一、漏洞环境
系统环境：windows xp sp3
漏洞软件：Microsoft Office Word（2003 sp3）
调试工具：Windbg
二、漏洞分析
该漏洞主要是在处理RTF中的“pFragments”属性时存在栈溢出，导致远程攻击者可以借助特制的RTF格式的数据执行任意代码。
运行WinDbg附加Word 2003，打开测试样本poc.rtf，WinDbg捕获到的异常如图所示，可以看到出现异常的位置是0x30ed442c,

使用IDA进行反汇编可以得到0x30ed442c位于函数sub_30ED4406

在0x30ed442c处设断点，重新执行并且进行跟踪分析查看此时的栈信息

依次查看调用的函数地址，可以发现漏洞函数(0x30ED4406)是被0x30f0b5c2函数所调用的，重新加载进程并且在0x30f0b5c2处设下断点，执行程序。

下面单步跟踪程序到调用漏洞函数(0x30ed4406)所在位置 ：

进一步跟踪发现执行内存复制req movs时对应的ecx大小为0x0000c8ac,即复制数据的大小，由于是操作dword字节所以再进行了右移两位.

查看poc.rtf文件的内容可以看到c8ac正好是源于样本文件，它位于pFragments属性的第三个字段，偏移8个字符后的4个字符就是复制的数据大小。

进一步可以看到此时所复制的内容esi对应的正好是acc8之后的内容

复制的内存的目标地址edi刚好偏移栈底ebp0x10，而ebp本身大小为0x4，这样一来如果复制的内存大小超过0x14就会覆盖到该函数的返回地址。由于poc.rtf中复制的内存数据较大就导致了异常的产生
三、漏洞代码
使用IDA可以分别生成函数0x30f0b5c2和0x30ED4406的代码如下所示：

四、漏洞利用
该漏洞的利用可以通过将函数的返回地址覆盖为jmp esp指令地址覆盖，也就是偏移0x14个字节的值之后就可以覆盖到返回地址，然后将利用代码shellcode放在后面就可以进行利用。值得注意的是函数30F0B5C2在返回时会弹出0x14的栈空间，因此利用代码要放在偏移jmp esp指令0x14的位置处.

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)