黑客接单qq群号:微观视角下的office缝隙（2010-2018）

本文是对我在Bluehat Shanghai 2019讲演内容的一个拓展性总结。在本文中，我将总结2010年到2018年呈现的Office相关0day/1day缝隙。我将对每种类型

HITBSecConf 2017

的缝隙做一次整理，并对每个缝隙的相关剖析文章进行引证和归类。
期望这篇文章可以协助到后续从事office缝隙研讨的人。
 
概述
从2010年到2018年，office相关的0day/1day侵犯从未暂停过。以下一些CVE编号，是我在研讨过程中详细观察到的，有过实践侵犯样本的0day/1day缝隙(或许还有一些遗失的，读者可以进行弥补)。
我们先来看一下详细的CVE编号。
年份
编号
2010
CVE-2010-3333
2011
CVE-2011-0609/CVE-2011-0611
2012
CVE-2012-0158/CVE-2012-0779/CVE-2012-1535/CVE-2012-1856
2013
CVE-2013-0634/CVE-2013-3906
2014
CVE-2014-1761/CVE-2014-4114/CVE-2014-6352
2015
CVE-2015-0097/CVE-2015-1641/CVE-2015-1642/CVE-2015-2424/CVE-2015-2545/CVE-2015-5119/CVE-2015-5122/CVE-2015-7645
2016
CVE-2016-4117/CVE-2016-7193/CVE-2016-7855
2017
CVE-2017-0199/CVE-2017-0261/CVE-2017-0262/CVE-2017-8570/CVE-2017-8759/CVE-2017-11826/CVE-2017-11882/CVE-2017-11292
2018
CVE-2018-0798/CVE-2018-0802/CVE-2018-4878/CVE-2018-5002/CVE-2018-8174/CVE-2018-8373/CVE-2018-15982
我们先按组件类型对上述缝隙进行分类。需求说明的是，Flash自身也归于ActiveX控件的一种，下表中分类时我将其独立归为一类。
组件类型
编号
RTF控制字解析问题
CVE-2010-3333/CVE-2014-1761/CVE-2016-7193
Open XML标签解析问题
CVE-2015-1641/CVE-2017-11826
ActiveX控件解析问题
CVE-2012-0158/CVE-2012-1856/CVE-2015-1642/CVE-2015-2424/CVE-2017-11882/CVE-2018-0798/CVE-2018-0802
Office内嵌Flash缝隙
CVE-2011-0609/CVE-2011-0611/CVE-2012-0779/CVE-2012-1535/CVE-2013-0634/CVE-2015-5119/CVE-2015-5122/CVE-2015-7645/CVE-2016-4117/CVE-2016-7855/CVE-2017-11292/CVE-2018-4878/CVE-2018-5002/CVE-2018-15982
Office TIFF图片解析缝隙
CVE-2013-3906
Office EPS文件解析缝隙
CVE-2015-2545/CVE-2017-0261/CVE-2017-0262
凭借Moniker加载的缝隙
CVE-2017-0199/CVE-2017-8570/CVE-2017-8759/CVE-2018-8174/CVE-2018-8373
其他Office逻辑缝隙
CVE-2014-4114/CVE-2014-6352/CVE-2015-0097
我们再依据缝隙类型对上述非Flash缝隙进行分类。（Flash缝隙的相关总结可以参阅其他研讨员的文章）
缝隙类型
编号
栈溢出(Stack Overflow)
CVE-2010-3333/CVE-2012-0158/CVE-2017-11882/CVE-2018-0798/CVE-2018-0802
堆越界写入(Out-of-bound Write)
CVE-2014-1761/CVE-2016-7193
类型混杂(T ype Confusion)
CVE-2015-1641/CVE-2017-11826/CVE-2017-0262
开释后重用(Use After Free)
CVE-2012-1856/CVE-2015-1642/CVE-2015-2424/CVE-2015-2545/CVE-2017-0261/CVE-2018-8174/CVE-2018-8373
整数溢出(Integer Overflow)
CVE-2013-3906
逻辑缝隙(Logical vulnerability)
CVE-2014-4114/CVE-2014-6352/CVE-2015-0097/CVE-2017-0199/CVE-2017-8570/CVE-2017-8759
接下来我们按上面第二张表（Flash缝隙在外）来逐个审视这些缝隙。
 
