Internet Explorer 10 Exploit 간단 정리

예전에 activex 취약점을 몇개 찾아서 계산기 실행 poc 작성하며 공부했던 것들을 겸사겸사 정리해 둔다.

일단 보호기법들이 꽤 많은데...

기본적인 Stack Cookie, SafeSEH, SEHOP, DEP/ASLR 외에도 IE 10 이상부터 적용된(또는 2014 년도 보안 패치 이후부터)  

Isolated Heap, Memory Protector(delayed free), VTable Guard, force ASLR 등이 있다.

결론적으로 무조건 다 100% 우회됩니다 라는 건 없지만 info leak 취약점 1개를 추가로 이용하면 대부분은 우회가 가능했다.

이용한 infoleak poc 가  Isolated Heap, Delayed Free 를 우회한 것이라서 stackpivoting -> dynamci rop -> 쉘코드 실행 만으로 공격에 성공했다.

아래 그림은 영문 버전이지만 한글 버전에서도 vtable offset 만 조절해주면 공격이 잘 되는 것을 확인했다.

# 간단 정리

1) crash 발견

2) eip 컨트롤

3) 쉘코드 작성

4) dynamic rop + shellcode 힙스프레이 코드 작성

5) stack pivoting (esp => 쉘코드) 가젯 확인

6) 전체 exploit 코드 작성

    infoleak -> heapspray -> stackpivot -> rop -> shellcode ~!!

끝. 자세한 설명은 나중에 고급강좌에서!