操作系统：Window 7 专业版(32位)

Microsoft Office是由Microsoft(微软)公司开发的一套基于 Windows 操作系统的办公软件套装。常用组件有 Word、Excel、PowerPoint等。最新版本为Microsoft 365(Office 2019)

CVE-2012-0158漏洞是一个栈溢出漏洞，该漏洞的产生来自于微软Office办公软件中MSCOMCTL.ocx中的MSCOMCTL.ListView控件检查失误。在读取数据的时候，读取的长度和验证的长度都在文件中，且可以人为修改，进而触发缓冲区溢出，攻击者可以通过精心构造的数据修改EIP指向来实现任意代码的执行。

用OllyDbg附加office,打开问题文档，发现弹出错误提示框，通过esp找到溢出点

分析溢出点附近堆栈，溢出点下面的堆栈一般是刚刚调用的函数的上一层函数堆栈，溢出后可能已经破坏，溢出点上面的堆栈─般是刚刚执行的函数堆栈，可以发现有一个地址275C8AOA,可以看出这个地址是MSCOMCTL模块中的地址，由此判断刚刚执行的函数中执行了MSCOMCTL模块中的代码

动态调试溢出点所在的函数，可以跟踪到是CALL275C876D时出的问题

重新动态调试观察CALL275C876D的参数

函数275C876D内部

在文件中搜索定位长度，发现有两个长度，猜测一个是dwBytes,一个是v7

在OllyDbg中单步调试以及修改8282为8283对比前后状态，发现两个长度确实一个是dwBytes,一个是v7

函数275C876D内部

修改8282为8283

函数275C876D内部

用IDA继续分析，后面疑似有拷贝函数

用OllyDbg找到了执行拷贝的语句

在读取数据时，读取的长度和验证的长度都在文件中，所以可以自行构造，进而触发栈溢出,栈溢出即在拷贝时，多余的部分向栈地址增加的方向覆盖，当函数返回地址被覆盖的时候，函数返回时会读取被覆盖的数据作为即将执行代码的地址，进而产生未知的后果

产生漏洞的根本原因是一个判断(即dwbytes>=8)。在函数sub_275c89c7中先后调用两次函数sub_275c876d,第一次调用该函数前分配了0x14字节的栈空间，第二次调用该函数前已使用0xc字节的空间(剩余0x8字节)。在函数内部会有拷贝数据这一行为，若拷贝数据量大于0x8字节就会引起栈溢出

官方修改如下，判断v9(dwBytes)是否等于8，不为8则返回

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)