网络渗透与防护 课前预习 WIN漏洞-MS17-011漏洞分析-wb(文档附件）.docx

MS17-010：深入分析“永恒之蓝”漏洞 /qqarticle/details背景 从EternalBlue这个Exploit被影子经纪人公布到互联网上后，就成为了“明星”。在过去的五月中，这个Exploit被多款恶意软件利用。包括肆虐的WannaCryp0t，无文件的勒索软件UIWIX和SMB蠕虫EternalRocks。 EternalBlue(在微软的MS17-010中被修复)是在Windows的SMB服务处理SMB v1请求时发生的漏洞，这个漏洞导致攻击者在目标系统上可以执行任意代码。 漏洞分析 漏洞出现在Windows SMB v1中的内核态函数srv!SrvOs2FeaListToNt在处理FEA(File Extended Attributes)转换时，在大非分页池(内核的数据结构，Large Nond Kernel Pool)上存在缓冲区溢出。函数srv!SrvOs2FeaListToNt在将FEA list转换成NTFEA(Windows NT FEA) list前会调用srv!SrvOs2FeaListSizeToNt去计算转换后的FEA lsit的大小。然后会进行如下操作： 1.srv!SrvOs2FeaListSizeToNt会计算FEA list的大小并更新待转换的FEA list的大小 2.因为错误的使用WORD强制类型转换，导致计算出来的待转换的FEA list的大小比真正的FEA list大 3.因为原先的总大小计算错误，导致当FEA list被转化为NTFEA list时，会在非分页池导致缓冲区溢出 溢出分析 我们分析的srv.sys文件版本是6.1.7601.17514_x86。漏洞代码是利用srv!SrvSmbOpen2函数被触发。函数的调用栈如下 1 2 3 4 5 6 7 8 00?94527bb4srv!SrvSmbOpen2 -?SrvOs2FeaListSizeToNt() 01?94527bc8?821721b8?srv!ExecuteTransaction+0x101 02?94527c00?8213b496?srv!SrvSmbTransactionSecondary+0x2c5 03?94527c28?8214a922?srv!SrvProcessSmb+0x187 04?94527c50?82c5df5e?srv!WorkerThread+0x15c 05?94527c90?82b05219?nt!PspSystemThreadStartup+0x9e 0600000000?nt!KiThreadStartup+0x19 为了分析溢出时的内存状态，我们可以通过如下方式来下断点： 1 bp?srv!SrvSmbOpen2+0x79?“.printf?\”feasize:?%p?indatasize:?%p?fealist?addr:?%p\\n\”,edx,ecx,eax;g;” 当程序断下来后，我们得到如下十六进制的值（括号内是对应的十进制） 1 2 3 feasize:(65536) indatasize:?000103d0?(66512) fealist?addr:?89e980d8 从这里我们可以看出IN-DATA的大小为65512，和NT Trans Request请求中Total Data Count的值一样且比FEA list的大小(65536)大。 IN-DATA会被转换为FEA list的结构，FEA list结构如下图所示 当IN-DATA转换完成后，我们得到FEA的大小65536)，这个值被存放在FEALIST-cbList中。接下来将会分配一个缓冲区用来存放将FEA list转换为NTFEA list后的数据。这就意味着需要通过函数srv!SrvOs2FeaListSizeToNt计算转换后NTFEA list的大小。 为了查看这个函数的返回值，我们可以这样下断点： 1 2 bp?srv!SrvOs2FeaListToNt+0x10?“.printf?\”feasize?before:?%p\\n\”,poi(edi);r?$t0?=?@edi;g;” bp?srv!SrvOs2FeaListToNt+0x15?“.printf?\”NTFEA?size:?%p?feasize?after:?%p\\n\”,eax,poi(@$t0);g;” 断下来后，我们可以得到 1 2 3 feasize?before:feasize?after:?0001ff5d NTFEA?size:?00010fe8 我们