漏洞简介
实验环境
Microsoft Office 2003
Win Xp SP2
动态分析-定位漏洞
先用OllyDbg加载WinWord打开poc,此时产生了crash,可以看到EIP被篡改成了AAAA,并且通过栈回溯我们可以看到最近的一个返回地址为275C8A0A在MSCOMCTL中。
crash.png
此时我们跟到275C8A0A处,发现是在函数275C89C7中,查看其上一句调用了275C876D函数。
栈回溯
看栈里面的内容:刚刚看到的275C8A0A返回地址在崩溃时跳转地址AAAA的低地址方向,说明这个栈已经被收回了。也就是说,已经执行完275C876D这个函数,在275C89C7函数返回时,执行到AAAA,导致程序崩溃。并且在ret前调用的最后一个函数是275C876D,从执行完275C876D函数往下看经过jl跳转最后ret发现并没有太多的栈操作,所以推断造成溢出是发生在275C876D函数中。
275C89C7函数
我们在275C8A05处下断点,重新执行poc,触发断点后步进275C876D函数。
275C876D函数
步过执行到275C87CB处,发现该代码实现将8D92008处数据往栈里复制0x20A0长度的操作,并且出现了AAAA,可以看出复制后刚好可以把栈上121820处的返回地址覆盖成AAAA。
漏洞位置
覆盖返回地址
之后就是执行完275C876D,返回到275C89C7函数,执行完再返回时EIP指向41414141产生程序崩溃。
静态分析-分析漏洞
用IDA打开MSCOMCTL.OCX,直接跳转到我们的漏洞函数275C89C7,可以看到触发漏洞的275C876D函数其实是叫CopyOLEdata。其中传入了在EBP-8位置的参数v7、字符串bstrString,以及一个通过if判断后大于等于8的dwBytes。触发条件为首先从bstrString中读取0xC字节到临时变量v5中,并且判断v5的前四字节是否为Cobj以及dwBytes是否大于等于8。
VulFunc
跟进触发漏洞的函数,可以看到会有一个qmemcpy函数(也就是之前在OllyDbg里看到的那条REP MOVS指令)将刚刚的bstrString复制dwBytes的长度到高港的EBP-8的位置,发生了栈溢出。
CopyOLEdata
TODO
- 分析POC
- 构造EXP
