九游老哥

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
AI清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划 AI清静 AI清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务九游老哥网站清静监测服务Websafe 九游老哥黑洞云洗濯服务 CCSS 九游老哥网站云防护服务 WCP 九游老哥威胁情报中心NTI 九游老哥科技威胁情报云端解决计划九游老哥科技威胁情报外地解决计划九游老哥威胁检测与响应服务MDR 九游老哥外部攻击面治理服务EASM 九游老哥轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营九游老哥云九游老哥云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京九游老哥公益基金会鲲鹏基金产品清静软件升级

返回列表

剖析分享: Hacking Team Flash 0Day

2015-07-14

宣布者：九游老哥科技

Content

误差：Flash 0Day
- 为什么是Flash 0Dday
- 误差触发
- 受影响系统
攻击：误差使用
- 触发原理
- 动态调试
- 提权验证
- 使用形式
防护：思绪及建议
- 思绪
- 建议
教学：Flash误差剖析
- Flash配景知识
- Flash文件名堂
- Flash常用工具先容
- AS剧本
- Flash ActiveX控件先容
威胁情报
关于九游老哥科技

内容导读

Hacking Team事务已经已往1个星期，社会各界针对泄露数据的剖析还在举行中。为了资助清静手艺从业者后续能够有更多的人加入到剖析步队中来，九游老哥科技清静手艺专家将Flash 0Day的剖析要领开放出来跟各人共享，便于手艺职员能够入手Flash 0Day误差剖析。

1. 6日，威胁响应中心启动应急剖析事情，九游老哥TAC产品阻挡到Flash 0Day误差攻击；
1. 6日夜，相关信息及起源建议，第一时间见告客户关注；
1. 7日，在官网网站宣布紧迫通告，建议宽大用户关注事务希望。剖析事情希望希望中；
1. 9日，宣布Hacking Team远程控制系统简要剖析报告，同时宣布防护计划；
1. 13日，就Hacking Team Flash 0Day的剖析历程资料分享。

在看完本报告后，若是您有差别的看法，或者需要相识更多信息，请联系：

九游老哥科技威胁响应中心微博
http://weibo.com/threatresponse
九游老哥科技微博
http://weibo.com/nsfocus
九游老哥科技微信号
搜索公众号九游老哥科技

误差：Flash 0Day

自7月5日晚，Hacking Team被Gamma Group Hacker攻陷以来，其泄露的400GB数据包一连在业界撒播发酵，九游老哥科技威胁响应中心一连跟踪事态希望，给出系列剖析报告，同时也将相关解决计划提供应相助同伴及最终用户，以便用户能够应对可能爆发的攻击，此次事务告一段落。今天九游老哥科技清静手艺职员将针对此次泄露的Flash 0Day误差，将剖析要领、工具及相关知识分享出来，希望更多的清静行业从业者能够从中有所获益。

为什么是Flash 0Dday

九游老哥科技一直加入微软MAPP妄想，该妄想内里也包括了Adobe公司爆出的误差，通过以往恒久跟踪剖析的履向来看，Adobe误差主要集中在两款产品一个是Abode reader，另一个就是Adobe Flash。此次报告剖析的误差就是关于后者的误差，该误差在九游老哥科技误差库中具有这些标识，CVE-2015-5119，Adobe Flash Player Actionscript 3 ByteArray释放后重用远程误差（CVE-2015-5119），BUGTRAQ ID: 75568 ，CVE(CAN) ID: CVE-2015-5119

为什么Hacking Team用了Flash误差，是由于Flash误差相比其他软件，协议，服务的误差要更难剖析和使用，一方面可以为黑产竞争者制造壁垒，同时也为剖析和防护Flash 0Day提升难度。究其缘故原由有以下几个方面：

没有符号表:Flash软件不是微软提供的软件，以是没有提供标准的符号表，较难定位到详细的函数位置，现在做这方面剖析的组织未几。
虚拟机机制:现在常见的Flash Player都集成了AVM2，将AS编译的字节码直接跑在虚拟机上，由AVM2来诠释执行。一方面利便了swf文件的移植，另一方面，相关于剖析其他软件的误差来说，无疑又是多了一层�；�。
沙箱机制:Flash清静模子使用清静域的沙箱来疏散内容。Flash沙箱除了隔离内容外，还能阻止名字冲突（有点类似命名空间）。沙箱系统中差别的清静域使得SWF文件在Flash播放时运作在自身的沙箱里。若是想要突破沙箱机制，需要对Flash沙箱原理要有较量透彻的明确。
IE�；せ�:现在的Flash一样平常都嵌入到网页，若是想使用Flash误差来获取权限，无疑受到IE等浏览器自己机制的�；�，好比IE，Chrome的沙箱机制。这就要求对沙箱机制和怎样绕过沙箱有个整体详尽的相识，也就是说想通过Flash误差来获取更高的权限照旧要有更高的功底。
没有完整的POC:关于误差剖析和使用若是没有POC，那也只能靠自己去挖掘这个误差; 另一方面若是缺少完整的POC，攻击者只能自己去写代码，以是业界及主管机构都是严酷控制POC的撒播。

