吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 23115|回复: 14
收起左侧

[漏洞分析] Office远程代码执行漏洞:CVE-2017-11882 POC样本详细分析

  [复制链接]
_pan 发表于 2017-12-28 08:27
本帖最后由 _pan 于 2017-12-28 08:59 编辑

0x1 漏洞简介
2017年11月14日,微软发布了11月份的安全补丁更新,其中比较引人关注的莫过于悄然修复了潜伏17年之久的Office远程代码执行漏洞(CVE-2017-11882)。该漏洞为Office内存破坏漏洞,影响目前流行的所有Office版本。攻击者可以利用漏洞以当前登录的用户的身份执行任意命令。
0x2 确定溢出点
  • 点击POC样本,弹出计算器
    01.png
  • 使用OfficeMalScanner.exe扫描样本
    02.png
  • 使用010editor可知OLE对象为 Microsoft Equation 3.0类型对象,查询可知此对象由office安装目录下的 EQNEDT32.EXE处理
    03.png
  • 检查可知EQNEDT32.EXE由于年代久远,几乎没有用上缓解的方法
       04.png
  • 由于com对象的调用方式没有直接启动comserver(即EQNEDT32.EXE),因此难点就在于如何在EQNEDT32.EXE启动时附加上
       05.png
       06.png
        注:由于OllyDbg.exe的StrongOD.dll需要以管理员权限启动,会重启OD,无法弹出计算器,因此使用x32dbg
  • kernel32!WinExec处下断点,在弹出计算器的地方断下来,此时调用信息如下,可知溢出发生在0x4214DD调用里面
       07.png
       08.png
  • 跟进确定溢出点
       09.png
       执行前:
       10.png
      执行后:
      11.png
      12.png
  • 00402114在文件中的位置如下
      13.png
      14.png
  • ShellCode如下,简单的执行WinExec,其地址为IAT表中的地址
      15.png
    16.png
0x3 溢出原理分析
  • 简单的字符缓冲溢出

    17.png
    18.png 0x4 后记
本人还是15PB的学生,如有不足之处,请多包涵。
希望这篇文章能对新手有所帮助。
我附件中使用的POC和下面第一个链接中给出的不同,使用时请注意。

参考:
CVE-2017-11882: https://github.com/embedi/CVE-2017-11882
如何在程序启动的时候将调试器附加上去

附件:演示样本

calc.rar

1.5 KB, 下载次数: 82, 下载积分: 吾爱币 -1 CB

演示样本

免费评分

参与人数 5威望 +1 吾爱币 +12 热心值 +5 收起 理由
粉藍弟 + 1 + 1 用心讨论,共获提升!
smnra + 1 + 1 鼓励转贴优秀软件安全工具和文档!
瞎飞小海鸥 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
52pojietest + 1 + 1 用心讨论,共获提升!
L4Nce + 1 + 8 + 1 期待更多精彩分析

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

mod233 发表于 2018-6-23 20:43
mod233 发表于 2018-6-23 20:05
您好,问下,为什么我使用 office2016 x32dbg 系统win7,进行调试的时候,打开word后,能弹出x32dbg,并且 ...

程序是卡在地址:
0x 6EC6F737 mov eax,dword ptr ds:[eax]
mod233 发表于 2018-6-23 20:05
您好,问下,为什么我使用 office2016 x32dbg 系统win7,进行调试的时候,打开word后,能弹出x32dbg,并且能显示指令,但是没办法继续动态运行下去,word完全卡主了,这是为什么a...
这只猪 发表于 2017-12-28 18:41
zzp98756 发表于 2017-12-28 19:38
前几天看到过这玩意儿复现
小拽520 发表于 2018-3-18 12:22
能用的/很厉害!
独孤求败的独孤 发表于 2018-7-4 15:21
楼主,这个漏洞怎么制作免杀的Word样本?需要使用什么工具?
金龙影子 发表于 2018-7-28 07:54
楼主很厉害啊!
cqu_xiafei 发表于 2018-8-27 22:56
新人弱弱的问下,15pb是啥
Assassion 发表于 2018-11-22 14:43
很强,很猛
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-21 23:15

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表