​​​​​​​CVE-2010-3333分析

最新推荐文章于 2022-12-22 10:00:00 发布
最新推荐文章于 2022-12-22 10:00:00 发布
阅读量479 收藏
点赞数
分类专栏: 漏洞分析 文章标签: cve-2010-2333 栈溢出 栈回溯
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangtiankuo/article/details/84388171
版权

1.漏洞背景

    RTF中“pFragments”属性存在栈溢出,远程攻击者可以借助特制的RTF数据执行任意代码。

Alt text
    RTF分析器在解析pFragments属性值时,没有正确计算属性值所占用的空间大小,导致栈溢出漏洞的发生, 
    后面有个图里圈出了要复制的数据大小以及数据。

2.漏洞成因

    使用msf生成漏洞文档后,用windbg打开,在30e9eb88处发生了访问异常。

Alt text
    在0x30e9eb88处,将esi处的数据复制到edi时发生访问异常。是在mso.dll模块发生的。此时esi=1104c24c,edi=00130000。查看edi内存属性,为只读,因此触发了访问异常。

Alt text
    重新附加程序调试,在0x30e9eb88处下断点,运行,打开漏洞文档。在0x30e9eb88处断下此时还未复制数据,edi=00123dc0。使用ub命令 反汇编当前ip寄存器地址的前8条指令,得到0x30e9eb88所处函数为sub_30e9eb62

Alt text
    返回地址为0x30f4cdbd的函数调用了sub_30e9eb62,通过反汇编指令可以得到该函数为sub_30f4cc5d

 

Alt text

Alt text
    在0x30f4cc5d处下断点,断到了这个函数里面,按p单步执行,直到调用sub_30e9eb62处

Alt text
    单步步入跟踪该函数。rep movs指令复制内存时ecx=0xc8ac字节,因为复制的是dword类型的数据,因此数据的大小需要除以4,得到0x322b

Alt text
    此处复制的数据以及数据大小可以在rtf文件的开头处找到。

Alt text

 

Alt text

Alt text
    sub_30f4cc5d函数分配了0x14字节的栈空间,而复制数据大小为322b,肯定会发生栈溢出。在执行复制操作之前edi=123dc0,ebp=123dd0,一共只剩下0x10字节的空间可以用来存储数据(0x4是用来存储前ebp的),数据大小超过0x10,将会覆盖前EBP,再大一点就会覆盖sub_30f4cc5d函数的返回地址。

Alt text

 Alt text

 

3.漏洞利用

3.1 jmp esp

    没有写shellcode,只记录一下利用方法。进行利用的时候记得修改rtf开头处数据大小为shellcode的大小,不然一直复制下去,可能就又访问异常了。 
    shellcode的前0x14字节数据可以是垃圾数据。再往下复制会覆盖调用sub_30e9eb62的函数的返回地址,该地址存储在00123dd0处,值为30f4cdbd。复制操作会从00123dc0开始,构造0x14大小的垃圾字节,在后面跟上jmp esp的地址,因为函数sub_30f4cc5d返回后会释放0x14的栈空间,因此,在jmp esp后面也填上0x14大小的垃圾字节,之后便跟着shellcode即可。

Alt text 
    复制完之后执行retn 0xC,栈如下:

Alt text
    在出了sub_30e9eb62函数之后并不是执行一会就会出sub_30f4cc5d,在sub_30e9eb62函数结束之后,会对00123DE4处的值进行一个判断,若为0则正常执行,shellcode继续利用,若不为0则触发异常,执行office自己的异常处理函数。判断会在sub_30F4CB1D函数中进行。 
    retn 0xC之后有个push操作,将ebp+0x18=00123DE4处的值压栈,压完后栈顶为00123DAC,之后调用了30F4CB1D函数。

Alt text
    该函数分配了0xC大小的栈空间,此时ebp为00123D90,之后会将ebx(0)与ebp+0x10处的值进行比较,是否为0,为0则跳转。ebp+0x10=123DAC。即,若想要在此处跳转,00123DAC必须为0,即为00123DE4处值必须为0,构造shellcode的时候要注意将此处值构造为0。

Alt text
    跳转之后,执行到sub_30f4cc5d函数的最后一条指令retn 0x14,此时esp=00123DD4,执行完此条指令,释放0x14的栈空间,esp=00123DEC,jmp esp便是跳到这里了,shellcode在这之后就可以执行了。

