日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
CVE-2020-25291:金山WPSOffice遠(yuǎn)程堆溢出漏洞分析

0x01 漏洞描述

網(wǎng)站建設(shè)哪家好,找創(chuàng)新互聯(lián)!專注于網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、微信平臺小程序開發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了尼開遠(yuǎn)免費(fèi)建站歡迎大家使用!

WPS Office是適用于Microsoft Windows,macOS,Linux,iOS和Android的辦公軟件,由總部位于珠海的中國軟件開發(fā)商金山軟件公司開發(fā)。WPS Office由三個主要組件組成:WPS Writer,WPS Presentation和WPS Spreadsheet。個人基本版本可以免費(fèi)使用,WPS Office軟件中存在一個遠(yuǎn)程執(zhí)行代碼漏洞,是當(dāng)Office軟件在分析特制Office文件時不正確地處理內(nèi)存中的對象時引起的。成功利用此漏洞的攻擊者可以在當(dāng)前用戶的上下文中運(yùn)行任意代碼。漏洞可能會導(dǎo)致拒絕服務(wù),易受攻擊的產(chǎn)品WPS Office,影響版本11.2.0.9453。

0x02 漏洞分析

在WPS Office中用于圖像格式解析的Qt模塊中發(fā)現(xiàn)存在堆溢出。嵌入WPS office的特制圖像文件可能會觸發(fā)此漏洞。打開特制的文檔文件時,觸發(fā)訪問沖突。EDX指向數(shù)組的指針,而EAX是指向數(shù)組的索引。

 
 
 
    
  
  
  
  1. 0:000> g
    2. 
  
  
  
  2. 
  
  
  
  3. (c50.b4): Access violation - code c0000005 (first chance)
    4. 
  
  
  
  4. 
  
  
  
  5. First chance exceptions are reported before any exception handling.
    6. 
  
  
  
  6. 
  
  
  
  7. This exception may be expected and handled.
    8. 
  
  
  
  8. 
  
  
  
  9. eax=000000c0 ebx=006f1c48 ecx=cd2aefbc edx=cd2c6f80 esi=2ed7ae18 edi=0000001c
    10. 
  
  
  
  10. 
  
  
  
  11. eip=6ba13321 esp=006f1b44 ebp=006f1b44 iopl=0 nv up ei pl nz na po ;nc ;
    12. 
  
  
  
  12. 
  
  
  
  13. cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00210202
    14. 
  
  
  
  14. 
  
  
  
  15. QtCore4!QMatrix::dy+0x48a8:
    16. 
  
  
  
  16. 
  
  
  
  17. 6ba13321 8b448210 mov eax,dword ptr [edx+eax*4+10h] ds:002b:cd2c7290=????????
    18.

崩潰是如何觸發(fā)的?讓我們看一下PNG標(biāo)頭格式。

 
 
 
    
  
  
  
  1. 00029E30 FF 89 50 4E 47 0D 0A 1A 0A 00 00 00 0D 49 48 44 ?‰PNG........IHD
    2. 
  
  
  
  2. 
  
  
  
  3. 00029E40 52 00 00 02 80 00 00 01 C6 04 03 00 00 00 16 0A R...€...?.......
    4. 
  
  
  
  4. 
  
  
  
  5. 00029E50 27 FC 00 00 00 04 67 41 4D 41 00 00 B1 88 95 98 'ü....gAMA..±???
    6. 
  
  
  
  6. 
  
  
  
  7. 00029E60 F4 A6 00 00 00 30 50 4C 54 45 00 00 00 80 00 00 ?|...0PLTE...€..
    8. 
  
  
  
  8. 
  
  
  
  9. 00029E70 00 80 00 80 80 00 00 00 80 80 00 80 00 80 80 80 .€.€€...€€.€.€€€
    10. 
  
  
  
  10. 
  
  
  
  11. 00029E80 80 80 C0 C0 C0 FF 00 00 00 FF 00 FF FF 00 00 00 €€ààà?...?.??...
    12. 
  
  
  
  12. 
  
  
  
  13. 00029E90 FF FF 00 FF 00 FF FF FF FF FF 7B 1F B1 C4 00 00 ??.?.?????{.±?..
    14.

從偏移量0x29E31開始-0x29E34是PNG文件格式的簽名標(biāo)頭。PNG頭文件的結(jié)構(gòu):

 
 
 
    
  
  
  
  1. PNG signature --> IHDR --> gAMA --> PLTE --> pHYs --> IDAT --> IEND
    2.

在這種情況下,當(dāng)WPS Office Suite中使用的QtCore庫解析PLTE結(jié)構(gòu)并觸發(fā)堆溢出時,該漏洞位于Word文檔中的嵌入式PNG文件中。在偏移量0x29E82到0x29E85處,調(diào)色板的解析失敗,從而觸發(fā)了堆中的內(nèi)存損壞。崩潰觸發(fā)之前的堆棧跟蹤:

 
 
 
    
  
  
  
  1. 00 00ee1790 6b8143ef QtCore4!path_gradient_span_gen::path_gradient_span_gen+0x6a71
    2. 
  
  
  
  2. 
  
  
  
  3. 01 00ee17f0 6b814259 QtCore4!QBrush::setMatrix+0x234
    4. 
  
  
  
  4. 
  
  
  
  5. 02 00ee58d4 6b8249a4 QtCore4!QBrush::setMatrix+0x9e
    6. 
  
