Office远程代码执行漏洞：CVE-2017-11882 POC样本详细分析

形腿望舞

0x1 漏洞简介
2017年11月14日，微软发布了11月份的安全补丁更新，其中比较引人关注的莫过于悄然修复了潜伏17年之久的Office远程代码执行漏洞（CVE-2017-11882）。该漏洞为Office内存破坏漏洞，影响目前流行的所有Office版本。攻击者可以利用漏洞以当前登录的用户的身份执行任意命令。
0x2 确定溢出点

• 点击POC样本，弹出计算器
  
  
• 使用OfficeMalScanner.exe扫描样本
  
  
• 使用010editor可知OLE对象为 Microsoft Equation 3.0类型对象，查询可知此对象由office安装目录下的 EQNEDT32.EXE处理
  检查可知EQNEDT32.EXE由于年代久远，几乎没有用上缓解的方法
  

      

由于com对象的调用方式没有直接启动comserver（即EQNEDT32.EXE），因此难点就在于如何在EQNEDT32.EXE启动时附加上

      

参考H大 如何在程序启动的时候将调试器附加上去，设置程序启动调试器

      
        注：由于OllyDbg.exe的StrongOD.dll需要以管理员权限启动，会重启OD，无法弹出计算器，因此使用x32dbg

在kernel32!WinExec处下断点，在弹出计算器的地方断下来，此时调用信息如下，可知溢出发生在0x4214DD调用里面

      
      

跟进确定溢出点

      
       执行前：
      
      执行后：
     
     

00402114在文件中的位置如下

     
     

ShellCode如下，简单的执行WinExec,其地址为IAT表中的地址

     
   
0x3 溢出原理分析

简单的字符缓冲溢出

   
    0x4 后记
本人还是15PB的学生，如有不足之处，请多包涵。
希望这篇文章能对新手有所帮助。
我附件中使用的POC和下面第一个链接中给出的不同，使用时请注意。

参考:
CVE-2017-11882： https://github.com/embedi/CVE-2017-11882
如何在程序启动的时候将调试器附加上去

附件：演示样本
calc.rar
1.5 KB, 下载次数: 75, 下载积分: 吾爱币 -1 CB

演示样本

来源：http://www.12558.net
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！