adobe flash player invalid pointer vulnerability
TRANSCRIPT
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN . . . . . .
.
.. ..
.
.
Adobe Flash Player Invalid Pointer Vulnerability漏洞分析
陈志杰1
1北京大学计算机所信安中心
Mar. 2009
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN 2
内容大纲
.. .1 SWF文件格式
.. .2 无效指针利用
.. .3 欺骗代码检查
.. .4 In the wild 代码分析演示
.. .5 总结
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN 3
内容大纲
.. .1 SWF文件格式
.. .2 无效指针利用
.. .3 欺骗代码检查
.. .4 In the wild 代码分析演示
.. .5 总结
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN 4
SWF文件结构
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN 5
SWF Header结构
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN 6
DefineSceneAndFrameLabelData
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN 7
DoABC
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN 8
内容大纲
.. .1 SWF文件格式
.. .2 无效指针利用
.. .3 欺骗代码检查
.. .4 In the wild 代码分析演示
.. .5 总结
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN 9
IDA静态分析
.IDA静态分析..
.. ..
.
.
分析0x30074F1B,用于load各个TAG,当解析 DefineScene-AndFrameLabelData 头时,触发漏洞,请看分析:
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN 10
内容大纲
.. .1 SWF文件格式
.. .2 无效指针利用
.. .3 欺骗代码检查
.. .4 In the wild 代码分析演示
.. .5 总结
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN 11
ActionScript的检查/执行机制
.欺骗原理..
.. ..
.
.
verification 与 interpretation 分离;每个 AVM2 (ActionScript Virtual Machine 2) 指令均可以按照编号操作寄存器和 AVM2 的各种栈;AVM2的栈是建立在函数 ActionScript3 Execute()的运行栈里的,从而与其返回地址是在同一个栈中;
verification 阶段检查完指令的有效性和对寄存器、栈操作的合法性之后,interpretation阶段只管执行,遇到无效指令则默默地跳过一个字节。
.Verification示例代码.... ..
.
.IBM LASVM Page 13.
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN 12
欺骗方法
.构造marker命令..
.. ..
.
.
将AS3 argmask中某一0xFF标记的指令标记为有效,从而使检验阶段的解释器认为其后的连续几个byte都是此指令的参数从而不检查有效性和合法性。
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN 13
欺骗方法
.构造marker命令..
.. ..
.
.
将AS3 argmask中某一0xFF标记的指令标记为有效,从而使检验阶段的解释器认为其后的连续几个byte都是此指令的参数从而不检查有效性和合法性。
.达到的目的..
.. ..
.
.
...1 保存原始的 ActionScript3 Execute() 的 retEIP;
...2 将 retEIP 重定向到用户可控数据区;
...3 令 ActionScript3 Execute 返回;
...4 shellcode中保存当前环境;
...5 shellcode执行恶意代码;
...6 shellcode恢复 EIP 及其他上下文;
...7 Flash 跟没事儿似的安全退出……- -b
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN 14
AcrionScript的构造.达到的目的..
.. ..
.
.
...1 保存原始EIP;
...2 将EIP重定向到用户可控数据区;
...3 令 ActionScript3 Execute 返回;
...4 shellcode中保存当前环境;
...5 shellcode执行恶意代码;
...6 shellcode恢复 EIP 及其他上下文;
...7 Flash 跟没事儿似的安全退出……- -b.手段..
.. ..
.
.
...1 用 AS 指令将 EIP 存到栈上;
...2 将栈上的某一指向用户可控区域的指针存入EIP。(这一指针就是 codePtr,指向下一条AS指令(IBM文中说的当前))
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN 15
溢出用的AS指令序列示意图
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN 16
对marker的要求
.对marker的要求..
.. ..
.
.
...1 其地址要加4能被12整除;
...2 AVM2本身未用(0xFF);
...3 同时要是一条有效x86指令(codePtr指向了它)。
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN 17
对marker的要求
.对marker的要求..
.. ..
.
.
...1 其地址要加4能被12整除;
...2 AVM2本身未用(0xFF);
...3 同时要是一条有效x86指令(codePtr指向了它)。.0xF5!!!..
.. ..
.
.
...1 地址是 0x302047C4;
...2 0xF4-0xF7 AVM2都没用;
...3 0xF5是CMC指令。
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN 18
AS指令构造1-Save retEIP
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN 19
AS指令构造2-将codePtr压栈
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN 20
AS指令构造3-构造x86指令
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN 21
AS指令构造4-Pop
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN 22
AS指令构造5-覆盖 retEIP
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN 23
AS指令构造6-返回
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN 24
最终exlpoit SWF文件结构
.
.. ..
.
.
...1 SWF头部
...2 存在溢出的 DefineSceneAndFrameLabelData tag
...3 存放shellcode的 DefineBits tag
...4 存在恶意AS指令的 DoABC tag
...5 ShowFrame tag,用于开始执行。
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN 25
内容大纲
.. .1 SWF文件格式
.. .2 无效指针利用
.. .3 欺骗代码检查
.. .4 In the wild 代码分析演示
.. .5 总结
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN 26
In the wild 代码演示
.
.. ..
.
.
hxxp://qs214.cn/www/a26/i47.swf...1 入侵演示;...2 libemu静态分析;...3 OllyDbg 动态分析。
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN 27
内容大纲
.. .1 SWF文件格式
.. .2 无效指针利用
.. .3 欺骗代码检查
.. .4 In the wild 代码分析演示
.. .5 总结
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN 28
总结
.健壮性..
.. ..
.
.
...1 只依赖一个绝对地址;
...2 除了 AS3 argmask 之外,未破坏任何数据结构;
...3 Flash可以正常退出。.广泛性..
.. ..
.
.
...1 IE/Firefox均存在漏洞;
...2 XP/Vista均有效;
...3 ASLR 对 Flash 插件无效。
FLASH漏洞分析
陈志杰
SWF文件格式
无效指针利用
欺骗代码检查
In the wild 代码分析演示
总结
JoYAN 29
.
谢谢大家!欢迎提问!.. .. ..
.
.