POC的基本功效就是验证并触发该误差或是Bug保存，可是能触发误差，不代表就一定能使用误差；有些误差是不可使用，虽然我们也可以不管这类误差叫误差，而只能称之为Bug。但此次泄露出的Flash0day数据，是可以被触发的。

误差触发

那么此次的误差若是被触发，会有什么样的效果呢？先来看看误差触发后的征象。通太过析，使用该误差可以在IE中稳固的执行系统可执行文件，好比在下图中就弹出了盘算器。

要领很简朴使用结构的test.html加载swf文件，在加载swf文件时IE会提醒要加载ActiveX插件，运行就行。加载插件后点击图中的”run calc.exe”按钮即可弹出盘算器，误差使用乐成。这个实验中使用Win7 64位、IE11，能稳固触发误差。

受影响系统

Adobe Flash Player保存一个严重的释放后重使用内存破损误差，攻击者可能远程获适目今用户的权限。此误差影响大宗Flash Player版本，此误差影响大宗Flash Player版本，现在已有可使用的攻击代码果真宣布，强烈建议受影响用户更新到目今厂商提供的最新版本。

Adobe Flash Player <= 18.0.0.194
Adobe Flash Player <= 18.0.0.194
Adobe Flash Player Extended Support Release 13.x
Adobe Flash Player Extended Support Release 13.0.0.296
Adobe Flash Player for Linux 11.x
Adobe Flash Player for Linux 11.2.202.468

攻击：误差使用

触发原理

该误差是一个典范的UAF释放重使用的误差。用户改写字节数组巨细，在原来字节数组释放后，重新分派，导致该数值被写入已经释放的内存中，造成释放重使用。

动态调试

由于HackingTeam泄露出的数据中袒露了Flash 0Day误差源码，我们的得以使用CS举行动态调试。

源码级调试剖析

使用CS装载源文件中的fla原始档，和其他as文件。天生SWF文件

可以看出先是挪用了MyClass.as文件中的InitGui函数来初始化GUI元素并输出一些系统相关信息，点击swf文件中的button按钮就会挪用响应的处置惩罚函数如下图所示：

处置惩罚函数btnClickHandler内里首先挪用了TryExpl函数如下图所示：

接下来就看看TryExp1函数内里是怎么样做到误差使用的，进入该函数

从给出的源码可以看出先是声明晰变量alen=90然后声明一个数组a并将数组的各元素赋值，在AS中Array数组类型的变量不像C/C++数组一样要求是统一类型的数据在可以放到数组内里，在AS中差别类型的变量工具可以放到统一数组内里。从源码可以看出，a数组的90个元素是MyClass2工具和ByteArray类型数组交替泛起，并且每分派两个MyClass2元素才会分派一次BtyeArray类型数组，那么现实运行效果是怎么的呢，我们使用CS调试功效在for竣事后的下一条语句下了断点显示如下图：

从图中看出我们在for(i=alen-5;i>=0;i-=3)处下了断点，在调试运行后，让a数组填充完毕；左上部紫色的框给出了按钮按下后客栈中函数挪用关系，btnClinckHandler->TryExp1。左下方的红框给出了a数组赋值完成后每个元素的现实值，从图中看出，除了a[0]外，每泛起一次ByteArray元素要泛起两次MyClass2元素，这和我们适才通过静态代码剖析的效果是一致的。

接下来就是一个for(i=alen-5;i>=0;i=3)语句，前面知道alen=90那么在第一次循环时i=85通过源代码中的赋值我们知道a[85]的巨细是0Xfa0，源码中将_ba=a[i]也就是第一次将a[85]赋给_ba(也就是_ba巨细为0xfa0)同时将一个新的Myclass类赋给_ba的第四个字节_ba3。如下图所示

接下来就要动态跟踪一下a[i]是不是a[85]若是是a[85] 那么又是什么类型，为了能审查i的值究竟是不是a[85]我在源码中添加了一条调试语句trace(“the number of i =”)看i的值打印几多，凭证之前设置的断点，单步执行源代码，如下图所示：