  
  
  6. 
  
  
  
  7. 03 00ee58ec 6b80cc84 QtCore4!QImage::rect+0x22b
    8. 
  
  
  
  8. 
  
  
  
  9. 04 00ee5908 6b857ccc QtCore4!QTransform::inverted+0xec8
    10. 
  
  
  
  10. 
  
  
  
  11. 05 00ee629c 6b81c55b QtCore4!QSvgFillStyle::setFillOpacity+0x1b59
    12. 
  
  
  
  12. 
  
  
  
  13. 06 00ee6480 6b896844 QtCore4!QPainter::drawPixmap+0x1c98
    14. 
  
  
  
  14. 
  
  
  
  15. 07 00ee6574 6d1e0fbd QtCore4!QPainter::drawImage+0x325
    16. 
  
  
  
  16. 
  
  
  
  17. 08 00ee6594 6d0dd155 kso!GdiDrawHoriLineIAlt+0x11a1a
    18.

在QtCore4解析嵌入式圖像之前,我們可以看到來自KSO模塊的最后一次調(diào)用,試圖處理圖像kso!GdiDrawHoriLineIAlt。使用IDA Pro分解應(yīng)用程序來分析發(fā)生異常的函數(shù)。最后的崩潰路徑如下(WinDBG結(jié)果):

 
 
 
    
  
  
  
  1. QtCore4!QMatrix::dy+0x48a8:
    2. 
  
  
  
  2. 
  
  
  
  3. 6ba13321 8b448210 mov eax,dword ptr [edx+eax*4+10h] ds:002b:cd2c7290=????????
    4.

在IDA Pro中打開時,我們可以按以下方式反匯編該函數(shù):

 
 
 
    
  
  
  
  1. .text:67353315 push ebp
    2. 
  
  
  
  2. 
  
  
  
  3. .text:67353316 mov ebp, esp
    4. 
  
  
  
  4. 
  
  
  
  5. .text:67353318 movzx eax, byte ptr [ecx+edx] ; crash here
    6. 
  
  
  
  6. 
  
  
  
  7. .text:6735331C mov ecx, [ebp+arg_0]
    8. 
  
  
  
  8. 
  
  
  
  9. .text:6735331F mov edx, [ecx]
    10. 
  
  
  
  10. 
  
  
  
  11. .text:67353321 mov eax, [edx+eax*4+10h]
    12. 
  
  
  
  12. 
  
  
  
  13. .text:67353325 mov ecx, eax
    14.

使用crashs轉(zhuǎn)儲中的信息,我們知道應(yīng)用程序在0x67353321(mov eax,[edx + eax * 4 + 10h])處觸發(fā)了訪問沖突。我們可以看到EAX寄存器由0xc0值控制。因此,從這里我們可以根據(jù)導(dǎo)致異常的指令對寄存器的狀態(tài)進(jìn)行一些假設(shè)。需要注意的重要一點(diǎn)是,在發(fā)生異常之前,我們可以看到ECX(0xc0)中包含的值被寫入到以下指令所定義的任意位置:

 
 
 
    
  
  
  
  1. mov ecx, [ebp+arg_0]
    2.

此外,我們注意到,在我們的故障指令之外,EBP的偏移量存儲在ECX寄存器中。我們在前面提到的指令(偏移量為0x6ba1331c)上設(shè)置了一個斷點(diǎn),以觀察內(nèi)存。斷點(diǎn)觸發(fā)后,我們可以看到第一個值c45adfbc指向另一個指針,該指針應(yīng)該是指向數(shù)組的指針。

 
 
 
    
  
  
  
  1. Breakpoint 0 hit
    2. 
  
  
  
  2. 
  
  
  
  3. eax=0000000f ebx=004f1b40 ecx=d3544100 edx=0000001c esi=d1200e18 edi=0000001c
    4. 
  
  
  
  4. 
  
  
  
  5. eip=6ba1331c esp=004f1a34 ebp=004f1a34 iopl=0 nv up ei pl nz na po ;nc ;
    6. 
  
  
  
  6. 
  
  
  
  7. cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00200202
    8. 
  
  
  
  8. 
  
  
  
  9. QtCore4!QMatrix::dy+0x48a3:
    10. 
  
  
  
  10. 
  
  
  
  11. 6ba1331c 8b4d08 mov ecx,dword ptr [ebp+8] ss:002b:004f1a3c=c45adfbc
    12. 
  
  
  
  12. 
  
  
  
  13. 0:000> dc ebp+8
    14. 
  
  
  
  14. 
  
  
  
  15. 004f1a3c c45adfbc 00000048 00000000 6f13830f ..Z.H..........o
    16. 
  
  
  
  16. 
  
  
  
  17. 004f1a4c 004f5cc8 00000000 00000000 00000000 .\O.............
    18. 
  
  
  
  18. 
  
  
  
  19. 004f1a5c 00000000 004f65a0 004f662c 00000000 .....eO.,fO.....
    20. 
  
  
  
  20. 
  
  
  
  21. 004f1a6c 779eae8e 00000000 00000001 3f800000 ...w...........?
    22. 
  
  
  
  22. 
  
  
  
  23. 004f1a7c 3f800000 3f31e4f8 3f800000 3f800000 ...?..1?...?...?
    24. 
  
  
  
  24. 
  
  
  
  25. 004f1a8c 3f800000 3f31e4f8 3f800000 3de38800 ...?..1?...?...=
    26. 
  
