[求助][求助]Excel解析BIFF格式XLS文件漏洞，大侠给点思路-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
jvjvlglg 雪币： 29 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	jvjvlglg 2011-10-10 17:19 2 楼 0 抛砖引玉 30799F92 \|. A1 B4C48530 MOV EAX,DWORD PTR DS:[3085C4B4] 30799F97 \|. 8945 F4 MOV DWORD PTR SS:[EBP-C],EAX 30799F9A \|. 8D45 B0 LEA EAX,DWORD PTR SS:[EBP-50] 30799F9D \|. 6A 00 PUSH 0 30799F9F \|. 50 PUSH EAX 30799FA0 \|. A3 B4C48530 MOV DWORD PTR DS:[3085C4B4],EAX 30799FA5 \|. E8 0ADD86FF CALL EXCEL.30007CB4 30799FAA \|. 85C0 TEST EAX,EAX 30799FAC \|. 59 POP ECX 30799FAD \|. 59 POP ECX 30799FAE \|. 74 20 JE SHORT EXCEL.30799FD0 30799FB0 \|. 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C] 30799FB3 \|. 6A 10 PUSH 10 30799FB5 \|. FF75 F8 PUSH DWORD PTR SS:[EBP-8] 30799FB8 \|. A3 B4C48530 MOV DWORD PTR DS:[3085C4B4],EAX 30799FBD \|. FF15 6C608530 CALL DWORD PTR DS:[3085606C] ; mso.__MsoPvFree@8 30799FC3 \|. 6A 06 PUSH 6 30799FC5 \|. FF35 B4C48530 PUSH DWORD PTR DS:[3085C4B4] 30799FCB \|. E8 B35692FF CALL EXCEL.300BF683 30799FD0 \|> 8B75 18 MOV ESI,DWORD PTR SS:[EBP+18] 30799FD3 \|. 8B0E MOV ECX,DWORD PTR DS:[ESI] 栈顶偏移18数值传入ESI，这个参数在调用时压入： 30007CB4 /$ 8B5424 04 MOV EDX,DWORD PTR SS:[ESP+4] 30007CB8 \|. A1 009E8530 MOV EAX,DWORD PTR DS:[30859E00] 30007CBD \|. 8902 MOV DWORD PTR DS:[EDX],EAX 30007CBF \|. 896A 04 MOV DWORD PTR DS:[EDX+4],EBP 30007CC2 \|. 895A 08 MOV DWORD PTR DS:[EDX+8],EBX 30007CC5 \|. 897A 0C MOV DWORD PTR DS:[EDX+C],EDI 30007CC8 \|. 8972 10 MOV DWORD PTR DS:[EDX+10],ESI 30007CCB \|. 8962 14 MOV DWORD PTR DS:[EDX+14],ESP 30007CCE \|. 8B0424 MOV EAX,DWORD PTR SS:[ESP] 30007CD1 \|. 8942 18 MOV DWORD PTR DS:[EDX+18],EAX 30007CD4 \|. 33C0 XOR EAX,EAX 30007CD6 \. C3 RETN 往上追溯了几个栈，依然不知道这个参数从何而来，与畸形文件又有什么关系。唯一知道的是改变iax畸形数值可以索引到特定的堆块。但不能劫持eip 过了这么久，大大们没关注呢。。。
仙果雪币： 1489 活跃值： (955) 能力值： (RANK：860 ) 在线值：发帖 66 回帖 1509 粉丝 60 关注私信	仙果 19 2011-10-10 18:39 3 楼 0 我来分析下，分析完成给你回复哈
仙果雪币： 1489 活跃值： (955) 能力值： (RANK：860 ) 在线值：发帖 66 回帖 1509 粉丝 60 关注私信	仙果 19 2011-10-11 10:13 4 楼 0 楼主看到帖子的话，加下我的QQ
jvjvlglg 雪币： 29 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	jvjvlglg 2011-10-11 11:01 5 楼 0 工作电脑不能qq。。。晚上8点后能。。。谢谢关注~ jvjvlglg@gmail.com
仙果雪币： 1489 活跃值： (955) 能力值： (RANK：860 ) 在线值：发帖 66 回帖 1509 粉丝 60 关注私信	仙果 19 2011-10-11 15:48 6 楼 0 好的，给你的邮箱发邮件了
choday 雪币： 239 活跃值： (190) 能力值： ( LV8，RANK：130 ) 在线值：发帖 60 回帖 407 粉丝 3 关注私信	choday 2 2011-10-11 16:29 7 楼 0 我发一份，研究一下另外，你那个工具，是不是ms那个？叫什么名字，我忘了，提个醒
jvjvlglg 雪币： 29 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	jvjvlglg 2011-10-11 16:31 8 楼 0 OffVis Tool 你发什么啦？
truexyz 雪币： 7 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	truexyz 2011-10-12 20:24 9 楼 0 附件我怎么看不见
仙果雪币： 1489 活跃值： (955) 能力值： (RANK：860 ) 在线值：发帖 66 回帖 1509 粉丝 60 关注私信	仙果 19 2011-10-12 22:55 10 楼 0 在分析了。呵呵
lzgxw 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 0 关注私信	lzgxw 2011-10-17 19:56 11 楼 0 看不到附件？
jvjvlglg 雪币： 29 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	jvjvlglg 2011-10-18 10:02 12 楼 0 木有结果。。。。看来还是不容易利用这个漏洞啊
CL_nelson 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	CL_nelson 2011-10-31 11:06 13 楼 0 俺也看不见附件
awdder 雪币： 101 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	awdder 2011-11-8 20:53 14 楼 0 忽悠人来着，附件呢？
ylbhz 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	ylbhz 2011-11-9 22:02 15 楼 0
potop 雪币： 216 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 99 粉丝 0 关注私信	potop 2011-11-18 12:12 16 楼 0 最近也在学习EXCL的东西，一起讨论一下呀！Q1176087742
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

