来源于先知社区 - https://xz.aliyun.com/t/126
先知技术社区独家发表本文,如需要转载,请先联系先知技术社区授权;未经授权请勿转载。先知技术社区投稿邮箱:Aliyun_xianzhi@service.alibaba.com;
1分析环境
操作系统:Window xp Sp3
软件 :Office 2003 sp3
2 基本信息
漏洞类型:栈溢出
影响范围:Microsoft Excel 2002 SP3 and 2003 SP3, Office 2004 and 2008 for Mac
3 漏洞分析
Exp MD5: fbd4378af4ef2e249a6a81e1ba12db99
由于并没有找到对应的在实际攻击中的样本,这里我们使用Abysssec团队放出的exp
进行调试。
我们上windbg进行分析,我们的样本的并没有弹出那个计算器,我们现在打开Excel,
然后用windbg附加上,然后打开样本,有个异常错误。
我们首先将Excel.exe放到IDA中,然后查看这个地址属于哪个函数,在函数开头下断点,
在返回地址处,下个内存写断点,我们可以发现循环拷贝的地方导致覆盖了返回地址。
我们重点关注下这个地址。
首先我们先确定一下拷贝的函数在文件的位置
这是个循环复制,,第一次ECX为1,只复制了四个字节,我们用offVIS打开文件,发
现复制的是BOF字段的阴影中的四个字节。
我们看看第二次复制的情况,第二次复制的是从下面阴影开始的字段
而要复制的字段明显的超过栈空间,因为这个栈空间只有60h个字节,而复制的
而复制的要有300字节,导致栈溢出。
当我们知道了可以控制覆盖的数据的时候,还要去了解整个ECX是从何处来的,这个时
候我们断到溢出函数的起点来看看EXC来自的文件的何处。
我们在将上一层函数在IDA反汇编成伪代码,发现函数在执行之前会比较一下是否是A7。
在来看看Abysssec团队写的生成EXP的python脚本,我们发现了这个A7是recordTypt
我们再次打开OffVIS,我们可以看到这个是BIFFRecord
我们在往下看代码
我们发现sub_300DE7C5 返回的是3c跟比较的相同,
这个时候我们发现BIFFRecord下面的Contine 的Type也正是0x3c,经过我的实验,我
将这个3c改成其他的数,在动态调试,返现sub_300DE7C5这个函数返回的正式Continue的Type
我们继续调试,发现sub_300C3AA4返回的是Continue的长度,正式Continue的length字段,这个字段是的长度也是0x300,这个时候,我们可以肯定的就是这个Continue,就是控制复制长度
在次看Continue 字段的最后一个值 ContinueDate,正是复制的字段。
其实这个能实现完美利用的关键还在于,这个漏洞可以控制复制到那个位置,我们来看一下
首先这个先从ebp+34h的地方取出0c0f,后来又乘以了4
通过实验我们发现这两个就是BIFFRecord的Length 和Data
这两个相乘后,作为偏移加上eax放到 esi中
最后esi作为参数放入拷贝函数中,而这个就是拷贝的目标地址,这样我们就可以实现目标地址定位。
总结
这个漏洞通过栈溢出可以通过控制拷贝大小,拷贝位置实现精确控制,开发者在拷贝的时候,并没有对拷贝的大小进行控制。
