Office 2003 sp3(CVE-2012-0158)漏洞分析报告
|
软件名称:Office 2003 sp3 软件版本:2.0 漏洞模块:MSCOMCTL.ocx 模块版本:2.0.0.0 编译日期:2003 |
操作系统:Windows XP/2003/7/8.1/10 漏洞编号:CVE-2012-0158 危害等级:超危 or 高危 or 中危 or 低危 漏洞类型:栈溢出 威胁类型:本地 |
- 软件简介
Microsoft Office 2003 是微软公司针对Windows操作系统所推出的办公室套装软件,包含WORD、EXCEL、PowerPoint等三大组件,用处广泛,多以普及办公室、行政等。与办公室应用程序一样,它包括联合的服务器和基于互联网的服务。
- 漏洞成因
2.1漏洞介绍
CVE-2012-0158漏洞是一个栈溢出漏洞,该漏洞是微软Office办公软件中的MSCOMCTL.oce中MSCOMCTL.ListView控件时检查错误造成的,攻击者可以通过精心构造的数据控制程序EIP实现任意代码执行
CVE-2012-0158漏洞的微软编号是ms02-027
2.2复现漏洞
准备:获取造成漏洞的poc,安装 office 2003 sp3
使用winworld直接执行poc效果:
2.3调试漏洞
设置OD不忽略异常,不跳过异常,附加WINWORD程序
2.3.1定位漏洞触发点
分析溢出点附近堆栈,溢出点下面的堆栈一般是刚刚调用的函数的上一层函数堆栈,溢出后
可能已经破坏,溢出点上面的堆栈一般是刚刚执行的函数堆栈,可以发现有一个地址
275C8A0A,可以看出这个地址是 MSCOMCTL 模块中的地址,由此判断刚刚执行的函数中执
行了 MSCOMCTL 模块中的代码
多次调试发现无随机基址
在调用275C8A0A函数的外部函数下断点
重新调试,观察其返回地址在何处被改变
可以看出返回地址在275C8A05地址,调用MSCOMCTL.275C876D函数后被改变
接下来分析该函数,找到MSCOMCTL.OCX文件,使用IDA找到该函数静态分析一下
发现该函数中有拷贝函数
使用OD进行调试发现是拷贝出了问题,栈破坏将外层函数返回地址覆盖
调用它的函数,发现限定的字节数v7和dwBytes都是局部变量
且同为8282
使用010查看文件发现,两个字节数存储在文件中
改变数字,再次调试
EDI是参数,也就是第一个数是传进来的数字dzbyte,第二个数是限定的字节数v7
也就是可以随意的更改缓冲区的大小,填充时,局部变量存不下,破坏了堆栈
参考:
- 利用过程
漏洞利用的步骤:
1. 分析和设计漏洞 shellcode 的结构
2. 在运行的程序中寻找跳板指令地址
jmp esp
使用ImmunityDebugger+mona.py
将mona.py放入ImmunityDebugger的PyCommands目录中
在ImmunityDebugger中使用 !mona modules命令 遍历模块
找到 Rebase ,SafeSEH, ASLR,NXCompat 为 False ,而 OS DLL 为 True 的系统模块。(也就是,无保护,系统会调用的模块)
msvbvm60.dll
使用!mona find -s "\xff\xe4" -m msvbvm60.dll命令,在找到的模块中,查找jmp esp指令
找到一个可读可执行的jmp esp指令,0x729a0535
以小端方式放入文件缓冲区覆盖返回地址的位置
- PoC
jmp esp指令地址有了,接下来是写 shellcode
shellcode模板:
弹出一个messagebox,helloworld
posted on
