cssembly · 2015/04/21 9:58

MS15-035是Microsoft Graphics 組件處理增強型圖元文件 (EMF) 的漏洞，可能允許遠程執行代碼。

通過補丁比對，可以看到主要是修補了一些可能存在整形溢出的位置，但是這些位置，我嘗試了很多方法都無法執行到。

但是

#!c++ int __thiscall MRSETDIBITSTODEVICE::bPlay(EMRSETDIBITSTODEVICE *this, HDC hdc, struct tagHANDLETABLE *a3, unsigned int a4) 復制代碼

的修補是個例，補丁前的代碼如下：

打補丁后，代碼如下：

顯然補丁后的代碼對LocalAlloc分配的內存空間的最小值進行了限制，而打補丁之前并沒有限制，因此猜測這里可能存在一個緩沖區越界寫入問題。

通過分析函數調用鏈，可以找到MRSETDIBITSTODEVICE::bPlay被PlayEnhMetaFileRecord調用。PlayEnhMetaFileRecord根據EMF文件中元文件塊類型調用不同的解析函數。09年的文章《New EMF gdiplus.dll crash not exploitable for code execution》描述的EMF漏洞CVE-2009-1217也進一步確認了explorer進程就是通過PlayEnhMetaFileRecord解析EMF文件的元文件塊的。

下面簡要介紹一下EMF文件的結構，EMF文件由可變大小的元文件塊組成。每個元文件塊都是一個可變長度的ENHMETARECORD結構，結構如下。

#!c++ typedef struct tagENHMETARECORD {DWORD iType;DWORD nSize;DWORD dParm[1]; } ENHMETARECORD, *PENHMETARECORD; 復制代碼

SDK中定義了不同的iType類型，如下所示。

根據iType類型的不同，dParm是不同的結構，EMR_SETDIBITSTODEVICE對應的結構是EMRSETDIBITSTODEVICE。

#!c++ typedef struct tagEMR {DWORD iType; // Enhanced metafile record typeDWORD nSize; // Length of the record in bytes.// This must be a multiple of 4. } EMR, *PEMR;typedef struct tagEMRSETDIBITSTODEVICE {EMR emr;RECTL rclBounds; // Inclusive-inclusive bounds in device unitsLONG xDest;LONG yDest;LONG xSrc;LONG ySrc;LONG cxSrc;LONG cySrc;DWORD offBmiSrc; // Offset to the source BITMAPINFO structureDWORD cbBmiSrc; // Size of the source BITMAPINFO structureDWORD offBitsSrc; // Offset to the source bitmap bitsDWORD cbBitsSrc; // Size of the source bitmap bitsDWORD iUsageSrc; // Source bitmap info color table usageDWORD iStartScan;DWORD cScans; } EMRSETDIBITSTODEVICE, *PEMRSETDIBITSTODEVICE;對于MRSETDIBITSTODEVICE::bPlay函數，其第一個參數為EMRSETDIBITSTODEVICE。為了驗證猜想的正確性，通過程序生成一個小的emf文件，對其中的iType進行修改，以便其執行到MRSETDIBITSTODEVICE::bPlay函數，將0x54（EMR_EXTTEXTOUTW）修改為0x50（EMR_SETDIBITSTODEVICE） 復制代碼

。

#!c++ HDC hEmf = CreateEnhMetaFile( 0 , "1.emf" , NULL , NULL ); RECT rect; rect.top = 0 ; rect.left = 0 ; rect.bottom = 20; rect.right = 200;char szStr[] = "WSAWSAW"; ExtTextOut( hEmf , 0 , 0 , ETO_OPAQUE , &rect , szStr , sizeof(szStr) , NULL ); CloseEnhMetaFile(hEmf); DeleteObject(hEmf); 復制代碼

由于我在Win7下，瀏覽存放EMF文件的目錄并沒有觸發EMF文件的解析，因此通過mspaint.exe加載1.emf文件，執行到

#!c++ int __thiscall MRSETDIBITSTODEVICE::bPlay(EMRSETDIBITSTODEVICE *this, HDC hdc, struct tagHANDLETABLE *a3, unsigned int a4) 復制代碼

函數時，可以看到ecx指向的數據與文件中的數據一致。

為了實現之前的猜想，實現越界寫操作，假定在((_DWORD *)v8 + 5) = v4->cbBitsSrc處實現了越界寫，這就要求v4->cbBmiSrc小于（64）。

由于MRSETDIBITSTODEVICE::bCheckRecord實現了對EMRSETDIBITSTODEVICE結構的合法性檢查。函數如下。

根據檢查的內容，對emf文件進行修改，使其滿足MRSETDIBITSTODEVICE::bCheckRecord檢查的各項條件，同時使v4->cbBmiSrc小于（6*4），最終得到如下文件內容。

用mspaint.exe加載emf文件，通過windbg可以觀察到所有的檢查都被繞過，同時LocalAlloc分配的內存大小為2。

之后的((_DWORD *)v8 + 2) = v9與((_DWORD *)v8 + 5) = v4->cbBitsSrc都將實現緩沖區越界寫入操作。

如果可以通過腳本在瀏覽器上顯示emf文件，則有可能利用該漏洞實現遠程代碼執行。另外值得一提的是補丁中修補的其他如MF16_*的函數，這些函數的調用點都存在如下的代碼段。這是對HDC的類型進行驗證，只有類型是0x660000時，才會執行這些函數，而我只在調用CreateMetaFile后才得到了類型是0x660000的HDC，屏幕上顯示時使用的HDC類型為0x10000。當HDC類型是0x660000時，調用PlayEnhMetaFile，最終不會執行PlayEnhMetaFileRecord。

總結

以上是生活随笔為你收集整理的MS15-035 EMF文件处理漏洞分析与POC构造的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。