  
  
  26. 
  
  
  
  27. 004f1a9c 3de38800 3d9e1c8a 3c834080 004f3c00 ...=...=.@.<.
    28. 
  
  
  
  28. 
  
  
  
  29. 004f1aac 4101c71c 6ba13315 3f800000 4081c71c ...A.3.k...?...@
    30.

從c45adfbc觀察內(nèi)存引用,發(fā)現(xiàn)另一個指針。第一個值ab69cf80始終表示為指向它所引用的任何地方的指針。指針ab69cf80基本上是我們指針的索引數(shù)組。

 
 
 
    
  
  
  
  1. 0:000> dc c45adfbc
    2. 
  
  
  
  2. 
  
  
  
  3. c45adfbc ab69cf80 d3544100 00000003 00000280 ..i..AT.........
    4. 
  
  
  
  4. 
  
  
  
  5. c45adfcc 0000055a 00000012 c0c0c0c0 1c3870e2 Z............p8.
    6. 
  
  
  
  6. 
  
  
  
  7. c45adfdc 40ad870e 1c3870e2 40ad870e 00000000 ...@.p8....@....
    8. 
  
  
  
  8. 
  
  
  
  9. c45adfec 00000000 c0c0c0c1 6c1d12c0 00000000 ...........l....
    10. 
  
  
  
  10. 
  
  
  
  11. c45adffc c0c0c0c0 ???????? ???????? ???????? ....????????????
    12. 
  
  
  
  12. 
  
  
  
  13. c45ae00c ???????? ???????? ???????? ???????? ????????????????
    14. 
  
  
  
  14. 
  
  
  
  15. c45ae01c ???????? ???????? ???????? ???????? ????????????????
    16. 
  
  
  
  16. 
  
  
  
  17. c45ae02c ???????? ???????? ???????? ???????? ????????????????
    18. 
  
  
  
  18. 
  
  
  
  19. 0:000> dc ab69cf80
    20. 
  
  
  
  20. 
  
  
  
  21. ab69cf80 00000001 0000001c 00000010 00000001 ................ // 0000001c is overwritten in the register EDX and EDI before we trigger crash
    22. 
  
  
  
  22. 
  
  
  
  23. ab69cf90 ff000000 ff800000 ff008000 ff808000 ................
    24. 
  
  
  
  24. 
  
  
  
  25. ab69cfa0 ff000080 ff800080 ff008080 ff808080 ................
    26. 
  
  
  
  26. 
  
  
  
  27. ab69cfb0 ffc0c0c0 ffff0000 ff00ff00 ffffff00 ................ // ffc0c0c0 where it will be stored in EAX after crash, at the moment it only takes 0xf value in EAX
    28. 
  
  
  
  28. 
  
  
  
  29. ab69cfc0 ff0000ff ffff00ff ff00ffff ffffffff ................
    30. 
  
  
  
  30. 
  
  
  
  31. ab69cfd0 c0c0c0c0 c0c0c0c0 c0c0c0c0 c0c0c0c0 ................
    32. 
  
  
  
  32. 
  
  
  
  33. ab69cfe0 c0c0c0c0 c0c0c0c0 c0c0c0c0 c0c0c0c0 ................
    34. 
  
  
  
  34. 
  
  
  
  35. ab69cff0 c0c0c0c0 c0c0c0c0 c0c0c0c0 c0c0c0c0 ................
    36.

因為我們知道崩潰的路徑,所以可以使用下面的命令簡單地設(shè)置一個斷點(diǎn)。該命令將獲得指針值“ edx + eax * 4 + 10”,并檢查其是否滿足0xc0。

 
 
 
    
  
  
  
  1. bp 6ba13321 ".if (poi(edx+eax*4+10) == 0xc0) {} .else {gc}"
    2. 
  
  
  
  2. 
  
  
  
  3. 0:000> g
    4. 
  
  
  
  4. 
  
  
  
  5. eax=000000c0 ebx=004f1b40 ecx=c45adfbc edx=ab69cf80 esi=d1200e18 edi=0000001c
    6. 
  
  
  
  6. 
  
  
  
  7. eip=6ba13321 esp=004f1a34 ebp=004f1a34 iopl=0 nv up ei pl nz na po ;nc ;
    8. 
  
  
  
  8. 
  
  
  
  9. cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00200202
    10. 
  
  
  
  10. 
  
  
  
  11. QtCore4!QMatrix::dy+0x48a8:
    12. 
  
  
  
  12. 
  
  
  
  13. 6ba13321 8b448210 mov eax,dword ptr [edx+eax*4+10h] ds:002b:ab69d290=????????
    14.

觀察堆棧,可以看到以下執(zhí)行:

 
 
 
    
  
  
  
  1. 004f1a38 6ba3cb98 QtCore4!path_gradient_span_gen::path_gradient_span_gen+0x6a74
    2. 
  
  
  
  2. 
  
  
  
  3. 004f1a3c c45adfbc
    4. 
  
  
  
  4. 
  
  
  
  5. 004f1a40 00000048
    6. 
  
  
  
  6. 
  
  
  
  7. 004f1a44 00000000
    8. 
  
  
  
  8. 
  
  
  
  9. 004f1a48 6f13830f verifier!DphCommitMemoryForPageHeap+0x16f
    10. 
  
  
  
  10. 
  