3.2 利用SEH异常处理结构

3.2.1 call dword ptr[ebp+0x30]

    用构造的数据覆盖异常处理函数,使其可以指向shellcode入口地址,然后触发异常就会执行异常处理函数也就可以执行shellcode了。 
    书上写的是用call dword ptr[ebp+0x30]覆盖异常处理函数,然后执行完该语句,会跳到next SEH,再将next SEH的处的值覆盖为jmp 06,jmp 04,跳过SEH handler,在SEH结构之后放一个回跳指令,跳到shellcode处。 
    前面在3.1中说过了,在复制完成之后会对00123DE4处的值进行判断是否为0,若是不为0,则会触发office内部异常处理例程,因此把这个值填充成0,再触发异常,调用覆盖后的SEH处理函数。 
    还差实验,,,

3.2.2 构造ROP链

    用mona构造ROP链跳到shellcode起始地址。没写完,但是不想写了,写文档好累啊,前面想着把栈回溯也写一下,实在是不想写了,等想写了再写吧,,,,,,

wangtiankuo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2010-3333 分析学习
bluebloodye的专栏
03-10 831
0x01漏洞描述 0x02分析环境 环境 备注 操作系统 winxpsp3 网上下的镜像 虚拟机 VMware 版本号 15.0.2 调试器 o...
cve-2010-3333 Microsoft Office Open XML文件格式转换器缓冲区溢出漏洞 分析
weixin_30587927的博客
07-27 202
    用的是泉哥的POC来调的这个漏洞     0x0 漏洞调试    Microsoft Office Open XML文件格式转换器缓冲区溢出漏洞 Microsoft Office 是微软发布的非常流行的办公软件套件。 基于Mac平台的Microsoft Office XP SP3,Office 2003 SP3,Office 2007 SP2...
CVE-2010-3333:Microsoft RTF 栈溢出漏洞调试分析
墨鱼菜鸡
02-08 185
0x01 前言 CVE-2010-3333 漏洞是一个栈溢出漏洞,该漏洞是由于 Microsoft文档在处理 RTF 数据的对数据...
漏洞丨cve2010-3333
m0_64973256的博客
12-22 684
可以看到,ESI地址指向的值已经拷贝到了中EBP-10的位置向下。而返回地址在EBP+4的位置,我们已经可以确定淹没返回值的位置了。cve-2010-3333是一个Office 2003 的栈溢出漏洞,其原因是在文档中读取一个属性值的时候,没有对其长度验证,导致了一个溢出,看着很简单的一个漏洞,却又有点恶心人。这里7FFA4512已经被识别成70004512。后面的弹窗shellcode也是一样。标记3处:这里是00000000,用来让je跳转,不要进入循环call;
CVE-2010-3333
weixin_30640769的博客
09-17 263
---恢复内容开始--- 漏洞描述   CVE-2010-3333漏洞是Microsoft Office RTF分析器堆栈溢出漏洞,对应的Microsoft安全公告是MS10-087。远程攻击者可以借助特制的RTF数据执行任意代码,该漏洞又名"RTF缓冲区溢出漏洞"。 漏洞分析   通过exp文件来定位漏洞位置在进一步分析漏洞原因。先直接运行漏洞文档用监控工具观察触发漏洞后的行为。 ...
CVE-2020-14882&14883:Weblogic RCE复现1
08-03
声明:请勿用作违法用途,否则后果自负0x01 简介用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。0x02 漏洞概述编
SexyBeast233#SecBooks#CVE-2021-24285 WordPress Sql 注入1
07-25
插件名称:wp-plugin:cars-seller-auto-classifieds-script受影响的版本:2.1.0(如果有,则可能是较低版本)漏洞:注
cve-2021-27065:快速一线Powershell脚本来检测webshell,可能的zip和日志
03-12
CVE-2021-27065 Quick One Line Powershell脚本可检测webshell,可能的zip和日志。 运行后的每个脚本都将输出到位于C根目录的临时驱动器中的CSV: 快速代码说明: CompedFiles.ps1 这将从指定的路径开始 遍历...
检测通过“ proxylogon”组漏洞(CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065)利用的Microsoft Exchange服务器上掉落的Web Shell-.NET开发
