调用UnhandledExceptionFilter后会跳转到0x77C26E79执行。

shellcode 存放地址

继续上面的调试，即在遇到内存访问错误后，按shift + F7继续调试，在77E9311E FFD0 CALL EAX 断下之后，查看 EAX 的值是0x77C26E79，这也就意味着此时UnhandledExceptionFilter的起始地址传送到了EAX 中，并通过CALL EAX进行异常处理。
查看此时的寄存器窗口，EDI 的值0x0012F8BC。

发现EDI + 0x74即 0x0012F930 的值为0x003D0790，这是指向第一个堆区内部某处的指针。

所以我们将 shellcode 存放在[EDI + 0x74]，这样 Call [EDI + 0x74]就可以执行 shellcode。在netapi32.dll、msvcrt.dll 等动态链接库中可以找到这种指令，所以程序的源代码需要加载这些 dll，以方便利用。搜索后找到了该指令，地址为0x77C3BBAD。

综上：

1. EAX 应该被UnhandledExceptionFilter的地址0x77ED73B4所覆盖；
2. ECX 应该被call dword ptr ds:[EDI+74]的地址0x77C3BBAD所覆盖；
3. shellcode 的起始地址应该是0x003D0790，距离第一个堆区的。

shellcode 组成

以下是一个用于测试的 shellcode ，测试一下第一次跳转是否有效，即程序调用UnhandledExceptionFilter 后 exploit 能否控制程序跳转到 第一个堆区中。

漏洞利用

第一次测试

将上面生成的 exploit 调试一下发现，程序确实成功跳转到了第一个堆区中，但由于 INT 3 指令中断，无法自行向下继续执行 shellcode。即使手动向下执行，也会遇到0x77C3BBAD、0x77ED73B4这两块数据的阻碍。

shellcode 需要修改一下，用\x44 或者\x90 填充缓冲区，在精准覆盖溢出点后造成堆溢出后，第一次跳转到堆区中的 shellcode 的起始地址0x003D0790，第一个堆区应该填充0x003D0790 - 0x3D0688 即 264 个字符；再经由第二个跳转指令 JMP，跳过0x77C3BBAD、0x77ED73B4这两块数据的阻碍，最终执行 payload。

确定WinExec()函数的地址

在此之前先确定WinExec()函数的地址，以方便构造一个可以弹出计算器的 payload，以检验漏洞利用是否成功。
使用 PE 工具查看系统的 kernel32.dll，加载基址为77E60000

WinExec()函数的偏移地址为0x0000FD35

所以WinExec()函数的加载地址为0x77E6FD35

完善 shellcode

以下是完善后的 shellcode 的执行逻辑：

第二次测试

将上面的 Python 脚本保存为1.py， 和程序HeapOver.exe放在同一个文件夹中，可以通过 CMD 命令执行上面的 Python 脚本弹出计算器。

也可以生成 exploit 的字符串后，传入参数，再次调试运行，查看漏洞利用的细节。
堆溢出造成内存访问错误时，ECX = 0x77C3BBAD，EAX = 0x77ED73B4，说明精准覆盖了第二个堆块的双链表指针。

运行到77E9311E FFD0 CALL EAX时，EAX 的值是0x77C3BBAD，说明系统调用异常处理函数UnhandledExceptionFilter时，可以顺利跳转到CALL DWORD PTR DS:[EDI+74]，执行 shellcode。

单步执行，指令正是CALL DWORD PTR DS:[EDI+74]

再单步执行一次，跳转到了0x003D0790就可以看到真正的 payload

跳转指令执行后就可以顺利执行 payload 弹出计算器了。

参考链接

• https://fuzzysecurity.com/tutorials/mr_me/2.html
• https://blog.wohin.me/posts/0day-chp05/
• https://www.guhei.net/post/jb634