  
  
  11. 004f1a4c 004f5cc8
    12. 
  
  
  
  12. 
  
  
  
  13. 004f1a50 00000000
    14. 
  
  
  
  14. 
  
  
  
  15. 004f1a54 00000000
    16. 
  
  
  
  16. 
  
  
  
  17. 004f1a58 00000000
    18. 
  
  
  
  18. 
  
  
  
  19. 004f1a5c 00000000
    20. 
  
  
  
  20. 
  
  
  
  21. 004f1a60 004f65a0
    22. 
  
  
  
  22. 
  
  
  
  23. 004f1a64 004f662c
    24. 
  
  
  
  24. 
  
  
  
  25. 004f1a68 00000000
    26. 
  
  
  
  26. 
  
  
  
  27. 004f1a6c 779eae8e ntdll!RtlAllocateHeap+0x3e
    28.

如果我們反匯編6ba3cb98,則可以看到以下反匯編代碼,真正的漏洞根本原因在于此代碼。

 
 
 
    
  
  
  
  1. 6ba3cb89 8b96b4000000 mov edx,dword ptr [esi+0B4h]
    2. 
  
  
  
  2. 
  
  
  
  3. 6ba3cb8f 8b4df4 mov ecx,dword ptr [ebp-0Ch]
    4. 
  
  
  
  4. 
  
  
  
  5. 6ba3cb92 52 push edx
    6. 
  
  
  
  6. 
  
  
  
  7. 6ba3cb93 8bd7 mov edx,edi
    8. 
  
  
  
  8. 
  
  
  
  9. 6ba3cb95 ff5580 call dword ptr [ebp-80h]
    10. 
  
  
  
  10. 
  
  
  
  11. 6ba3cb98 8b4e7c mov ecx,dword ptr [esi+7Ch]
    12. 
  
  
  
  12. 
  
  
  
  13. C pseudo code
    14. 
  
  
  
  14. 
  
  
  
  15. grad = *(&ptr_grad);
    16. 
  
  
  
  16. 
  
  
  
  17. if ( grad > 0.0099999998 )
    18. 
  
  
  
  18. 
  
  
  
  19. {
    20. 
  
  
  
  20. 
  
  
  
  21. input_value = grad_size(check, size, input);
    22. 
  
  
  
  22. 
  
  
  
  23. ptr_grad = *(input);
    24. 
  
  
  
  24. 
  
  
  
  25. ... cut here ...
    26.

我們在6ba3cb89地址上設(shè)置斷點(diǎn)并觀察ESI + 0xB4,我們可以看到一個指針指向另一個位置:

 
 
 
    
  
  
  
  1. 0:000> r
    2. 
  
  
  
  2. 
  
  
  
  3. eax=00000000 ebx=00791878 ecx=00000005 edx=00793938 esi=cb07de18 edi=0000001c
    4. 
  
  
  
  4. 
  
  
  
  5. eip=6ba3cb89 esp=00791780 ebp=00791870 iopl=0 nv up ei pl nz na po ;nc ;
    6. 
  
  
  
  6. 
  
  
  
  7. cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00200202
    8. 
  
  
  
  8. 
  
  
  
  9. QtCore4!path_gradient_span_gen::path_gradient_span_gen+0x6a65:
    10. 
  
  
  
  10. 
  
  
  
  11. 6ba3cb89 8b96b4000000 mov edx,dword ptr [esi+0B4h] ds:002b:cb07decc=cf69afbc
    12. 
  
  
  
  12. 
  
  
  
  13. 0:000> dc esi+0B4h
    14. 
  
  
  
  14. 
  
  
  
  15. cb07decc cf69afbc c0c0c000 00000000 00000100 ..i.............
    16. 
  
  
  
  16. 
  
  
  
  17. cb07dedc c0c0c0c0 00000000 00000000 00000000 ................
    18. 
  
  
  
  18. 
  
  
  
  19. cb07deec 00000000 00000000 00000000 00000000 ................
    20. 
  
  
  
  20. 
  
  
  
  21. cb07defc 00000000 cf030fd0 00000000 00000000 ................
    22. 
  
  
  
  22. 
  
  
  
  23. cb07df0c 00000000 00000000 00000000 00000000 ................
    24. 
  
  
  
  24. 
  
  
  
  25. cb07df1c c0c0c0c0 00000000 3ff00000 00000000 ...........?....
    26. 
  
  
  
  26. 
  
  
  
  27. cb07df2c 00000000 00000000 00000000 00000000 ................
    28. 
  
  
  
  28. 
  
  
  
  29. cb07df3c 00000000 00000000 3ff00000 00000000 ...........?....
    30. 
  
  
  
  30. 
  
  
  
  31. 0:000> dc cf69afbc
    32. 
  
  
  
  32. 
  
  
  
  33. cf69afbc c88baf80 d1326100 00000003 00000280 .....a2.........
    34. 
  
  
  
  34. 
  
  
  
  35. cf69afcc 0000055f 00000012 c0c0c0c0 1c3870e2 _............p8.
    36. 
  
  
  
  36. 
  
  
  
  37. cf69afdc 40ad870e 1c3870e2 40ad870e 00000000 ...@.p8....@....
    38. 
  
  
  
  38. 
  
  
  
  39. cf69afec 00000000 c0c0c0c1 6c1d12c0 00000000 ...........l....
    40. 
  
  
  
  40. 
  
