这篇文章是我在构造完cve-2015-1641 exp的基础上写的，但cve-2015-1641的分析文章比较多，所以这里先发cve-2016-7193的exp构造思路，1641的exp构造有空再补充。

基于样本：

本次构造需要注意以下几点：

构造 bypass_aslr简单，和cve-2015-1641一样即可：

触发漏洞也简单，直接挪过来漏洞触发控制字部分即可：

难点在于构造能布控内存弹出计算器的堆喷射样本，下面进行构造。

原始rtf样本里面涉及到Word.Document.12控制字的有两处，但其实第一处无实际价值，第二处经验证为堆喷射所需的docx

下面开始提取第二个Word.Document.12, rtfobj.py初始提取失败，检查后发现是因为有混淆：

把红框处的内容删除后即可，删除其余冗余部分，只保留堆喷射部分，再次提取如下：

定位到rop部分，可以看到原始样本用了512个pattern来进行内存布控，除了第一个外后面511个pattern完全一样：

看一下该 ActiveX87.bin 的布局：

我们的目的是替换里面的内容，使之弹出一个计算器。

调试的文件版本：

调试发现：

留给我们自己的shellcode的空间比cve-2015-1641小多了(如果读者调过1641的话)，所以我们采用严格遵从原始文档字节分布构造，只替换红框和蓝框圈出的9B9B9B...开始的shellcode部分，这部分的大小为 346字节，如下：

这里要说明的一点是原作者为精确控制堆喷射内存大小为1fffc0，最后一个pattern和前面510个及第一个略有不同，最后一个pattern缺少10个字节，目的是为了按32对齐：

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课