从图中可以看出右下方打印出i的值是85，恰恰我们剖析的一致，从左边图可以看出a[85]元素的类型是ByteArray类型。接下来代码中会将MyClass工具赋值给_ba3。由前面先容的知识我们知道，在MyClass工具赋给一个基本类型时，会挪用ValueOf函数，这里给工具MyClass界说了ValueOf函数，以是在赋值之前会挪用该函数。

继续单步跟进_ba3=new MyClass();挪用自界说的ValueOf函数

在我们单步跟踪调试ValueOf函数，_gc数组除了在TryExp1中加入a数组元素外（_gc.push(a)），又通过valueof函数，加入了-va元素(_gc.push(_va))，这样_gc数组就有两个元素，一个是a数组元素，一个是_va数组元素，每个元素又是数组类型，a数组有90个元素，前面已经先容过了，_va有5个元素，如图中左边显示的效果。在TryExp1中_ba=a[i]巨细为0xfa0在valueof函数中_ba通过_ba.length=0x1100会释放调原来的空间而重新分派内存巨细。同时通事后面的_va[i]=new Vector.(0x3f0)来重新使用释放的内存。前面我们先容过，在分派vector类型的空间时其前四个字节是vector巨细也就是说，在被释放的空间的最先四个字节会写入0x3f0。

而在_ba3=new Myclass()中_ba3现实指向的内存地点照旧释放后的内存地点以是在返回40后被释放的内存的数据就是0x400003f0。

UAF误差图解

a. 通过a数组建设ByteArray类型元素数据，设置长度为0xfe0：

b.通过挪用valueof函数中的_ba.length=0x1100，释放该空间

c.挪用分派vector来占有被释放的内存，由前面的知识，我们知道Uint vector包括了8字节的头部信息，其中最先的4字节是长度字段。

d.在valueof返回0x40后，写入到之前_ba3指向的地点中

动态跟踪审查效果

在Myclass工具挪用valueof之前空间内存是esi-3，如下图所示

在挪用length=0x1100后，内存空间被释放，申请的vector使用释放后的空间，从下图可见vector前四个字节值是0x3f0

在valueof返回后_ba3指向的第四个字节0x10a70003被赋值为0x40

此时vector的长度字段已经酿成了0x400003f0

提权验证

那么使用该误差是否可以抵达提权的目的呢，让我们来验证一下。使用windows7自带的IIS服务搭建一个Web服务，将test.html和exp1.swf放在web服务目录中同时将test.html中对exp1.swf引用改为绝对地点引用，这样在会见test.html时利便加载exp1.swf。设置IE启动�；つＪ�，同时需要启动ProcessExplorer工具来监控IE历程和历程的权限品级。

从ProcessExplorer效果来看历程ID为1792的iexplore是沙箱历程，爆发的子历程6512是在会见test.html是天生的一个Tab，如下图

虽然有多个IETab标签时会有多个子历程，同时受到一个沙箱历程的�；�，从图中看出沙箱历程品级是Medium，属于标准用户权限品级，而子历程6512则是low品级，是沙箱中的IE TAB历程的默认品级，IE沙箱中的IE TAB历程默认品级就是低。从图中可以看出，IE TAB子历程爆发的calc子历程也是low。

使用形式

由此上面的剖析，我们可以看出使用该误差并未抵达权限提升的效果，也就是说，攻击者单独使用这个Flash 0Day误差是无法获得高权限的，它只是建设了一个低品级的历程，需要团结其他要领来提权，好比此次泄露数据中的windows内核字体权限误差，使用此内核误差是很容易提升权限的。同时，团结之前我们对Hacking Team远程控制软件的剖析，可以看到其署理有两种装置方法：

熏染移动介质与许多木马、病毒及流氓软件的撒播方法一样，该软件首先照旧接纳这种低本钱的方法举行，熏染一些能够接触目的的移动媒体，好比CD-ROM、USB等，即即是OS 或者BIOS设置了密码也一样可以熏染，从而获取一些情形数据，好比电脑是否可以上网等，为后续的行动提供参考依据。
署理攻击接纳软件或硬件的系统，能够在网络会话历程中修改和注入数据，在某些情形下，可以注入到系统并难以被检测到。同时，也能够熏染Windows平台上的可执行文件，若是目的电脑从网站上下载并执行这些可执行文件时，Agent将在后台自动装置，用户不会知晓。