jvjvlglg

雪币： 29

活跃值： (25)

能力值：

( LV2，RANK：10 )

在线值：

发帖

3

回帖

13

粉丝

0

关注

私信

jvjvlglg 2011-10-10 17:19: 2 楼
0

抛砖引玉

30799F92  |. A1 B4C48530    MOV EAX,DWORD PTR DS:[3085C4B4]
30799F97  |. 8945 F4        MOV DWORD PTR SS:[EBP-C],EAX
30799F9A  |. 8D45 B0        LEA EAX,DWORD PTR SS:[EBP-50]
30799F9D  |. 6A 00          PUSH 0
30799F9F  |. 50             PUSH EAX
30799FA0  |. A3 B4C48530    MOV DWORD PTR DS:[3085C4B4],EAX
30799FA5  |. E8 0ADD86FF    CALL EXCEL.30007CB4
30799FAA  |. 85C0           TEST EAX,EAX
30799FAC  |. 59             POP ECX
30799FAD  |. 59             POP ECX
30799FAE  |. 74 20          JE SHORT EXCEL.30799FD0
30799FB0  |. 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-C]
30799FB3  |. 6A 10          PUSH 10
30799FB5  |. FF75 F8        PUSH DWORD PTR SS:[EBP-8]
30799FB8  |. A3 B4C48530    MOV DWORD PTR DS:[3085C4B4],EAX
30799FBD  |. FF15 6C608530  CALL DWORD PTR DS:[3085606C]             ;  mso.__MsoPvFree@8
30799FC3  |. 6A 06          PUSH 6
30799FC5  |. FF35 B4C48530  PUSH DWORD PTR DS:[3085C4B4]
30799FCB  |. E8 B35692FF    CALL EXCEL.300BF683
30799FD0  |> 8B75 18        MOV ESI,DWORD PTR SS:[EBP+18]
30799FD3  |. 8B0E           MOV ECX,DWORD PTR DS:[ESI]

栈顶偏移18数值传入ESI，这个参数在调用时压入：

30007CB4  /$ 8B5424 04      MOV EDX,DWORD PTR SS:[ESP+4]
30007CB8  |. A1 009E8530    MOV EAX,DWORD PTR DS:[30859E00]
30007CBD  |. 8902           MOV DWORD PTR DS:[EDX],EAX
30007CBF  |. 896A 04        MOV DWORD PTR DS:[EDX+4],EBP
30007CC2  |. 895A 08        MOV DWORD PTR DS:[EDX+8],EBX
30007CC5  |. 897A 0C        MOV DWORD PTR DS:[EDX+C],EDI
30007CC8  |. 8972 10        MOV DWORD PTR DS:[EDX+10],ESI
30007CCB  |. 8962 14        MOV DWORD PTR DS:[EDX+14],ESP
30007CCE  |. 8B0424         MOV EAX,DWORD PTR SS:[ESP]
30007CD1  |. 8942 18        MOV DWORD PTR DS:[EDX+18],EAX
30007CD4  |. 33C0           XOR EAX,EAX
30007CD6  \. C3             RETN

往上追溯了几个栈，依然不知道这个参数从何而来，与畸形文件又有什么关系。
唯一知道的是改变iax畸形数值可以索引到特定的堆块。
但不能劫持eip

过了这么久，大大们没关注呢。。。