【漏洞复现】噩梦公式二代漏洞|EQNETD32.exe栈溢出漏洞|公式编辑器栈溢出漏洞(CVE-2018-0802)

本文主要是介绍【漏洞复现】噩梦公式二代漏洞|EQNETD32.exe栈溢出漏洞|公式编辑器栈溢出漏洞(CVE-2018-0802),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

 

一、CVE-2018-0802

在潜伏17年的“噩梦公式”漏洞(OFFICE公式编辑器EQNEDT32.exe栈溢出漏洞-CVE-2017-11882)被曝光修补之后,之前的漏洞程序 EQNEDT32.EXE 在windows 10系统下仍然没有开启ASLR保护,因此其利用非常容易,在修补之后可以发现微软的发布的是二进制补丁而不是对该程序源码进行重新编译,因此猜测该程序的源码可能已经遗失,如果真实情况是这样,那么公式编辑器这个进程将成为其他漏洞发现和利用的“圣地”,因为微软将很难从源代码级别去排查这个程序是否还有其他漏洞。此次“噩梦公式”的姊妹篇 CVE-2018-0802 就在这一背景下被业界所发现。

windows在2017年11月份发布补丁,修复了cve-2017-11882(EQNEDT32.EXE公式编辑器的栈溢出漏洞),由于以上原因CVE-2018-0802 再一次利用了EQNEDT32.EXE公式编辑器的栈溢出漏洞,该漏洞的成因是EQNEDT32.EXE进程在读入包含MathType的ole数据时,在拷贝公式字体名称时没有对名称长度进行校验,从而造成栈缓冲区溢出,这个漏洞是CVE-201-11882的补丁绕过漏洞,网上也出现了两种漏洞结合的POC。

 

二、准备

攻击机:kali-2019    192.168.75.154

靶机:win7_x86(关闭防火墙)    192.168.75.139

 

三、复现

1、下载 exp ,git clone https://github.com/Ridter/RTF_11882_0802

2、打开 msf 设置攻击 IP,准备接受反弹 shell

执行 exploit 进行监听

3、制作 payload 文档,将生成文档发送到靶机

4、在靶机打开 exp.doc,第一次打开需要点击启用编辑,启用后攻击机 getshell 成功

 

 

四、技术细节

POC 的 RTF文件继续使用objupdate字段来使OLE对象的自动更新和加载,利用的漏洞点还是 font name,栈溢出点同样是 strcpy 函数,成因也是EQNEDT32.EXE进程在读入包含MathType的ole数据时,在拷贝公式字体名称时没有对名称长度进行校验,从而造成栈缓冲区溢出,还有一个问题是这个漏洞在未打补丁的系统中并不会执行,因为CVE-2017-11882覆盖返回地址需要的长度远远小于这个样本,而在执行这个样本的时候会先触发CVE-2017-11882导致Crash,因此网上也出现了将两种洞组合的POC,在CVE-2017-11882利用不成功后会利用CVE-2018-0802,具体可参考 11882 的分析。

 

 

 

 

 

参考:

https://cloud.tencent.com/developer/news/125225

https://www.freebuf.com/vuls/160115.html

https://www.cnblogs.com/Get-Me/p/b3dac8831fa0284563d012ecdf9dbe91.html

https://blog.csdn.net/DarkHQ/article/details/80454965

https://www.freebuf.com/vuls/160386.html

 

这篇关于【漏洞复现】噩梦公式二代漏洞|EQNETD32.exe栈溢出漏洞|公式编辑器栈溢出漏洞(CVE-2018-0802)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/716055

相关文章

Spring Boot中JSON数值溢出问题从报错到优雅解决办法

《SpringBoot中JSON数值溢出问题从报错到优雅解决办法》:本文主要介绍SpringBoot中JSON数值溢出问题从报错到优雅的解决办法,通过修改字段类型为Long、添加全局异常处理和... 目录一、问题背景:为什么我的接口突然报错了?二、为什么会发生这个错误?1. Java 数据类型的“容量”限制

将Java程序打包成EXE文件的实现方式

《将Java程序打包成EXE文件的实现方式》:本文主要介绍将Java程序打包成EXE文件的实现方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录如何将Java程序编程打包成EXE文件1.准备Java程序2.生成JAR包3.选择并安装打包工具4.配置Launch4

使用Python开发一个带EPUB转换功能的Markdown编辑器

《使用Python开发一个带EPUB转换功能的Markdown编辑器》Markdown因其简单易用和强大的格式支持,成为了写作者、开发者及内容创作者的首选格式,本文将通过Python开发一个Markd... 目录应用概览代码结构与核心组件1. 初始化与布局 (__init__)2. 工具栏 (setup_t

利用Python实现添加或读取Excel公式

《利用Python实现添加或读取Excel公式》Excel公式是数据处理的核心工具,从简单的加减运算到复杂的逻辑判断,掌握基础语法是高效工作的起点,下面我们就来看看如何使用Python进行Excel公... 目录python Excel 库安装Python 在 Excel 中添加公式/函数Python 读取

Java循环创建对象内存溢出的解决方法

《Java循环创建对象内存溢出的解决方法》在Java中,如果在循环中不当地创建大量对象而不及时释放内存,很容易导致内存溢出(OutOfMemoryError),所以本文给大家介绍了Java循环创建对象... 目录问题1. 解决方案2. 示例代码2.1 原始版本(可能导致内存溢出)2.2 修改后的版本问题在

SQL注入漏洞扫描之sqlmap详解

《SQL注入漏洞扫描之sqlmap详解》SQLMap是一款自动执行SQL注入的审计工具,支持多种SQL注入技术,包括布尔型盲注、时间型盲注、报错型注入、联合查询注入和堆叠查询注入... 目录what支持类型how---less-1为例1.检测网站是否存在sql注入漏洞的注入点2.列举可用数据库3.列举数据库

javafx 如何将项目打包为 Windows 的可执行文件exe

《javafx如何将项目打包为Windows的可执行文件exe》文章介绍了三种将JavaFX项目打包为.exe文件的方法:方法1使用jpackage(适用于JDK14及以上版本),方法2使用La... 目录方法 1:使用 jpackage(适用于 JDK 14 及更高版本)方法 2:使用 Launch4j(

PHP执行php.exe -v命令报错的解决方案

《PHP执行php.exe-v命令报错的解决方案》:本文主要介绍PHP执行php.exe-v命令报错的解决方案,文中通过图文讲解的非常详细,对大家的学习或工作有一定的帮助,需要的朋友可以参考下... 目录执行phpandroid.exe -v命令报错解决方案执行php.exe -v命令报错-PHP War

BUUCTF靶场[web][极客大挑战 2019]Http、[HCTF 2018]admin

目录   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 [web][HCTF 2018]admin 考点:弱密码字典爆破 四种方法:   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 访问环境 老规矩,我们先查看源代码

hdu 4565 推倒公式+矩阵快速幂

题意 求下式的值: Sn=⌈ (a+b√)n⌉%m S_n = \lceil\ (a + \sqrt{b}) ^ n \rceil\% m 其中: 0<a,m<215 0< a, m < 2^{15} 0<b,n<231 0 < b, n < 2^{31} (a−1)2<b<a2 (a-1)^2< b < a^2 解析 令: An=(a+b√)n A_n = (a +