本帖为笔者日常学习笔记，如有错误，希望大佬指点。

主要问题是mso.dll的一处栈溢出漏洞
首先windbg载入rtf程序文件之后，发现了错误点

之后查看栈回溯，可以看到上一层是mso!Ordinal753+0x306e处，通过找到第一个call进行下断点30f4cc5d

成功到达30f4cc5d里面

接下来单步跟踪到溢出点，发现esi里面的内容好像有点意思了

之后将msf.rtf里面内容全改成11111111..，现在可以发现esi里面就是rtf文件里面的内容

OD附加分析，直接跳到rep指令处，可以看到edi与ebp +0x14处就是返回地址

继续跟到ret处，当到ret 14的时候，就会跳转到jmp esp，(我自己找的跳板)

此时相隔0X18处，就是shellcode，而现在已经定位到自己找的jmp
esp指令了，所以可以直接跳到shellcode

最后成功执行shellcode

0XF4CB39处，如果跟进30F4CE43函数后会报以下错误，但是在0XF4CB26处有判断，ZF=1则可以让je跳转，跳过30F4CE43函数执行后面指令。

如果正常进入30F4CE43函数，就会崩溃

解决思路：在0xF4CB26处 ebp+0X10与ebx进行比较，正常执行流程ebp+0X10为shellcode内容，这样当cmp比较之后，后续指令je不会进行跳转，则会进入到30F4CE43函数报错，那么我们只需要将ebp+0X10处改为0即可，这样je跳转就能跳过不执行30F4CE43函数。

快速定位ebp+0X10的位置，首先将rtf按照如下方法更改

之后断点直接跑过来，55555555这段就是ebp+10的地方，所以将此地方改成00000000即可

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课