首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 二进制漏洞
    3. 发新帖
6
[求助][求助]Excel解析BIFF格式XLS文件漏洞,大侠给点思路
发表于: 2011-10-8 15:19 8742

[求助][求助]Excel解析BIFF格式XLS文件漏洞,大侠给点思路

jvjvlglg 活跃值
2011-10-8 15:19
8742

最近搞到微软的一个0day漏洞,Excel解析BIFF格式XLS文件的时候
如果AxisParent结构中iax的值非法,会造成执行恶意代码。

CVE-2011-1987
资料中给出调试信息:


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 6
支持
分享
赞赏记录
参与人
雪币
留言
时间
伟叔叔
为你点赞~
2024-5-31 02:31
心游尘世外
为你点赞~
2024-3-10 00:37
飘零丶
为你点赞~
2024-3-1 00:18
QinBeast
为你点赞~
2024-2-7 00:34
shinratensei
为你点赞~
2024-1-24 02:26
PLEBFE
为你点赞~
2023-3-7 00:50
最新回复 (15)
jvjvlglg
雪    币: 29
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
抛砖引玉

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
30799F92  |. A1 B4C48530    MOV EAX,DWORD PTR DS:[3085C4B4]
30799F97  |. 8945 F4        MOV DWORD PTR SS:[EBP-C],EAX
30799F9A  |. 8D45 B0        LEA EAX,DWORD PTR SS:[EBP-50]
30799F9D  |. 6A 00          PUSH 0
30799F9F  |. 50             PUSH EAX
30799FA0  |. A3 B4C48530    MOV DWORD PTR DS:[3085C4B4],EAX
30799FA5  |. E8 0ADD86FF    CALL EXCEL.30007CB4
30799FAA  |. 85C0           TEST EAX,EAX
30799FAC  |. 59             POP ECX
30799FAD  |. 59             POP ECX
30799FAE  |. 74 20          JE SHORT EXCEL.30799FD0
30799FB0  |. 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-C]
30799FB3  |. 6A 10          PUSH 10
30799FB5  |. FF75 F8        PUSH DWORD PTR SS:[EBP-8]
30799FB8  |. A3 B4C48530    MOV DWORD PTR DS:[3085C4B4],EAX
30799FBD  |. FF15 6C608530  CALL DWORD PTR DS:[3085606C]             ;  mso.__MsoPvFree@8
30799FC3  |. 6A 06          PUSH 6
30799FC5  |. FF35 B4C48530  PUSH DWORD PTR DS:[3085C4B4]
30799FCB  |. E8 B35692FF    CALL EXCEL.300BF683
30799FD0  |> 8B75 18        MOV ESI,DWORD PTR SS:[EBP+18]
30799FD3  |. 8B0E           MOV ECX,DWORD PTR DS:[ESI]


栈顶偏移18数值传入ESI,这个参数在调用时压入:

1
2
3
4
5
6
7
8
9
10
11
12
30007CB4  /$ 8B5424 04      MOV EDX,DWORD PTR SS:[ESP+4]
30007CB8  |. A1 009E8530    MOV EAX,DWORD PTR DS:[30859E00]
30007CBD  |. 8902           MOV DWORD PTR DS:[EDX],EAX
30007CBF  |. 896A 04        MOV DWORD PTR DS:[EDX+4],EBP
30007CC2  |. 895A 08        MOV DWORD PTR DS:[EDX+8],EBX
30007CC5  |. 897A 0C        MOV DWORD PTR DS:[EDX+C],EDI
30007CC8  |. 8972 10        MOV DWORD PTR DS:[EDX+10],ESI
30007CCB  |. 8962 14        MOV DWORD PTR DS:[EDX+14],ESP
30007CCE  |. 8B0424         MOV EAX,DWORD PTR SS:[ESP]
30007CD1  |. 8942 18        MOV DWORD PTR DS:[EDX+18],EAX
30007CD4  |. 33C0           XOR EAX,EAX
30007CD6  \. C3             RETN


往上追溯了几个栈,依然不知道这个参数从何而来,与畸形文件又有什么关系。
唯一知道的是改变iax畸形数值可以索引到特定的堆块。
但不能劫持eip

过了这么久,大大们没关注呢。。。
2011-10-10 17:19
0
仙果
雪    币: 1491
活跃值: (985)
能力值: (RANK:860 )
在线值:
发帖
回帖
粉丝
私信
3
我来分析下,分析完成给你回复哈
2011-10-10 18:39
0
仙果
雪    币: 1491
活跃值: (985)
能力值: (RANK:860 )
在线值:
发帖
回帖
粉丝
私信
4
楼主看到帖子的话,加下我的QQ
2011-10-11 10:13
0
jvjvlglg
雪    币: 29
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
工作电脑不能qq。。。晚上8点后能。。。
谢谢关注~

jvjvlglg@gmail.com
2011-10-11 11:01
0
仙果
雪    币: 1491
活跃值: (985)
能力值: (RANK:860 )
在线值:
发帖
回帖
粉丝
私信
6
好的,给你的邮箱发邮件了
2011-10-11 15:48
0
choday
雪    币: 240
活跃值: (190)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
7
我发一份,研究一下
另外,你那个工具,是不是ms那个?
叫什么名字,我忘了,提个醒
2011-10-11 16:29
0
jvjvlglg
雪    币: 29
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
OffVis Tool

你发什么啦?
2011-10-11 16:31
0
truexyz
雪    币: 7
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
附件我怎么看不见
2011-10-12 20:24
0
仙果
雪    币: 1491
活跃值: (985)
能力值: (RANK:860 )
在线值:
发帖
回帖
粉丝
私信
10
在分析了。呵呵
2011-10-12 22:55
0
lzgxw
雪    币: 211
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
看不到附件?
2011-10-17 19:56
0
jvjvlglg
雪    币: 29
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
木有结果。。。。看来还是不容易利用这个漏洞啊
2011-10-18 10:02
0
CL_nelson
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
俺也看不见附件
2011-10-31 11:06
0
awdder
雪    币: 101
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
忽悠人来着,附件呢?
2011-11-8 20:53
0
ylbhz
雪    币: 196
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
2011-11-9 22:02
0
potop
雪    币: 216
活跃值: (65)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
最近也在学习EXCL的东西,一起讨论一下呀!Q1176087742
2011-11-18 12:12
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回

账号登录
验证码登录

忘记密码?
没有账号?立即免费注册
我已同意 《看雪服务条款》 《看雪课程免责声明》 《看雪隐私政策》