  
  
  41. cf69affc c0c0c0c0 ???????? ???????? ???????? ....????????????
    42. 
  
  
  
  42. 
  
  
  
  43. cf69b00c ???????? ???????? ???????? ???????? ????????????????
    44. 
  
  
  
  44. 
  
  
  
  45. cf69b01c ???????? ???????? ???????? ???????? ????????????????
    46. 
  
  
  
  46. 
  
  
  
  47. cf69b02c ???????? ???????? ???????? ???????? ????????????????
    48. 
  
  
  
  48. 
  
  
  
  49. 0:000> dc c88baf80
    50. 
  
  
  
  50. 
  
  
  
  51. c88baf80 00000001 0000001c 00000010 00000001 ................
    52. 
  
  
  
  52. 
  
  
  
  53. c88baf90 ff000000 ff800000 ff008000 ff808000 ................
    54. 
  
  
  
  54. 
  
  
  
  55. c88bafa0 ff000080 ff800080 ff008080 ff808080 ................
    56. 
  
  
  
  56. 
  
  
  
  57. c88bafb0 ffc0c0c0 ffff0000 ff00ff00 ffffff00 ................
    58. 
  
  
  
  58. 
  
  
  
  59. c88bafc0 ff0000ff ffff00ff ff00ffff ffffffff ................
    60. 
  
  
  
  60. 
  
  
  
  61. c88bafd0 c0c0c0c0 c0c0c0c0 c0c0c0c0 c0c0c0c0 ................
    62. 
  
  
  
  62. 
  
  
  
  63. c88bafe0 c0c0c0c0 c0c0c0c0 c0c0c0c0 c0c0c0c0 ................
    64. 
  
  
  
  64. 
  
  
  
  65. c88baff0 c0c0c0c0 c0c0c0c0 c0c0c0c0 c0c0c0c0 ................
    66.

從這里我們可以知道代碼實際上沒有從指針釋放任何東西。一旦移至EDX,EDX將保留指向索引數(shù)組的指針:

 
 
 
    
  
  
  
  1. eax=00000000 ebx=00791878 ecx=00000005 edx=cf69afbc esi=cb07de18 edi=0000001c
    2. 
  
  
  
  2. 
  
  
  
  3. eip=6ba3cb8f esp=00791780 ebp=00791870 iopl=0 nv up ei pl nz na po ;nc ;
    4. 
  
  
  
  4. 
  
  
  
  5. cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00200202
    6. 
  
  
  
  6. 
  
  
  
  7. QtCore4!path_gradient_span_gen::path_gradient_span_gen+0x6a6b:
    8. 
  
  
  
  8. 
  
  
  
  9. 6ba3cb8f 8b4df4 mov ecx,dword ptr [ebp-0Ch] ss:002b:00791864=d1326100
    10. 
  
  
  
  10. 
  
  
  
  11. 0:000> dc cf69afbc
    12. 
  
  
  
  12. 
  
  
  
  13. cf69afbc c88baf80 d1326100 00000003 00000280 .....a2.........
    14. 
  
  
  
  14. 
  
  
  
  15. cf69afcc 0000055f 00000012 c0c0c0c0 1c3870e2 _............p8.
    16. 
  
  
  
  16. 
  
  
  
  17. cf69afdc 40ad870e 1c3870e2 40ad870e 00000000 ...@.p8....@....
    18. 
  
  
  
  18. 
  
  
  
  19. cf69afec 00000000 c0c0c0c1 6c1d12c0 00000000 ...........l....
    20. 
  
  
  
  20. 
  
  
  
  21. cf69affc c0c0c0c0 ???????? ???????? ???????? ....????????????
    22. 
  
  
  
  22. 
  
  
  
  23. cf69b00c ???????? ???????? ???????? ???????? ????????????????
    24. 
  
  
  
  24. 
  
  
  
  25. cf69b01c ???????? ???????? ???????? ???????? ????????????????
    26. 
  
  
  
  26. 
  
  
  
  27. cf69b02c ???????? ???????? ???????? ???????? ????????????????
    28. 
  
  
  
  28. 
  
  
  
  29. 0:000> dc c88baf80
    30. 
  
  
  
  30. 
  
  
  
  31. c88baf80 00000001 0000001c 00000010 00000001 ................
    32. 
  
  
  
  32. 
  
  
  
  33. c88baf90 ff000000 ff800000 ff008000 ff808000 ................
    34. 
  
  
  
  34. 
  
  
  
  35. c88bafa0 ff000080 ff800080 ff008080 ff808080 ................
    36. 
  
  
  
  36. 
  
  
  
  37. c88bafb0 ffc0c0c0 ffff0000 ff00ff00 ffffff00 ................
    38. 
  
  
  
  38. 
  
  
  
  39. c88bafc0 ff0000ff ffff00ff ff00ffff ffffffff ................
    40. 
  
  
  
  40. 
  
  
  
  41. c88bafd0 c0c0c0c0 c0c0c0c0 c0c0c0c0 c0c0c0c0 ................
    42. 
  
  
  
  42. 
  
  
  
  43. c88bafe0 c0c0c0c0 c0c0c0c0 c0c0c0c0 c0c0c0c0 ................
    44. 
  
  
  
  44. 
  
  
  
  45. c88baff0 c0c0c0c0 c0c0c0c0 c0c0c0c0 c0c0c0c0 ................
    46.

