CVE-2012-0158漏洞分析与利用教程

漏洞概述

CVE-2012-0158是Microsoft Office中的一个栈溢出漏洞，存在于MSCOMCTL.OCX组件中。该漏洞影响多个版本的Office软件，当解析包含特定ActiveX控件的文档时，会导致栈缓冲区溢出，可能被利用来执行任意代码。

漏洞环境

• 测试环境: Windows XP SP2 + Office 2007
• 调试工具: Immunity Debugger
• 漏洞模块: MSCOMCTL.OCX (Office解析ActiveX控件使用的动态库)

漏洞原理

漏洞位置

漏洞存在于MSCOMCTL.OCX模块中，具体在sub_275C89C7函数内。该模块在Office打开包含ActiveX控件(如按钮、列表、树形控件等)的文档时自动加载。

漏洞类型

栈缓冲区溢出 - 由于边界检查不充分，导致可以复制过多数据到栈中，覆盖关键数据如返回地址。

关键错误

IDA反编译显示的关键判断条件:

if (v5 == 0x6A626F43 && dwBytes >= 8)

本应为dwBytes <= 8，这个错误的"大于"判断导致可以读取并复制多余的数据到栈中。

漏洞分析步骤

1. 初始观察

1. 使用Immunity Debugger附加WINWORD.EXE进程
2. 打开POC文档(poc.doc)后，程序在0x41414141地址崩溃
3. 确认这是被覆盖的返回地址

2. 定位漏洞函数

1. 在栈区右键"Follow in Dump"查看内存数据
2. 右键"Disassemble"查看汇编指令
3. 向上回溯找到漏洞函数sub_275C89C7

3. 设置断点

1. 使用"Alt+E"找到MSCOMCTL模块路径
2. 直接加载MSCOMCTL.OCX到调试器
3. 设置断点: bp 0x275C89C7
4. 重新加载POC文档触发断点

4. 关键函数调用分析

漏洞函数中调用了两次sub_275C876D:

1. 第一次调用: 复制"Cobjd"字符串，用于判断处理对象是否为"Cobj"(MSCOMCTL.OCX的第二个对象)
2. 第二次调用: 实际发生溢出的位置

5. 溢出过程分析

1. 在0x275C87CB处指令将数据复制到栈中
2. 数据覆盖了0x00124C0C处的返回地址
3. 由于dwBytes值(0x00008282)远大于8，满足错误判断条件
4. Cobj::load读取了过多数据导致溢出

漏洞利用演示

利用过程

1. 使用包含弹出计算器功能的恶意文档
2. 观察溢出发生时:
   • 从DS:[ESI]开始复制数据
   • 使用0x7FFA4512("jmp esp")作为跳板地址
   • Shellcode起始位置为ESP的值(0x00124C6C)
3. 通过"jmp esp"跳转到栈中执行Shellcode
4. 成功弹出计算器

关键点

• 跳板地址: 使用"jmp esp"指令地址绕过DEP等保护
• Shellcode位置: 精确控制ESP指向Shellcode起始位置
• 数据布局: 精心构造溢出数据以覆盖正确返回地址

漏洞修复

修复后的函数增加了严格的长度检查:

if (v5 == 0x6A626F43 && dwBytes == 8)

现在Cobj::load只允许读取8字节数据，防止溢出。

总结

CVE-2012-0158是一个典型的栈溢出漏洞，其特点包括:

1. 存在于广泛使用的Office组件中
2. 由于简单的边界检查错误导致
3. 利用相对简单，没有ASLR等现代防护
4. 有传言称这可能是故意留下的后门

学习要点

1. 理解栈溢出基本原理
2. 掌握使用调试器(Immunity Debugger)分析漏洞的方法
3. 学习ActiveX控件解析过程
4. 了解基本的漏洞利用技术(如跳板地址使用)
5. 认识边界检查的重要性

通过分析此类经典漏洞，可以深入理解缓冲区溢出漏洞的原理和利用方式，为后续的漏洞分析和防护打下坚实基础。