CVE-2017-11826分析

环境

windows 7 x86 sp1

office 2007

分析

加载样本

给漏洞函数和上层函数首部下断点，发现漏洞是在处理 idmap 时发生的错误

1. bp wwlib+861D4 ".printf \"crash function: \";du poi(poi(esp+8)+0x18) Lpoi(poi(esp+8)+0x1c);g;"
2. bp wwlib+3D3FB ".printf \"parent function: \";du poi(poi(esp+8)+0x18) Lpoi(poi(esp+8)+0x1c);g;"

分析计算公式

1. [[ret+addr+44]+44]
2. ret_addr = 4c*4+10+poi(poi(poi(esp+4)+b14))
3. 得到
4. dd poi(4c*4+10+poi(poi(poi(esp+4)+b14))+44)+44

在处理 idmap 标签时 088888ec 已经被写入，我们在 OLEObject 下写入断点：

ba r4 4c*4+10+poi(poi(poi(esp+4)+b14))+44

发现是 wwlib+99D9函数copy_vul 调用 memcpy 写入

6字节数据在内存中变成了4字节数据，猜测用到了utf-8编码。

既然上面怀疑漏洞是 </w:font> 标签没有正常闭合导致，现在就来构造一个带 </w:font> 的正常样本，创建一个新的docx文档，随便写入一些数据，保存后将后缀名改为.zip，用压缩软件将原文档中的 document.xml 替换为增加了 </w:font> 的漏洞文件：

继续前面的断点：

继续观察正常文档 ba r4 4c*4+10+poi(poi(poi(esp+4)+b14))+44 ,发现被断在漏洞出发点的上方：

继续分析 sub_3F3FB ：

处理正常文件OLEObject：会4-1=3获取子标签内容，给 copy_vul 下断点发现 parent function: 056dd2b8 "font" 会复制 font 标签内容。在 crash function: 056dfffc "idmap" 会6-1-2=3调用 OLEObject 的内容。

参考

https://www.anquanke.com/post/id/87150

https://www.anquanke.com/post/id/87122

命令记录

1. crash function: 0565063c "shapedefaults"
2. crash function: 05650636 "shapedefaults"
3. crash function: 05650636 "shapelayout"
4. crash function: 05650650 "idmap"
5. crash function: 0565e8d2 "OLEObject"
6. crash function: 0565e8f4 "idmap"

bp wwlib+861D4 “.printf \”crash function: \”;du poi(poi(esp+8)+0x18) Lpoi(poi(esp+8)+0x1c);”

标签名 长度 du poi(poi(esp+8)+0x18) Lpoi(poi(esp+8)+0x1c)

1. bp wwlib+861D4 ".printf \"crash function: \";du poi(poi(esp+8)+0x18) Lpoi(poi(esp+8)+0x1c);dps poi(poi(poi(esp+4)+b14)) l4"
2. bp wwlib+3D3FB ".printf \"parent function: \";du poi(poi(esp+8)+0x18) Lpoi(poi(esp+8)+0x1c);g;"
3. bp wwlib+003D3076
4. bp 000863DD+wwlib
5. bp 000099C0+wwlib

4c*4+10+poi(poi(poi(esp+4)+b14))+44

▼更多精彩推荐，请关注我们▼