崩潰后的堆棧跟蹤:

 
 
 
    
  
  
  
  1. 0:000> kvL
    2. 
  
  
  
  2. 
  
  
  
  3. # ChildEBP RetAddr Args to Child
    4. 
  
  
  
  4. 
  
  
  
  5. 00 012f18d4 6ba3cb98 cc53afbc 00000048 00000000 QtCore4!QMatrix::dy+0x48a8
    6. 
  
  
  
  6. 
  
  
  
  7. 01 012f19d0 6b8143ef 00000000 012f1b78 012f1a5c QtCore4!path_gradient_span_gen::path_gradient_span_gen+0x6a74
    8. 
  
  
  
  8. 
  
  
  
  9. 02 012f1a30 6b814259 0000002e 012f5bd0 00000000 QtCore4!QBrush::setMatrix+0x234
    10. 
  
  
  
  10. 
  
  
  
  11. 03 012f5b14 6b8249a4 0000003b 012f5b68 cc780e18 QtCore4!QBrush::setMatrix+0x9e
    12. 
  
  
  
  12. 
  
  
  
  13. 04 012f5b2c 6b80cc84 0000003b 012f5b68 cc780e18 QtCore4!QImage::rect+0x22b
    14. 
  
  
  
  14. 
  
  
  
  15. 05 012f5b48 6b857ccc 0000003b 012f5b68 cc780e18 QtCore4!QTransform::inverted+0xec8
    16. 
  
  
  
  16. 
  
  
  
  17. 06 012f64dc 6b81c55b 00000000 003c0000 00000000 QtCore4!QSvgFillStyle::setFillOpacity+0x1b59
    18. 
  
  
  
  18. 
  
  
  
  19. 07 012f66c0 6b896844 012f6724 cc818ff0 0000001c QtCore4!QPainter::drawPixmap+0x1c98
    20. 
  
  
  
  20. 
  
  
  
  21. 08 012f67b4 6d1e0fbd 012f69ec 012f66d4 012f6864 QtCore4!QPainter::drawImage+0x325
    22. 
  
  
  
  22. 
  
  
  
  23. 09 012f67d4 6d0dd155 012f6a54 012f69ec 012f6864 kso!GdiDrawHoriLineIAlt+0x11a1a
    24. 
  
  
  
  24. 
  
  
  
  25. 0a 012f67ec 6d0c8d88 012f69ec 012f68e0 012f6864 kso!kpt::PainterExt::drawBitmap+0x23
    26.

堆分析:

 
 
 
    
  
  
  
  1. 0:000> !heap -p -a cc53afbc
    2. 
  
  
  
  2. 
  
  
  
  3. address cc53afbc found in
    4. 
  
  
  
  4. 
  
  
  
  5. _DPH_HEAP_ROOT @ 6731000
    6. 
  
  
  
  6. 
  
  
  
  7. in busy allocation ( DPH_HEAP_BLOCK: UserAddr UserSize - VirtAddr VirtSize)
    8. 
  
  
  
  8. 
  
  
  
  9. cc36323c: cc53afa8 58 - cc53a000 2000
    10. 
  
  
  
  10. 
  
  
  
  11. 6f13ab70 verifier!AVrfDebugPageHeapAllocate+0x00000240
    12. 
  
  
  
  12. 
  
  
  
  13. 77a9909b ntdll!RtlDebugAllocateHeap+0x00000039
    14. 
  
  
  
  14. 
  
  
  
  15. 779ebbad ntdll!RtlpAllocateHeap+0x000000ed
    16. 
  
  
  
  16. 
  
  
  
  17. 779eb0cf ntdll!RtlpAllocateHeapInternal+0x0000022f
    18. 
  
  
  
  18. 
  
  
  
  19. 779eae8e ntdll!RtlAllocateHeap+0x0000003e
    20. 
  
  
  
  20. 
  
  
  
  21. 6f080269 MSVCR100!malloc+0x0000004b
    22. 
  
  
  
  22. 
  
  
  
  23. 6f08233b MSVCR100!operator new+0x0000001f
    24. 
  
  
  
  24. 
  
  
  
  25. 6b726c67 QtCore4!QImageData::create+0x000000fa
    26. 
  
  
  
  26. 
  
  
  
  27. 6b726b54 QtCore4!QImage::QImage+0x0000004e
    28. 
  
  
  
  28. 
  
  
  
  29. 6b7a0e21 QtCore4!png_get_text+0x00000436
    30. 
  
  
  
  30. 
  
  
  
  31. 6b79d7a8 QtCore4!QImageIOHandler::setFormat+0x000000de
    32. 
  
  
  
  32. 
  
  
  
  33. 6b79d457 QtCore4!QPixmapData::fromFile+0x000002bf
    34. 
  
  
  
  34. 
  
  
  
  35. 6b725eb4 QtCore4!QImageReader::read+0x000001e2
    36. 
  
  
  
  36. 
  
  
  
  37. 6d0ca585 kso!kpt::VariantImage::forceUpdateCacheImage+0x0000254e
    38. 
  
  
  
  38. 
  
  
  
  39. 6d0c5964 kso!kpt::Direct2DPaintEngineHelper::operator=+0x00000693
    40. 
  
  
  
  40. 
  
  
  
  41. 6d0c70d0 kso!kpt::RelativeRect::unclipped+0x00001146
    42. 
  
  
  
  42. 
  
  
  
  43. 6d0c8d0c kso!kpt::VariantImage::forceUpdateCacheImage+0x00000cd5
    44. 
  
