[漏洞样本分析]CVE-2018-0802

最新推荐文章于 2023-02-28 22:38:33 发布
最新推荐文章于 2023-02-28 22:38:33 发布
阅读量729 收藏
点赞数
分类专栏: 漏洞样本分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/r250414958/article/details/83617251
版权

环境:

Win7(专业版)
office 2007 (完全版:更新到sp3补丁\修复eqnedt补丁)

工具:

Ollydbg IDA Pro PEid Kali-Linux metasploit

POC来源:

https://github.com/rxwx/CVE-2018-0802

漏洞背景:

在2017年11月14日,微软发布11月份安全补丁更新,其中更新了潜伏17年之久的Office远程代码执行漏洞(CVE-2017-11882) “噩梦公式一代“,而在2018年1月,又爆出了office 0day漏洞(CVE-2018-0802),该漏洞的技术原理类似17年修补的漏洞,是由于office公式编辑器组件EQNEDT32.EXE,对字体名的长度没有进行长度检验,导致攻击者可以通过构造恶意的字体名,执行任意代码。
影响版本:
Microsoft Office 2007 Service Pack3
Microsoft Office 2010 Service Pack2 (32)
Microsoft Office 2010 Service Pack2 (64)
Microsoft Office 2013 Service Pack1 (32)
Microsoft Office 2013 Service Pack1 (64)
Microsoft Office 2016 (32)
Microsoft Office 2016 (64)

具体分析:

如果分析有错误,谢谢大家帮我指正
可以看出是打了CVE-2017-11882补丁的版本
在这里插入图片描述
先来打开POC 发现打开了一个计算机,我们打开OD,打开WORD 附加EQNEDT32.EXE公式编辑器,给CreateProcess下断点
在这里插入图片描述
断下 查看堆栈,发现是WinExec调用的 在WinExec下断点
在这里插入图片描述
重复上面步骤 断下往上查看堆栈看是否有残留地址
在这里插入图片描述
找到一个下断
在这里插入图片描述
再重新断到这里发现堆栈地址已经被覆盖了,在函数头部下断,重新打开步过寻找,重复上述步骤,直到找到堆栈覆盖点
在这里插入图片描述
经过仔细的跟踪发现是sub_421774的函数里的sub_421E39 覆盖了原本的返回地址18F1E0处,我们进sub_421E39看一下
在这里插入图片描述
OD动态调试确认是这处把函数地址覆盖了,覆盖的是sub_421774的函数返回地址,并不是自身的返回地址,第一处是覆盖返回地址
在这里插入图片描述
第二处是将两个字节(25 00)将覆盖函数的返回地址,这样就能绕过随机基址(ASLR)
在这里插入图片描述
找到溢出点了,我们进00F50025这个地址看一下

在这里插入图片描述
是个return 所以真正的返回函数地址是下面的0018F22C 这是一个堆栈地址,可能是段shellcode我们单步跟进去分析一下
进到了这段shellcode
在这里插入图片描述
这段shellcode向栈中压入了两个参数,并JMP到一个地址,我们跟进去看一下
在这里插入图片描述
发现刚好是WinExec函数,符合我们之前的观察
在这里插入图片描述
样本分析至此结束

