用到的靶机为:WinXP
漏洞原理:
一、漏洞触发机制与核心组件
漏洞根源:RTF文件解析逻辑缺陷
触发组件:Microsoft Word的RTF****(Rich Text Format)解析引擎,具体涉及 mso.dll 模块中的
路径规范化函数(如 pfragments 相关函数)。
漏洞触发条件:当用户打开包含超长控制字属性字符串的RTF文件时,Word未对输入数据长度进行
验证,直接将数据复制到固定大小的栈缓冲区中,导致溢出。
关键控制字与数据构造
恶意RTF结构:攻击者在RTF文件中插入 {\*\pnfragments 等控制字,并设置超长的 属性字符串
(如字体名称或路径参数)。例如:{\rtf1\ansi{\*\pnfragments XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX}}
溢出触发点: pnfragments 控制字对应的属性字符串长度超过栈缓冲区容量(通常为64-128字
节),引发栈溢出。
二、内存破坏原理与利用技术
栈缓冲区溢出过程
栈空间分配:在解析RTF文件时,函数 sub_XXXXX (位于 mso.dll )会在栈上分配固定大小的缓冲区(如 0x00123E98 至 0x0012FFFF )。当输入数据长度超过此范围时,溢出覆盖相邻内存区域。
关键寄存器覆盖:
返回地址覆盖:溢出数据覆盖栈中保存的 EIP (指令指针),指向攻击者预设的地址(如 JMP
ESP 指令地址)。
SEH****链劫持:若溢出未直接覆盖返回地址,可能通过覆盖 **结构化异常处理链(SEH)**中的异常处理函数指针,触发异常后跳转至Shellcode。
Shellcode****布局与执行
内存布局操控:攻击者通过插入NOP****雪橇( 0x90 指令)和跳转指令,确保溢出后的控制流准确跳
转到Shellcode区域。
载荷注入方式:
直接嵌入:将Shellcode编码为十六进制字符串插入RTF文件。
远程加载:通过 data: 协议或恶意URL动态加载Shellcode,例如:
html <iframe src="data:text/html;base64,XXXXXXXXXXXX"></iframe>
三、影响范围与历史危害
**1.**受影响版本
操作系统:Windows XP SP3、Windows Server 2003、Vista、7。
Office****版本:Office 2003 SP3、2007 SP2、2010、Mac版Office 2004-2011。
**2.**实际攻击案例
大规模挂马攻击:2010-2011年,MS10-087被集成至"黑页"攻击链,全球超过50%的挂马网站利用
此漏洞传播木马。
APT****攻击载体:高级持续性威胁(APT)组织利用该漏洞投递恶意文档,窃取政府及企业数据。
四、防御与修复措施
**1.**官方补丁分析
补丁编号:KB2423930(MS10-087)修复了 mso.dll 中的路径处理逻辑,增加输入长度校验并重
构栈缓冲区分配策略。
补丁验证方法:使用 Bindiff 对比补丁前后DLL文件,可发现关键函数(如
CanonicalizePathName )的指令修改。
**2.**临时缓解方案
禁用RTF解析:通过组策略禁用Word的RTF文件解析功能(设置路径:
HKCU\Software\Microsoft\Office\...\Word\Security )。
启用防护机制:强制启用DEP(Data Execution Prevention)和Office沙箱(Protected View)。
**3.**网络与终端防护
流量监控:检测HTTP/邮件流量中异常的 pnfragments 控制字或超长属性字符串。
行为分析:监控 winword.exe 进程的异常栈操作或Shellcode执行行为。
详细步骤:
1.执行msfconsole。
2.搜索下ms10-018的路径:search ms10-087。
3.使用这个模块:use exploit/windows/fileformat/ms10_087_rtf_pfragments_bof
4.使用show options看一下要设置的东西,没有提示要设置什么,可以设置一下文件名。
5.这里我们可以使用set FILENAME www修改文件名。
6.在设置一个payload,前面一直在使用交互式的payload,下面我们换一个payload。
7.在使用show options查看payload需要设置什么
8.我们设置现在让他弹出一个计算器:set CMD calc.exe。
9.run命令运行一下,文件已经到所示目录下。
10.我们在目录下找到该文件,并且放到靶机上运行会直接打开计算器。
