漏洞简介
Office很经典的一个栈溢出漏洞
实验环境
动态分析-定位漏洞
先用OllyDbg加载WinWord打开poc,此时产生了crash,可以看到EIP被篡改成了AAAA,并且通过栈回溯我们可以看到最近的一个返回地址为275C8A0A在MSCOMCTL中。
此时我们跟到275C8A0A处,发现是在函数275C89C7中,查看其上一句调用了275C876D函数。
看栈里面的内容:刚刚看到的275C8A0A返回地址在崩溃时跳转地址AAAA的低地址方向,说明这个栈已经被收回了。也就是说,已经执行完275C876D这个函数,在275C89C7函数返回时,执行到AAAA,导致程序崩溃。并且在ret前调用的最后一个函数是275C876D,从执行完275C876D函数往下看经过jl跳转最后ret发现并没有太多的栈操作,所以推断造成溢出是发生在275C876D函数中。
我们在275C8A05处下断点,重新执行poc,触发断点后步进275C876D函数。
F7步入执行到275C87CB处,发现该代码实现将8D92008处数据往栈里复制0x20A0长度的操作,并且出现了AAAA,可以看出复制后刚好可以把栈上121820处的返回地址覆盖成AAAA。
之后就是执行完275C876D,返回到275C89C7函数,执行完再返回时EIP指向41414141产生程序崩溃。
静态分析-分析漏洞
用IDA打开MSCOMCTL.OCX,直接跳转到我们的漏洞函数275C89C7,可以看到触发漏洞的275C876D函数其实是叫CopyOLEdata。其中传入了在EBP-8位置的参数v7、字符串bstrString,以及一个通过if判断后大于等于8的dwBytes。触发条件为首先从bstrString中读取0xC字节到临时变量v5中,并且判断v5的前四字节是否为Cobj以及dwBytes是否大于等于8。
跟进触发漏洞的函数,可以看到会有一个qmemcpy函数(也就是之前在OllyDbg里看到的那条REP MOVS指令)将刚刚的bstrString复制dwBytes的长度到刚刚的EBP - 8的位置,发生了栈溢出。
从这条qmemcpy赋值语句可以看出,该漏洞应该是个逻辑漏洞。上方判断条件为dwBytes ≥ 8,使得只要进入该分支,就会在赋值时长度大于8造成栈溢出而导致程序崩溃。按照程序逻辑,该判断条件应该为dwBytes ≤ 8。
在patch后的MSCOMCTL.OCX中也是将该分支的判断条件修改为了只有当dwBytes == 8时才会进入。
构造EXP-利用漏洞
通过前期调试可以看到最终崩溃点为41414141的地址,因此在poc.doc中去查询该字符串,即可定位到POC中劫持EIP的地方,如下图所示。
由于没开DEP保护,直接将41414141改为1245fa7f(7ffa4512 => jmp esp),并经调试在后面平衡2个指针大小的栈后,直接布置shellcode,最终达到命令执行。
- TODO
利用ROP构造EXP
分析POC-理解流程
先把利用oletools中的rtfobj扫描poc.doc得到如下结果。