CVE-2012-0158 Microsoft Office 栈溢出漏洞分析

漏洞简介

Office很经典的一个栈溢出漏洞

实验环境

Microsoft Office 2003
Win Xp SP2

动态分析-定位漏洞

先用OllyDbg加载WinWord打开poc,此时产生了crash,可以看到EIP被篡改成了AAAA,并且通过栈回溯我们可以看到最近的一个返回地址为275C8A0AMSCOMCTL中。
crash.png
此时我们跟到275C8A0A处,发现是在函数275C89C7中,查看其上一句调用了275C876D函数。
栈回溯
看栈里面的内容:刚刚看到的275C8A0A返回地址在崩溃时跳转地址AAAA的低地址方向,说明这个栈已经被收回了。也就是说,已经执行完275C876D这个函数,在275C89C7函数返回时,执行到AAAA,导致程序崩溃。并且在ret前调用的最后一个函数是275C876D,从执行完275C876D函数往下看经过jl跳转最后ret发现并没有太多的栈操作,所以推断造成溢出是发生在275C876D函数中。
275C89C7函数
我们在275C8A05处下断点,重新执行poc,触发断点后步进275C876D函数。
275C876D函数
F7步入执行到275C87CB处,发现该代码实现将8D92008处数据往栈里复制0x20A0长度的操作,并且出现了AAAA,可以看出复制后刚好可以把栈上121820处的返回地址覆盖成AAAA
漏洞位置
覆盖返回地址
之后就是执行完275C876D,返回到275C89C7函数,执行完再返回时EIP指向41414141产生程序崩溃。

静态分析-分析漏洞

IDA打开MSCOMCTL.OCX,直接跳转到我们的漏洞函数275C89C7,可以看到触发漏洞的275C876D函数其实是叫CopyOLEdata。其中传入了在EBP-8位置的参数v7、字符串bstrString,以及一个通过if判断后大于等于8dwBytes。触发条件为首先从bstrString中读取0xC字节到临时变量v5中,并且判断v5的前四字节是否为Cobj以及dwBytes是否大于等于8
VulFunc
跟进触发漏洞的函数,可以看到会有一个qmemcpy函数(也就是之前在OllyDbg里看到的那条REP MOVS指令)将刚刚的bstrString复制dwBytes的长度到刚刚的EBP - 8的位置,发生了栈溢出。
CopyOLEdata
从这条qmemcpy赋值语句可以看出,该漏洞应该是个逻辑漏洞。上方判断条件为dwBytes ≥ 8,使得只要进入该分支,就会在赋值时长度大于8造成栈溢出而导致程序崩溃。按照程序逻辑,该判断条件应该为dwBytes ≤ 8
patch后的MSCOMCTL.OCX中也是将该分支的判断条件修改为了只有当dwBytes == 8时才会进入。
Patched

构造EXP-利用漏洞

通过前期调试可以看到最终崩溃点为41414141的地址,因此在poc.doc中去查询该字符串,即可定位到POC中劫持EIP的地方,如下图所示。
EIP覆盖位置
由于没开DEP保护,直接将41414141改为1245fa7f(7ffa4512 => jmp esp),并经调试在后面平衡2个指针大小的栈后,直接布置shellcode,最终达到命令执行。
构造exp
最终效果

  • TODO
    利用ROP构造EXP

分析POC-理解流程

先把利用oletools中的rtfobj扫描poc.doc得到如下结果。
oletool

文章目录
  1. 1. 漏洞简介
  2. 2. 实验环境
  3. 3. 动态分析-定位漏洞
  4. 4. 静态分析-分析漏洞
  5. 5. 构造EXP-利用漏洞
  6. 6. 分析POC-理解流程
,