那么，我们这里可就可以画出一张可能的入侵以致实现监控目的链条：

防护：思绪及建议

思绪

万变不离其宗，在上面的攻击链条中，有很要害的一条，用户需要执行恶意代码，误差使用才华乐成，那么从防护的角度来说至少需要有这些层面，1要能够侦测到恶意的Flash剧本；2要能够阻断Flash剧本的执行；3即便在执行后能够查杀恶意历程。值得一提的是，从下面的截图中可以看到在各人四处下载400GB泄露数据包的时间，恶意swf就藏在这些网站页面中，从这一点就可以看到其攻击目的很明确，针对中心环节的攻击从未阻止。请下载这些数据包的人需要小心审慎，不要四处撒播这些数据包。

在上次防护计划中，我们也提出用Intrusion Kill Chain模子来举行Flash 0Day以致后续攻击的防护计划的参考，详细的剖析请参考那篇报告。

建议

同时，从用户的角度来说，建议您可以接纳如下方法来防御Flash 0Day误差以及以后的类似误差

建议您升级最新的Flash Player，详细请会见： https://get.adobe.com/flashplayer/?loc=cn
建议您升级最新的清静产品规则库，详细请会见： http://update.nsfocus.com/
建议您装置or升级最新杀毒软件，好比使用清静级别更高的猎豹 FireFox浏览器
若是上面的步伐实验需要一准时间，建议您暂时禁用Flash插件

由于Flash使用量重大，以是攻击者对他的剖析以及暴漏出来的误差是相当的多且频仍，仅在近两个月，九游老哥科技误差库就更新宣布了一系列相关误差，详细信息请盘问清静误差通告： http://www.nsfocus.net/index.php?act=sec_bug

教学：Flash误差剖析

在上面的剖析中可以看到许多的术语和手艺细节，为了资助剖析职员剖析及应对这个误差，下面就团结此次Flash 0day误差，谈谈关于Flash方面的知识。

Flash配景知识

Flash又被称之为闪客，2005年12月3日被Adobe公司收购。Flash通常也指Macromedia Flash Player（现Adobe Flash Player）。2012年8月15日，Flash退出Android平台，正式离别移动端。Flash是一种动画创作与应用程序开发于一身的创作软件，到2013年9月2日为止最新的零售版本为Adobe Flash Professional CC（2013年宣布）。现在用的最多的产品是Adobe Flash Professional CS6。

Flash动画说究竟就是”遮罩+补间动画+逐帧动画”与元件（主要是影片剪辑）的混淆物，通过这些元素的差别组合，从而可以建设千变万化的效果。Flash是一个很是优异的矢量动画制作软件，它以流式控制手艺和矢量手艺为焦点，制作的动画具有短小精悍的特点，以是被普遍应用于网页动画的设计中，以成为目今网页动画设计最为盛行的软件之一。

Flash影片的后缀名为.swf，swf在宣布时可以选择�；すπ�，若是没有选择，很容易被别人输入到他的原始档中使用。

“fla”是Flash的原始档，只能用对应版本或更高版本的Flash翻开编辑。

Actionscript是一种程序语言的简朴剧本文件，.fla原始档能够直接包括Actionscript，可是也可以把它存成AS档做为外部连结档案（如界说Actionscript类则必需在写在as文件里，再通过import加入类），以利便配合事情和更进阶的程序修改。

而关于一样平常的Flash方面的误差集中于Actionscript剧本剖析执行的误差使用。现在AS的最高版本是AS3.0。

Flash文件名堂

关于Flash文件，着实和我们平时用的PE文件，ELF及Dex文件类似，也是由一命名堂的数据结构组成。Flash文件的扩展名为.swf，其头部名堂如下图

再好的说明也没有现实的例子明确的深刻，那我们就团结两个现实Flash的swf文件看看SWF头部结构，如下图所示：

凭证对swf文件头部的先容，不需要大篇幅的文字来说明swf文件头部的结构，团结上面的两幅图，来自于两个差别的文件，exp1.swf，exp2.swf。可以清晰的看到swf文件的的总体结构。

图中的两个swf文件，一个是压缩过的exp1.swf，一个是未压缩的exp2.swf。exp1.swf和exp2.swf由统一个fla原始档和AS剧本编译而成；exp1.swf被压缩，exp2未被压缩。从下图也可以看到两个文件巨细的比照情形：

上面两幅swf剖析图来自于二进制审查工具010 Editer的截图，在官方下载swf.bt模板，导入010 Editer工具中，翻开swf文件，运行模板插件即可识别出二进制文件类型及结构。

