CVE-2012-3569 VMWare OVF Tools 格式化字符串漏洞很多人都不陌生，是一个典型的win32平台格式化字符串漏洞。在本文分析中，通过一个触发异常的样本，分析了格式化字符串漏洞利用的技巧，在此基础上实现了漏洞的成功利用。

0x01实验环境

推荐使用环境

备注

Windows xp

简体中文版

VM VirtualBox

版本号：4.2.6 r82870

OllyDbg

版本号：V1.10

VMware OVF TooL

版本号：2.1.0-467744

0x02调试过程

运行OllDbg，并加载ovftool.exe,点击菜单”Debug-Arguments”，在弹出命令行参数对话框中，填写与ovftool.exe位于同一目录下的poc.ovf样本文件，让后重新开始调试程序。按F9运行，程序出现访问违例异常。

从异常信息可以看出，产生异常的原因是执行0x00000000处的指令出现访问违例。

在0x0057EAE7和0x0057EAF5处设置断点，重新运行该程序。在0x0057EAE7处中断，单步执行，观察寄存器中的值，发现在执行完0x0057EAE7处的MOV EAX,DWORD PTR DS:[EAX+EDI*8]后，EAX的值为0012FF50。执行完0x0057EAEA处的MOV CX,WORD PTR SS:[EBP-B4]后，CX的值为0x0345。

执行完0x0057EAF5处的MOV WORD PTR DS:[EAX],CX后，0x0012FF50处的值为0x00120345。

继续F8单步执行，一直执行到0x00580327处的retn指令，返回上一层调用的函数。

继续F8单步执行，直到执行完0x004186F8处的MOV ESP,EBP指令，此时ESP的值为0x00120345。观察栈中0x00120345附近的值为0x00000000。

继续单步依次执行0x004186FA处的POP EBP指令，此时ESP的值为0x00120349，当执行0x004186FB处的RETN指令后，EIP寄存器指向0x00000000，出现访问异常。

在上面的调试过程中，单步执行到0x0057CBBA处的retn时，EAX保存着提示错误的字符串。

继续回溯，执行完0x0056B684处的CALL ovftool.0056B5F0后，控制台显示提示错误字符串。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！