CVE-2012-0158 Microsoft Office 栈溢出漏洞分析

漏洞简介

实验环境

Microsoft Office 2003

Win Xp SP2

动态分析-定位漏洞

先用OllyDbg加载WinWord打开poc,此时产生了crash,可以看到EIP被篡改成了AAAA,并且通过栈回溯我们可以看到最近的一个返回地址为275C8A0AMSCOMCTL中。

crash.png

此时我们跟到275C8A0A处,发现是在函数275C89C7中,查看其上一句调用了275C876D函数。
栈回溯

看栈里面的内容:刚刚看到的275C8A0A返回地址在崩溃时跳转地址AAAA的低地址方向,说明这个栈已经被收回了。也就是说,已经执行完275C876D这个函数,在275C89C7函数返回时,执行到AAAA,导致程序崩溃。并且在ret前调用的最后一个函数是275C876D,从执行完275C876D函数往下看经过jl跳转最后ret发现并没有太多的栈操作,所以推断造成溢出是发生在275C876D函数中。
275C89C7函数

我们在275C8A05处下断点,重新执行poc,触发断点后步进275C876D函数。
275C876D函数

步过执行到275C87CB处,发现该代码实现将8D92008处数据往栈里复制0x20A0长度的操作,并且出现了AAAA,可以看出复制后刚好可以把栈上121820处的返回地址覆盖成AAAA
漏洞位置

覆盖返回地址

之后就是执行完275C876D,返回到275C89C7函数,执行完再返回时EIP指向41414141产生程序崩溃。

静态分析-分析漏洞

IDA打开MSCOMCTL.OCX,直接跳转到我们的漏洞函数275C89C7,可以看到触发漏洞的275C876D函数其实是叫CopyOLEdata。其中传入了在EBP-8位置的参数v7、字符串bstrString,以及一个通过if判断后大于等于8dwBytes。触发条件为首先从bstrString中读取0xC字节到临时变量v5中,并且判断v5的前四字节是否为Cobj以及dwBytes是否大于等于8

VulFunc

跟进触发漏洞的函数,可以看到会有一个qmemcpy函数(也就是之前在OllyDbg里看到的那条REP MOVS指令)将刚刚的bstrString复制dwBytes的长度到高港的EBP-8的位置,发生了栈溢出。
CopyOLEdata


TODO

  • 分析POC
  • 构造EXP

推荐阅读更多精彩内容