本文详细解析了CVE-2017-11882漏洞,涉及EQNEDT32.EXE进程中的MathType ole数据处理缺陷,展示了如何通过POC实现计算器弹出并深入剖析了漏洞触发过程和溢出原因。利用WinExec函数和IDA工具,揭示了字符复制导致的栈缓冲区溢出,并提供了相关参考链接。
漏洞描述
CVE-2017-11882是微软公布的一个远程执行漏洞,该漏洞的成因是EQNEDT32.EXE进程在读入包含MathType的ole数据时,在拷贝公式字体名称时没有对名称长度进行校验,从而造成栈缓冲区溢出。
分析环境
Win7 x64
Office 2010
POC
https://github.com/Ridter/CVE-2017-11882
漏洞分析
在虚拟机下运行exploit.rtf,弹出计算器
已知漏洞出现在EQNEDT32.EXE中,设置映像劫持,在EQNEDT32.EXE调用时直接使用调试器进入调试状态
在WinExec函数下断
可以看到漏洞触发前的函数调用为0x4115A7
逐步跟踪,发现在调用地址为0x4115d3的0x41160F函数时,没有正常返回,直接调用WinExec
重点观察0x41160F函数
在执行0x411658地址代码后,原返回地址被淹没
使用IDA定位,发现是使用了strcpy函数导致的溢出
回溯上一层
rep movsd,esi循环赋值给edi,也就是将传入的arg_0参数的值赋值到var_28中
由于var_28分配的空间是0x24,超过此长度就会产生溢出,从而覆盖返回地址
因此传入的数据超过0x2C就回覆盖返回值,在POC中的返回值是硬编码形式
0x430c12是返回地址,因此返回调用WinExec
使用rtfobj解出流文件
使用olebrowse查看流信息,发现是在Equation Native流中构造的数据,该流的数据由用户所提供,正常情况下,流里面的数据代表一个MathType的公式,而恶意攻击者构造的数据
因此,该漏洞成因是在读入公式的Font Name数据时,在将Name拷贝到函数内局部变量的时候没有对Name的长度做校验,从而造成栈缓冲区溢出
参考
【漏洞分析】CVE-2017-11882漏洞分析、利用及动态检测
https://www.anquanke.com/post/id/87311
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
