:: heestory.me ::

exploit-db 에 샘플이 올라왔길래 구경하다 블로그에 조금 더 자세한 설명이 있길래. 

이건...뭐.........예술이다;;

어떻게 이런 생각을 했을까-0-;;

flash를 사용하여 heap spray를 한 다음, IE의 UAF bug를 이용하여 임의의 메모리를 inc 명령을 내린다. (call ecx 같은 부분을 exploit 한 것이 아니다..)

단 1을 증가시킬 수 있는 코드이지만, 메모리를 잘 조작하여(align을 약간 꼬면..) 1이 증가하는 것이 아니라, 0x01000000을 증가 시킬 수 있다. 

그리고 이를 이용하여 객체의 길이가 변경되었기 때문에, array상에 있는 다음 객체에 직접적으로 접근이 가능하게 되고, 

이를 이용해서 다음 객체의 길이를 다시 한번 수정한다.(0x3fffffff으로)

이로서 프로세스의 전체 메모리에 접근이 가능하게 된다.

이를 이용하여 동적으로 payload를 구성하고 flash에서 생성한 객체의 vtable를 수정하여 호출하면 exploit 성공...

이건 뭐..................할말이 없구나......;;; 좀 대단한듯-0-;;...

ps. 2014.05.01

이 방법이 이미 작년에 나온 기법이구나...-0-..

자세한 설명은.

"ASLR Bypass Apocalypse in Recent Zero-Day Exploits" 라는 제목의 아래 링크 글을 참조하면 된다.