漏洞简介

实验环境

Microsoft Office 2003
Win Xp SP2

动态分析-定位漏洞

先用OllyDbg加载WinWord打开poc，此时产生了crash，可以看到EIP被篡改成了AAAA，并且通过栈回溯我们可以看到最近的一个返回地址为275C8A0A在MSCOMCTL中。

crash.png
此时我们跟到275C8A0A处，发现是在函数275C89C7中，查看其上一句调用了275C876D函数。
栈回溯
看栈里面的内容：刚刚看到的275C8A0A返回地址在崩溃时跳转地址AAAA的低地址方向，说明这个栈已经被收回了。也就是说，已经执行完275C876D这个函数，在275C89C7函数返回时，执行到AAAA，导致程序崩溃。并且在ret前调用的最后一个函数是275C876D，从执行完275C876D函数往下看经过jl跳转最后ret发现并没有太多的栈操作，所以推断造成溢出是发生在275C876D函数中。
275C89C7函数
我们在275C8A05处下断点，重新执行poc，触发断点后步进275C876D函数。
275C876D函数
步过执行到275C87CB处，发现该代码实现将8D92008处数据往栈里复制0x20A0长度的操作，并且出现了AAAA，可以看出复制后刚好可以把栈上121820处的返回地址覆盖成AAAA。
漏洞位置
覆盖返回地址
之后就是执行完275C876D，返回到275C89C7函数，执行完再返回时EIP指向41414141产生程序崩溃。

静态分析-分析漏洞

用IDA打开MSCOMCTL.OCX，直接跳转到我们的漏洞函数275C89C7，可以看到触发漏洞的275C876D函数其实是叫CopyOLEdata。其中传入了在EBP-8位置的参数v7、字符串bstrString，以及一个通过if判断后大于等于8的dwBytes。触发条件为首先从bstrString中读取0xC字节到临时变量v5中，并且判断v5的前四字节是否为Cobj以及dwBytes是否大于等于8。

VulFunc
跟进触发漏洞的函数，可以看到会有一个qmemcpy函数(也就是之前在OllyDbg里看到的那条REP MOVS指令)将刚刚的bstrString复制dwBytes的长度到高港的EBP-8的位置，发生了栈溢出。
CopyOLEdata

---

TODO

• 分析POC
• 构造EXP