QQQqQqqqqrrrr
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
通过升级openssh到OpenSSH8.4 修复openssh低版本的漏洞 openssh8.4需要的 openssl-1.1.1g, openssh-8.4p1,zlib-1.2.11
又出新玩法?微软公式编辑器系列漏洞新利用方式
blackorbird的博客
03-20 264
来自样本库的一批奇怪的RTF样本。这批样本相比较CVE-2018-0802传统利用方式而言,采用了一种新的利用方式,能够绕过市面上大多数杀软,并且即使部分杀软能查杀,也无...
CVE-2018-0802:Microsoft office 公式编辑器 font name 字段二次溢出漏洞调试分析
CuiXY's Blog
12-29 551
\x01 前言
cve-2018-0802漏洞分析报告
qq_43572067的博客
11-01 1154
软件名称:公式编辑器 软件版本:2016以下 漏洞模块:EQNEDT32.EXE 模块版本:6.1.95.45 编译日期:2000-11-9 操作系统:Windows XP/2003/7/8.1/10 漏洞编号:cve-2017-0802 危害等级:高危 漏洞类型:缓冲区溢出 威胁类型:远程 软件简介 Microsoft Office 是微软公司针对 Windows 操作系统所推出的办公室套装软...
漏洞复现】噩梦公式二代漏洞|EQNETD32.exe栈溢出漏洞|公式编辑器栈溢出漏洞CVE-2018-0802
VI___
01-13 682
一、CVE-2018-0802 在潜伏17年的“噩梦公式”漏洞(CVE-2017-11882)被曝光修补之后,之前的漏洞程序EQNEDT32.EXE在windows 10系统下仍然没有开启ASLR保护,因此其利用非常容易,在修补之后可以发现微软的发布的是二进制补丁而不是对该程序源码进行重新编译,因此猜测该程序的源码可能已经遗失,如果真实情况是这样,那么公式编辑器这个进程将成为其他漏洞发现和...
CVE-2018-0802个人浅析
子曰小玖的博客
02-12 996
PPS:有童鞋和我反映,想复现和调试这个漏洞,但环境比较难找。由于该漏洞实际触发处为Word内嵌的公式编辑器(且为.exe文件),而并非Word程序本身,所以该漏洞能否成功触发环境与实际Office版本无关,而与公式编辑器版本有关。本人在文末已经将公式编辑器提取出来了,只要虚拟机内Office版本还支持老版的公式编辑器,把里面的EQNEDT32.EXE文件用我提取出来的EQNEDT32.EXE替...
CVE-2018-0802漏洞分析报告
weixin_44279850的博客
12-27 1393
漏洞poc https://github.com/rxwx/CVE-2018-0802 打开文档,会弹出一个计算器 漏洞复现 环境:office2007,x32dbg,010editor 安装公式编辑器3.0的补丁。 这个补丁修复了cve-2017-11882这个漏洞 证明:打开利用cve-2017-11882的文档并没有再弹出计算器 然后word打开公式编辑器3.0,附加于x32dbg进...
CVE-2018-0802漏洞利用
weixin_33815613的博客
06-01 674
看了一天apt报告,主流利用Office鱼叉攻击的漏洞,还是这Microsoft Office CVE-2017-8570,CVE-2017-11882和CVE-2018-0802 三个,而且都知道office一般都不更新,很容易打开就中。但是doc免杀比较难,很容易被杀,比如主流的mshta这种方式。 利用脚本: https://github.com/denmilu/CVE-2018-...
汇编如何判断溢出_CVE-2018-0802栈溢出漏洞个人分析
weixin_39941792的博客
12-06 219
本文为看雪论坛优秀文章看雪论坛作者ID:不懂就不懂概述该漏洞在微软针对CVE-2017-11882漏洞打上了kb4011604补丁后产生的,该漏洞同样是OLE 对象的“Equation Native”的数据流中的数据导致的,导致漏洞的对象是tagLOGFONT的字体名。在微软对CVE-2017-11882修补后,CVE-2018-0802漏洞利用构造需要用到两个特别巧合的地方,最终导致了噩梦公式...
CVE-2018-18778.docx
07-23
CVE-2018-18778 ,mini_httpd任意文件读取漏洞
CVE-2018-0802脚本
01-24
结合office CVE-2017-11882和CVE-2018-0802 漏洞的利用脚本
OpenSSH 用户名枚举漏洞CVE-2018-15473).zip
03-06
OpenSSH 7.7及之前版本中存在用户枚举漏洞,该漏洞源于程序会对有效的和无效的用户身份验证请求发出不同的响应。 学习笔记
CVE-2018-11759:显示如何利用CVE-2018-11759的概念证明
03-19
尽管此问题与CVE-2018-1323之间存在某些重叠之处,但它们并不完全相同。 POC以下概念验证显示了如何利用CVE-2018-11759及其对目标信息系统的影响。环境设定docker-compose up -d请耐心等待,第一次的过程可能会很长...
Python中的10个常见安全漏洞及修复方法
gaojian5422的博客
02-28 1500
Python中的10个常见安全漏洞及修复方法
漏洞分析CVE-2018-0802
airuihuan5211的博客
11-26 249
漏洞分析CVE-2017-0802 目录 漏洞分析CVE-2017-0802目录☛ 漏洞介绍☛ 漏洞分析☛ 1.漏洞分析环境与工具☛ 2.复现漏洞☛ 3.分析漏洞☛ 4.漏洞利用完成时间:2018-10-24 21:26:54 星期三 ☛ 漏洞介绍 在2017年11月14日,微软发布11月份安全补丁更新,其中更新了潜伏17年之久的Office远程代码执行漏洞(CV...
自己动手搭建恶意软件样本行为分析环境(一)
Magicbreaker的专栏
12-11 1562
互联网的飞速发展在给用户的日常工作生活带来了巨大方便的同时,也给各种各样的恶意软件提供了一片繁衍扩散的沃土。媒体上时有关于某种恶意软件大规模流行造成严重损失的报道。恶意软件的扩散早已引起信息安全业界的重视,各安全软件和杀毒软件厂商都有成型的解决方案。不过恶意软件的更新换代总是走在安全厂商的产品前面,恶意软件变种的出现速度越来越快,单纯使用防杀毒软件已不能完全保证用户远离恶意软件。本文提出一个分析W
远控NanoCore RAT样本分析
PwnGuo的博客
06-28 3208
NanoCore RAT是在.Net框架中开发的有名的远控软件,网络环境中大量利用各种手段传播此软件,有时巧妙的构造有效的绕过杀软在进一步通过服务端进行功能模块的更新,深受黑客喜爱,从蜜罐捕获相应的样本做进一步分析。 客户端上线通知,显示主机相关信息: 客户端上线通知 插件功能丰富,键盘监控,实时视频操作,语音,命令行控制等完全控制远程主机。 模块插件 客户端一键生成非常非常方便,...
病毒分析快速入门01--分析环境搭建
morta1的博客
03-22 1458
小C无聊的躺在床上,刷着#开学#话题微博。 都怪这该死的疫情,开学一拖再拖,在教室后排偷看女神的机会又少了。 开学之日恐怕即是毕业之时了,小c 在失去女神背影患得患失的心情中,也不得不考虑 工作的问题。 回顾大学四年,小c所得称号最多得只有: “召唤师峡谷黑铁战五渣,海岛雨林人体描边大师”。 以及刚好及格得c语言,一点点汇编知识,OD F2下断点,f9运行,f7步进,f8步过。IDA F5。 想着...
PHP 输入验证漏洞 CVE-2018-10547
最新发布
10-24
根据提供的引用内容,我没有找到与“PHP 输入验证漏洞 CVE-2018-10547”相关的信息。但是,我可以为您提供有关PHP漏洞的一些信息。 引用提到了PHP 7.1.x版本中的imap_mail函数null指针取消引用的漏洞,这是一个安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值