  
  
  44. 
  
  
  
  45. 6d451d5c kso!BlipCacheMgr::BrushCache+0x0000049a
    46. 
  
  
  
  46. 
  
  
  
  47. 6d451e85 kso!BlipCacheMgr::GenerateBitmap+0x0000001d
    48. 
  
  
  
  48. 
  
  
  
  49. 6d453227 kso!BlipCacheMgr::GenCachedBitmap+0x00000083
    50. 
  
  
  
  50. 
  
  
  
  51. 6d29bb92 kso!drawing::PictureRenderLayer::render+0x000009b6
    52. 
  
  
  
  52. 
  
  
  
  53. 6d450fb1 kso!drawing::RenderTargetImpl::paint+0x00000090
    54. 
  
  
  
  54. 
  
  
  
  55. 6d29b528 kso!drawing::PictureRenderLayer::render+0x0000034c
    56. 
  
  
  
  56. 
  
  
  
  57. 6d2a2d83 kso!drawing::VisualRenderer::render+0x00000060
    58. 
  
  
  
  58. 
  
  
  
  59. 6d2b8970 kso!drawing::SingleVisualRenderer::drawNormal+0x000002b5
    60. 
  
  
  
  60. 
  
  
  
  61. 6d2b86a7 kso!drawing::SingleVisualRenderer::draw+0x000001e1
    62. 
  
  
  
  62. 
  
  
  
  63. 6d2b945e kso!drawing::SingleVisualRenderer::draw+0x00000046
    64. 
  
  
  
  64. 
  
  
  
  65. 6d3d0142 kso!drawing::ShapeVisual::paintEvent+0x0000044a
    66. 
  
  
  
  66. 
  
  
  
  67. 680a2b5c wpsmain!WpsShapeTreeVisual::getHittestSubVisuals+0x000068f1
    68. 
  
  
  
  68. 
  
  
  
  69. 6d0e36df kso!AbstractVisual::visualEvent+0x00000051
    70. 
  
  
  
  70. 
  
  
  
  71. 6d3cbe97 kso!drawing::ShapeVisual::visualEvent+0x0000018f
    72. 
  
  
  
  72. 
  
  
  
  73. 6d0eba90 kso!VisualPaintEvent::arriveVisual+0x0000004e
    74. 
  
  
  
  74. 
  
  
  
  75. 0:000> dt _DPH_BLOCK_INFORMATION cc780e18-0x20
    76. 
  
  
  
  76. 
  
  
  
  77. verifier!_DPH_BLOCK_INFORMATION
    78. 
  
  
  
  78. 
  
  
  
  79. +0x000 StartStamp : 0xc0c0c0c0
    80. 
  
  
  
  80. 
  
  
  
  81. +0x004 Heap : 0xc0c0c0c0 Void
    82. 
  
  
  
  82. 
  
  
  
  83. +0x008 RequestedSize : 0xc0c0c0c0
    84. 
  
  
  
  84. 
  
  
  
  85. +0x00c ActualSize : 0xc0c0c0c0
    86. 
  
  
  
  86. 
  
  
  
  87. +0x010 Internal : _DPH_BLOCK_INTERNAL_INFORMATION
    88. 
  
  
  
  88. 
  
  
  
  89. +0x018 StackTrace : 0xc0c0c0c0 Void
    90. 
  
  
  
  90. 
  
  
  
  91. +0x01c EndStamp : 0xc0c0c0c0
    92.

段中的最后一個堆條目通常是一個空閑塊。堆塊的狀態(tài)指示為空閑塊,堆塊聲明前一個塊的大小為00108,而當(dāng)前塊的大小為00a30。前一塊報告其自身大小為0x20字節(jié),不匹配。位置為05f61000的堆塊的使用似乎是該堆塊的使用導(dǎo)致以下塊的元數(shù)據(jù)損壞的可能性。堆塊如下:

 
 
 
    
  
  
  
  1. 0:000> !heap -a 05f60000
    2. 
  
  
  
  2. 
  
  
  
  3. Index Address Name Debugging options enabled
    4. 
  
  
  
  4. 
  
  
  
  5. 1: 05f60000
    6. 
  
  
  
  6. 
  
  
  
  7. Segment at 05f60000 to 0605f000 (00001000 bytes committed)
    8. 
  
  
  
  8. 
  
  
  
  9. Flags: 00000002
    10. 
  
  
  
  10. 
  
  
  
  11. ForceFlags: 00000000
    12. 
  
  
  
  12. 
  
  
  
  13. Granularity: 8 bytes
    14. 
  
  
  
  14. 
  
  
  
  15. Segment Reserve: 00100000
    16. 
  
  
  
  16. 
  
  
  
  17. Segment Commit: 00002000
    18. 
  
  
  
  18. 
  
  
  
  19. DeCommit Block Thres: 00000200
    20. 
  
  
  
  20. 
  
  
  
  21. DeCommit Total Thres: 00002000
    22. 
  
  
  
  22. 
  
  
  
  23. Total Free Size: 00000146
    24. 
  
  
  
  24. 
  
  
  
  25. Max. Allocation Size: fffdefff
    26. 
  
  
  
  26. 
  
  
  
  27. Lock Variable at: 05f60258
    28. 
  
  
  
  28. 
  
  
  
  29. Next TagIndex: 0000
    30. 
  
  
  
  30. 
  
