Windows 10
Office 2003
Windbg
msf

现在就可以看到windbg报出如下错误

既然异常发生在将ESI复制到EDI时，那就尝试查看ESI和EDI的详细信息

在这里可以发现，EDI是只读权限的，而操作却是复制ESI到EDI（其中包含
了写权限），因此造成c0000005错误。
再回看 !address edi 结果，EDI的区域只有16K，而ESI却足足214.047M!程
序将214.07M的内容要复制到只有16K的EDI中，这本身就很可疑!!!这种情况
说明程序在复制数据前没有对目标缓冲区 [edi] 的大小进行必要的检查，从
而导致了缓冲区溢出问题。

重新附加程序，在30e9eb88（EIP）处下断点。然后g

程序在30e9eb88处触发了断点，然后使用kb查看栈信息(此时并未发生异
常，栈内信息一切正常)

第一个是当前函数栈帧,所以应该从前一个函数栈开始看。
使用ub命令查看mso!Ordinal753+0x306e之前的汇编代码
（ub命令是从指定地址向低地址方向显示机器码对应的汇编指令）

这里可以看到，在 30f4cdb8 e8a0feffff call mso!Ordinal753+0x2f0e
(30f4cc5d) 又调用了 mso!Ordinal753+0x2f0e ,因此需要再次重新载入程序打
下断点。

重新载入断点触发后

漏洞触发地址：30e9eb88
当前地址：30f4cc5d
接下来一直单步步过调试，直到找到下一个函数调用，然后判断该函数调用
是否离漏洞地址近，选出最近的那个，一般就是漏洞函数调用地址了。

应该这里就是函数的漏洞调用了(再单步一下就看到触发了异常)，跟入漏洞调用查看一下

需要注意esi、edi、ecx这三个寄存器的值，因为它们直接决定了数据复制的
来源、目标和长度。如果这些值没有经过正确的校验，就可能导致缓冲区溢
出或非法访问错误。

以下为单步调试

拷贝大小为0xc8ac，因为是dword拷贝，所以拷贝0xc8ac / 4 = 0x322b
次。
拷贝次数 = 总字节数 ÷ 每次拷贝的大小（DWORD 大小）
十六进制打开样本文件，可以看到ecx 0xc8ac属于样本数据，位于
pFragements的第三个字段，偏移8个字符后的4个字符（勾选的字符）即为复制的数据大小

而0xc8ac后面的数据就是实际内存复制的数据，复制内存源地址esi就指向这里

复制内存的目标地址刚好偏移栈底ebp共0x10字节，加上ebp本身占用的4字节，刚好14字节，再覆盖下去就是函数的返回地址了

由于POC文件中的复制的内存数据较大，导致复制的过程中覆盖到不可写的内存地址而触发异常，因此没有去执行覆盖到的返回地址或者seh异常处理函数。
总结上面的分析过程，由于word中的rtf分析器在解析pFragments属性时，没有正确计算属性值所占用的空间大小，只要复制的数据大小超过0x10+0x4即可覆盖到返回地址，若继续覆盖下去还可覆盖到seh结构，进而控制程序的执行流程，用于执行任意代码！！

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课