CVE-2010-3333：Microsoft RTF 栈溢出漏洞调试分析

0x01 前言

• CVE-2010-3333 漏洞是一个栈溢出漏洞，该漏洞是由于 Microsoft文档在处理 RTF 数据的对数据解析处理错误，在进行内存操作时没有对操作的数据进行长度限制，导致存在内存漏洞，根据漏洞可以很容易构造出恶意的 RTF 文档，危害较大
• 环境
  
  windows XP sp3（未启用 ASLR 和 DEP）
• 漏洞软件
  
  Microsoft Office 2003（提取码：woi9）
• 分析工具
  
  Windbg（Windbg32，Windbg64）
• metasploit 构造的样本
  
  能触发漏洞产生异常的 Poc，由 metasploit 构造（提取码：px76）
• 目的
  
  通过栈回溯的方式找到漏洞溢出点，分析漏洞成因和利用条件

0x02 通过 metasploit 来构造样本

• Kali 王牌工具 metasploit，渗透测试必备。查一下这个漏洞的利用信息
  
  
• Microsoft Office 2002、2003、2007的版本都有中枪，前提是没有打过补丁
  
  
• 生成一下 Poc，这里并不是攻击样本，只是验证漏洞的；本来想演示攻击的，但是靶机网卡出问题了
  
  
• 以下就是 Poc 的样本，用 word 打开它就应该会触发异常

0x03 定位异常点

• 使用 Windbg 载入
  
  
• 附加进程
  
  
  
  
• 运行之后，载入样本文档
  
  
  
  
• Windbg 定位在了异常处
  
  

0x04 函数调用分析

• 在异常处断点，重新运行一遍
  
  
  
  
• 查看堆栈
  
  
• 在 mso!Ordina12118+0x272f 中调用了异常函数
  
  
• 下 0x30f0da9a 的断点，重新运行
  
  
• 单步跟踪
  
  
  
  
• 这个函数的地址和异常点非常接近，按 t 进入该函数
  
  
• 继续单步跟踪
  
  
• 来到异常触发点，可以看出异常触发点由函数 mso!Ordinal2118+0x272f 调用，此时 edi 的地址距离栈顶有 0x10 个字节，再加上 ebp 就是差 0x14 个字节溢出到返回地址
  
  

0x05 样本分析

• 在异常处查看 esi 和 edi 的地址，其中 esi 中是样本中构造的数据，0x12a2b0 中是将要被复制的地址
  
  
• 顺便看一下内存页的状况和内存页的权限，可以看出都是可以读写的，好像是说明内存页没有受到 DEP 的保护耶
  
  
• 单步执行
  
  
• 可以发现正在一步一步的复制，直到复制到字符串为 6Aa7 时才完全覆盖返回地址，也就是 0x14 到 0x18，记下此时的 16 进制数据为 36 41 61 37
  
  
• 看一下样本的数据，从 acc8 往后复制的数据和样本当中是一模一样的
  
  
• 最后重新运行一下，不下任何断点，直到异常处查看堆栈信息，发现此时的堆栈已经被样本数据完全的溢出覆盖了，函数的返回地址为 0x37614136，刚好为刚才 0x14 到 0x18 的值
  
  

0x06 利用

• ASLR 没有，内存页也是可读写的（可能根据操作系统分情况讨论），SafeSEH 没有，什么防护也没有
  
  
• 既然没有防护，那么很简单利用 jmp esp 这类的固定地址直接跳到 shellcode 即可

0x07 总结

• 栈溯源还是比较简单的，但是寻找漏洞难度很高，需要根据不同的情况来分析，Windbg 确实没有 OD 来的顺手，但分析 Windows 程序时还是有它的优势的
• 参考资料：0day安全：软件漏洞分析技术 + 漏洞战争