简朴先容一下，凭证文件头部的说明，文件头部的前三个字节是标识符的最先位为0x46、0x57、0x53（”FWS”）或者0x43、0x57、0x53（”CWS”）其中之一。 “FWS”标识符说明该文件是未压缩的SWF文件，”CWS”标识符则说明该文件前8个字节之后（即文件长度字段之后）的所有数据为开源的标准ZLIB方法压缩，如上图exp1.swf所示；标识符之后是一个字节的版本号，这个版本号并不是一个ASCII码，而是一个8位的数字，好比，图中显示的版本值是0x0F。

文件长度字段是整个包括文件头在内的文件字节长度，若是是未压缩的SWF文件（标识符FWS），那么长度字段应该是和文件巨细恰恰匹配，若是是一个经由压缩的SWF文件（标识符CWS），那么文件长度字段是指文件经由解压缩之后的总长度，因此它一样平常不会和文件巨细匹配，若果使用未压缩的文件尺寸能够让解压历程获得更高的效率，从上图中的exp1.swf看出使用了未压缩文件巨细76528，和exp2.swf一样的巨细。

帧率是以帧每秒为单位的帧回放比率，在exp2中给出的帧率是12，可是在压缩文件exp1中已经被压缩，压缩算法是zlib.帧数是整个SWF影片帧的总数目。从图中看出，在压缩文件exp1也已经被压缩。文件头之后是一系列一连的标签数据块，所有的标签都共享一种通用名堂如下图：

Exp2文件的一个整体结构如下图所示：

对swf文件名堂的简朴先容就到这里，标签的详细内容这里就不做深入解读了。关于怎样审查压缩之后的swf文件内容，会在后面先容。

Flash常用工具先容

关于Flash常用工具，包括编译工具、反编译工具等。这里团结HackingTeam给出的Flash0Day误差源码来学习一些常用的Flash工具。

编辑编译工具：CS

这款工具就是Flash编辑工具CS6.0，也是现在制作Flash动画使用最多的一款工具。该工具具有针对AS剧本简朴的调试功效。团结Hackingteam给出的源代码，让CS6.0直接加载源代码中的.fla原始档文件。之后直接运行”Ctrl+Enter”会在源代码目录下天生.swf文件。虽然该.swf文件包括了AS剧本的ABC字节码内容；编译后的效果如下图所示，由于在给的Flash0Day误差源码中已经给出了一些调试信息，以是在点击”run cale.exe”后，所有泛起了一些调试信息，如图所示：

该工具还提供简朴的调试功效，为了能够审查和调试AS源码文件，可以同时翻开AS源码，加入调试信息或是设置断点来调试AS源码，如图所示

压缩与非压缩SWF文件

以前面看到的贴图知道，关于SWF文件有压缩名堂与非压缩名堂，那么为什么会有压缩名堂与非压缩名堂。在CS5.0以前爆发的swf默认都是非压缩名堂。若是需要对swf文件压缩需要借助其他的swf压缩工具，好比说MinifySWFFlash Optimizer，LiatoSWF等；而在CS6.0，集成了lzma(7-zip)和zlib压缩算法，对编译的swf文件默认都是压缩名堂，以是我们看到的HackingTeam默认编译的exp1.swf是一种压缩名堂。

若是想编译出非压缩名堂的swf文件，要领也很简朴，只需要在宣布影片时设置非压缩即可，如下图所示

反编译工具：AS Sorcerer

关于已经宣布的swf文件，都不会带有源码，对我们调试swf文件就带来了不小的贫困，类似剖析Android的DEX文件，都是执行在虚拟机中，由虚拟机来诠释执行字节码。DEX文件由反编译工具可以反编译出java源码，那么swf文件也有类似的工具，凭证SWF文件名堂和ABC字节码反编译出类源码的文件。

Swf反编译工具也较量多，这里举个例子使用AS Sorcerer工具来将编译好的swf文件重新剖析，下图是HackingTeam爆出了Flash0Day源码

$(".info_chag img").each(function () { $(this).css({ "max-width": "100%","height": "auto","display":"inline-block" }).parent().css({"text-align":"center"}); });

<<上一篇

防护计划：Hacking Team数据泄露事务

>>下一篇

新型PLC蠕虫病毒及应对战略

?

您的联系方法

购置热线

提交项目需求

接待加入九游老哥科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

九游老哥·(中国)俱乐部官方网站

九游老哥·(中国)俱乐部官方网站

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

九游老哥科技社区

九游老哥科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于九游老哥: 公司先容; 公司声誉; 九游老哥书橱; 九游老哥新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系九游老哥: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: 九游老哥云; 九游老哥威胁情报中心NTI; TechWorld手艺嘉年华; 北京九游老哥公益基金会; 手艺博客; 乐成案例

微博

微信

B站

抖音

视频号

视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

? 2026 NSFOCUS 九游老哥科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号