  
  
  31. Maximum TagIndex: 0000
    32. 
  
  
  
  32. 
  
  
  
  33. Tag Entries: 00000000
    34. 
  
  
  
  34. 
  
  
  
  35. PsuedoTag Entries: 00000000
    36. 
  
  
  
  36. 
  
  
  
  37. Virtual Alloc List: 05f6009c
    38. 
  
  
  
  38. 
  
  
  
  39. Uncommitted ranges: 05f6008c
    40. 
  
  
  
  40. 
  
  
  
  41. 05f61000: 000fe000 (1040384 bytes)
    42. 
  
  
  
  42. 
  
  
  
  43. FreeList[ 00 ] at 05f600c0: 05f605b8 . 05f605b8
    44. 
  
  
  
  44. 
  
  
  
  45. 05f605b0: 00108 . 00a30 [100] - free
    46. 
  
  
  
  46. 
  
  
  
  47. Segment00 at 05f60000:
    48. 
  
  
  
  48. 
  
  
  
  49. Flags: 00000000
    50. 
  
  
  
  50. 
  
  
  
  51. Base: 05f60000
    52. 
  
  
  
  52. 
  
  
  
  53. First Entry: 05f604a8
    54. 
  
  
  
  54. 
  
  
  
  55. Last Entry: 0605f000
    56. 
  
  
  
  56. 
  
  
  
  57. Total Pages: 000000ff
    58. 
  
  
  
  58. 
  
  
  
  59. Total UnCommit: 000000fe
    60. 
  
  
  
  60. 
  
  
  
  61. Largest UnCommit:00000000
    62. 
  
  
  
  62. 
  
  
  
  63. UnCommitted Ranges: (1)
    64. 
  
  
  
  64. 
  
  
  
  65. Heap entries for Segment00 in Heap 05f60000
    66. 
  
  
  
  66. 
  
  
  
  67. address: psize . size flags state (requested size)
    68. 
  
  
  
  68. 
  
  
  
  69. 05f60000: 00000 . 004a8 [101] - busy (4a7)
    70. 
  
  
  
  70. 
  
  
  
  71. 05f604a8: 004a8 . 00108 [101] - busy (107) Internal
    72. 
  
  
  
  72. 
  
  
  
  73. 05f605b0: 00108 . 00a30 [100]
    74. 
  
  
  
  74. 
  
  
  
  75. 05f60fe0: 00a30 . 00020 [111] - busy (1d)
    76. 
  
  
  
  76. 
  
  
  
  77. 05f61000: 000fe000 - uncommitted bytes.
    78. 
  
  
  
  78. 
  
  
  
  79. 0:000> dd 05f60fe0
    80. 
  
  
  
  80. 
  
  
  
  81. 05f60fe0 a9b3c836 03007087 05f6008c 05f6008c
    82. 
  
  
  
  82. 
  
  
  
  83. 05f60ff0 05f60038 05f60038 05f61000 000fe000
    84. 
  
  
  
  84. 
  
  
  
  85. 05f61000 ???????? ???????? ???????? ????????
    86. 
  
  
  
  86. 
  
  
  
  87. 05f61010 ???????? ???????? ???????? ????????
    88. 
  
  
  
  88. 
  
  
  
  89. 05f61020 ???????? ???????? ???????? ????????
    90. 
  
  
  
  90. 
  
  
  
  91. 05f61030 ???????? ???????? ???????? ????????
    92. 
  
  
  
  92. 
  
  
  
  93. 05f61040 ???????? ???????? ???????? ????????
    94. 
  
  
  
  94. 
  
  
  
  95. 05f61050 ???????? ???????? ???????? ????????
    96.

0x03 披露時間表

該漏洞于2020年8月報告,披露時間表:

  •  2020-08-04-將電子郵件發(fā)送到公開提供的WPS的各種郵件列表(銷售和支持)。
  •  2020-08-10-WPS團(tuán)隊回應(yīng)該報告可以轉(zhuǎn)發(fā)給他們。
  •  2020-08-11-要求進(jìn)一步的信息,例如向適當(dāng)?shù)那琅兜取?/li>
  •  2020-08-17-根據(jù)先前的要求與WPS團(tuán)隊進(jìn)行跟進(jìn)。
  • 2020-08-18-通過電子郵件提供技術(shù)報告和概念驗證(未加密)。
  •  2020-08-25-WPS跟進(jìn)報告進(jìn)度。
  •  2020-08-26-WPS更新說此問題已轉(zhuǎn)發(fā)給開發(fā)團(tuán)隊。
  • 2020-08-28-WPS發(fā)送了一封電子郵件,指出該問題已在最新的下載版本11.2.0.9403中得到解決。
  •  2020-08-28-針對提供的PoC測試了新版本,并確認(rèn)問題已解決。
  •  2020-08-28-向WPS團(tuán)隊尋求咨詢或更改日志更新。
  •  2020-09-03-申請漏洞CVE。
  •  2020-09-14-已分配CVE編號:CVE-2020-25291。

 本文翻譯自:http://zeifan.my/security/rce/heap/2020/09/03/wps-rce-heap.html如若轉(zhuǎn)載,請注明原文地址。


當(dāng)前文章:CVE-2020-25291:金山WPSOffice遠(yuǎn)程堆溢出漏洞分析
網(wǎng)頁路徑:http://www.5511xx.com/article/djjshgh.html