\x01 漏洞简介 在 2017 年 11 月微软的例行系统补丁发布中,修复了一个 Office 远程代码执行漏洞(缓冲区溢出),编号为 CVE-2017-11882,又称为 "噩梦公式".该漏洞从修复之日起已经隐藏了 17 年之久,而且通杀目前流行的所有 Office 版本,可见其危害程度.该漏洞位于 Office 的 EQNEDT32.EXE 组件中,该组件的作用是通过 OLE 对象的互操作性协助 Office 软件进行公式的处理,由于在拷贝 Office 传入 font name…

\x01 前言 CVE-2018-0802 是继 CVE-2017-11882 发现的又一个关于 font name 字段的溢出漏洞,又称之为 "第二代噩梦公式",巧合的是两个漏洞竟由同一个函数 sub_421774 所引发,而且都属于栈溢出.据说是国内安全厂商 360 率先截获了全球首例利用此漏洞的攻击,并且立即公布了该漏洞的具体细节,给安全厂商们赢得了宝贵的时间,避免攻击进一步扩大.在 2018 年 1 月的微软例行安全更新中有此漏洞的具体细节,以及针对 Office 各个版本的补…

\x01 前言 2018 年 1 月 9 日,Office 公式编辑器再曝出新漏洞,编号为 CVE-2018-0798.提起公式编辑器大家都不陌生,之前的 CVE-2017-11882 和 CVE-2018-0802 这对姊妹漏洞都出自这里,当然了这个只是公开的漏洞,还有一些是没有公开的.可能是由于公式编辑器漏洞有点多,所以这次 Windows 干脆直接通过删掉公式编辑器的方式来修复漏洞,一了百了.但漏洞补丁刚发布一周,就已开始出现多例 CVE-2018-0798 漏洞的变种和在野利用,据说中国…

0x01 蜘蛛漏洞攻击包 前言:2012 年 2月,地下黑产中流行着一款国产名为蜘蛛漏洞的攻击包 -- "Zhi-Zhu Exploit Pack",该工具包含 5 个漏洞,都是在当时比较流行的漏洞,涵盖了 Flash.IE 等产品,其中就包含 CVE-2012-0003,此国产漏洞利用包与国外有一定的差别:国外通常用于构建僵尸网络或者窃取重要的情报,而 "蜘蛛" 这款漏洞攻击包主要用于盗取游戏账号,比如 "龙之谷",这似乎也比较复合国情 微软发…

说到在论文中编辑公式,有经验的人都会知道要用公式编辑器来编辑,没经验的人也会被安利使用公式编辑器.然而在使用公式编辑器时,又有了两种选择,一种是使用Office自带的公式编辑器,一种是MathType公式编辑器.环顾四周,你会发现用MathType编辑公式的比比皆是,而用Office自带的公式编辑器的人却在逐渐减少?这是为什么呢?两样是公式编辑器,MathType究竟比Office自带的公式编辑器好在哪里呢? 两者都是公式编辑器,能够在Word等这些文档处理器中编辑出复杂的公式.而与Office…

0x01 前言 CVE-2011-0104 是 Microsoft Office 中的 Excel(没有打补丁的情况下)表格程序在处理 TOOLBARDEF 中的 Record 字节时没有对 Len 字段和 Cbtn 字段做过滤导致可以将任意大小的数据复制到任意地址的空间去,从而导致栈溢出漏洞.若攻击者通过构造恶意的 XLB 文件,受害者在未知的情况下打开恶意文件,受害者主机可能会被完全控制.到目前为止 CVE-2011-0104 漏洞还未收录在 metasploit 中 0x02 分析环境 虚…

0x01 Lotus Blossom 行动 在 2015 年 6 月,国外安全厂商 Palo Alto Networks 的威胁情报团队 Unit42 发现了一起针对东南亚政府的一次间谍行为,试图获取该国家的内部运作信息,此次攻击行动代号为 Lotus Blossom 通过恶意构造 Office 文档使目标上钩,从而在对方的计算机中植入木马,诱骗的内容包括电影邀请.明星照片.陆军机密文件.IT 升级计划等等 其中就利用了著名的 CVE-2012-0158 Word 栈溢出漏洞(用烂了的),CVE…

0x01 前言 CVE-2010-3333 漏洞是一个栈溢出漏洞,该漏洞是由于 Microsoft文档在处理 RTF 数据的对数据解析处理错误,在进行内存操作时没有对操作的数据进行长度限制,导致存在内存漏洞,根据漏洞可以很容易构造出恶意的 RTF 文档,危害较大 环境 windows XP sp3(未启用 ASLR 和 DEP) 漏洞软件 Microsoft Office 2003(提取码:woi9) 分析工具 Windbg(Windbg32,Windbg64) metasploit 构造的样本…

0x01 堆空间申请后的双重释放 Windows FxsCover 程序存储封面编辑器的信息,封面编辑器是传真服务的一个组件,通过解析特定的传真封面文件(.cov)时,会调用类析构函数对同一内存中的栈空间进行第二次释放,从而导致了双重释放的漏洞,所以本质也是 UAF 漏洞的一种 实验环境:Windows 7 + FxsCover.exe + Poc.cov(提取码:hdnr) 0x02 使用 Windbg + IDA 进行调试分析 打开传真封面编辑器,使用 Windbg 附加进程后拖入 Poc.…

0x01 前言 微软提供一个叫 Cinepak 的视频解码器,通过调用 iccvid.dll 这个动态链接库文件可以使用这个解码器:微软自带的 Windows Media Player(视频音频软件)通过调用 iccvid.dll 解析有漏洞的 RIFF 音频文件格式时会触发 CVE-2010-2553 这个漏洞 该漏洞的成因是由于 iccvid.dll 中的 CVDecompress 这个函数在解析漏洞文件时没有对 cvid 格式编码条中的 Chunk 数量做限制,导致连续复制数据到堆空间,最…