05-27
预认证SSRF,CVSS:3.0 9.1 / 8.4 CVE-2021-26857,不安全的反序列化导致特权升级到SYSTEM级别,CVSS:3.0 7.8 / 7.2 CVE-2021-26858,认证后文件写入, CVSS:3.0 7.8 / 7.2 CVE-2021-27065,认证后文件写入,CVSS...
cve-search:cve-search-一种对已知漏洞执行本地搜索的工具
02-25
cve-search是一种工具,可将CVE(常见漏洞和披露)和CPE(通用平台枚举)导入MongoDB中,以方便CVE的搜索和处理。 该软件的主要目的是避免对公共CVE数据库进行直接和公共查找。 本地查询通常更快,您可以通过...
适合新手入门的漏洞调试与分析CVE-2010-3333
HBohan的博客
07-29 628
这是第二次在tools发帖,为了响应管理猿的号召,也为了爱好应用程序安全新手的需要。在此,我初步研究了一下微软3333漏洞的成因,并试着定位到了样本中的shellcode,现在就对这个入门级的漏洞做个简单的分析:   首先,我们还是用OD加载word.exe程序,按F9运行。如图:    图(一) 接下来,我们要具体分析3333漏洞出现的成因(具体的可以百度)。经过查询,我们知道导致3333漏洞的原因,是因为漏洞产生在MSO.DLL文件中,下文以Microsoft Office2003的MSO.DLL.
CVE-2010-3333 Word RTF 栈溢出漏洞
weixin_34372728的博客
05-01 229
2019独角兽企业重金招聘Python工程师标准>>> ...
动手实验 CVE-2010-3333 Microsoft RTF栈溢出漏洞
abelxu
02-13 3645
手把手分析CVE-2010-3333 RTF栈溢出漏洞,同时分析了msf如何生成通用性的exp
cve-2010-3333 分析简笔
weixin_38166557的博客
05-18 184
昨天分析了半拉,感觉整个过程很条理;但是今天再接着昨天的思路往下调试的时候,不知该在哪下断点了,翻阅了昨天的随手的记录才有了些印象,但是思路还是一团。看来写篇随笔还是很有必要的。故作此文。 简介Microsoft Office 是微软发布的非常流行的办公软件套件。 基于Mac平台的Microsoft Office XP SP3,Office 200...
Microsoft RTF栈溢出漏洞(CVE-2010-3333)漏洞分析
鬼手的博客
08-04 1967
文章目录漏洞描述分析环境RTF文件格式基于回溯的漏洞分析方法漏洞利用Office 2003与Office 2007 Exploit通用性研究 漏洞描述 Microsoft Office XP SP3,Office2003SP3,Office2007 SP2,Office 2010等多个版本的Office软件中,Open XML文件格式转换器存在栈溢出漏洞,主要是在处理RTF中的pFragment...
《漏洞战争》学习笔记·2 CVE-2010-3333
黑夜黎明
05-27 686
知识补充   RTF格式是为文本和图像信息格式的交换制定的一种文件格式,使用与不同设备,操作环境和系统。RTF文件基本元素:正文、控制字、控制符号、群组   控制字: RTF用来标记打印控制字符和管理文档信息的一种特殊格式的命令,RTF用它做正文格式的控制代码,每个控制字均以一个 反斜杠\开头 ,由a~z小写字母组成,通常不应该包含任何大写字母,而每个分隔符标志着控制字名称的结束。使用格式:\字母...
Cocos2dx 3.0 过渡篇(十七) std::bind与CC_CALLBACK不得不说的故事
热门推荐
天涯海阁
03-14 1万+
// new callbacks based on C++11 #define CC_CALLBACK_0(__selector__,__target__, ...) std::bind(&__selector__,__target__, ##__VA_ARGS__) #define CC_CALLBACK_1(__selector__,__target__, ...) std::bind(&__selector__,__target__, std::placeholders::_1, ##__VA_ARG
结合数据分析CVE-2022-34918
最新发布
06-08
CVE-2022-34918是一个安全漏洞,影响到了某些版本的特定软件。具体来说,这个漏洞可以允许攻击者通过发送特定的网络请求来执行任意代码或者造成拒绝服务攻击。 为了更好地了解这个漏洞,可以进行以下数据分析: 1....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值