RTF控制字解析问题
CVE-2010-3333
该缝隙是科恩试验室掌门人wushi发现的。这是一个栈溢出缝隙。
关于这个缝隙的剖析文章看雪上有许多，以下罗列几篇。
CVE-2010-3333缝隙剖析(深入剖析)
MS10-087从缝隙补丁到POC
《缝隙战役》的第2章第4节对这个缝隙也有比较体系的介绍，感兴趣的读者可以自行阅览相关章节。
CVE-2014-1761
该缝隙是谷歌发现的一个0day。这是一个堆内存越界写入缝隙。
李海飞曾对该缝隙做过十分精彩的剖析。
A Close Look at RTF Zero-Day Attack CVE-2014-1761 Shows Sophistication of Attackers
看雪论坛也有关于该缝隙的两篇高质量剖析文章。
CVE-2014-1761剖析笔记
ms14-017(cve-2014-1761)学习笔记 （里边有说到怎样配备正确的环境）
安全客上也有关于该缝隙的一篇高质量剖析。
手把手教你怎样结构office缝隙EXP（第三期）
此外，韩国的安博士也发过一篇关于这个缝隙的陈述。
Analysis of Zero-Day Exploit_Issue 01 Microsoft Word RTF Vulnerability CVE-2014-1761
调试这个缝隙时需求留意的当地是该缝隙的某些样本对触发环境比较严苛，上述文章里边有说到怎样结构相关试验环境。
CVE-2016-7193
该缝隙是Austrian Military Cyber Emergency Readiness Team（奥地利军事 *** 应急预备小组）陈述给微软的一个0day。
这也是一个堆内存越界写入缝隙。
百度安全试验室曾对该缝隙做过比较完好的剖析。
APT 侵犯利器-Word 缝隙 CVE-2016-7193 原理揭秘
我也曾关于该缝隙的使用编写共享过一篇剖析。
结合一个户外样本结构一个cve-2016-7193弹计算器的使用
 
Open XML标签解析问题
CVE-2015-1641
谷歌的0day总结表格中将其罗列为2015年的0day之一。
这是一个类型混杂缝隙。
关于该缝隙，飞塔曾写过一篇剖析文章。
The Curious Case Of The Document Exploiting An Unknown Vulnerability – Part 1
阿里安全也关于i7-6700该缝隙写过一篇精彩的剖析。
word类型混杂缝隙（CVE-2015-1641）剖析
安全客上也有该缝隙的一篇精彩剖析。
手把手教你怎样结构office缝隙EXP（第四期）
知道创宇404试验室也写过一篇关于该缝隙的精彩剖析。
CVE-2015-1641 Word 使用样本剖析
我也写过触及该缝隙原理的一篇共享。
Open XML标签解析类缝隙剖析思路
在调试这类触及到堆喷发的office样本时，需求特别留意调试器的介入往往会影响进程的堆布局（特别是一些堆选项的设置）。假如调试时样本行为无法正常触发，往往是直接用调试器发动样本导致的，这种时分可以试一下双击样本后再挂上调试器。

[1] [2] [3] [4]  下一页

我们在0×401500处下好断点，按F9运转到断点处。当我们看见地址的字成赤色布景变为黑色时，就说明程序现已运转到我们的断点处了。GD大致由segment selector（段选择子）、offset（选定段后的偏移）、DPL（描述符特权级）、P（段是否存在）组成，在上一次的《windows调试艺术》中我现已详细的说明晰怎样通过该结构寻找GDT/IDT然后找到相应的内容，这儿就不再翻开说了。.word 0x11111111int oldfd黑客接单qq群号:微观视角下的office缝隙（2010-2018）

[+] UserWriteWhatWhere->Where: 0x4242424242424242My Cloud EX2100 FW 2.30.196Telnetd>

REG ADD "HKCUEnvironment" /v "COR_PROFILER" /t REG_SZ /d "{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}" /fUT181A运用了Silicon Labs HID-to-UART接口模块CP2110. 在操作体系里呈现为一个HID设备，这样的长处是不用装驱动。已然它毕竟表现为UART协议，应该比较简略重写其通讯协议。其实UT71系列也是类似的方案（HID转UART），只不过用的南京沁恒的模块。

C:WindowsSystem32Printing_Admin_Scriptszh-CN 如图：3）插件加载

图中闪现了栈的下限和上限。为了从这儿获取指令指针控制，我在栈中找到结构化失常处理程序链，并掩盖一个entry，然后触发失常。在实行此操作时，重要的是要记住Windows 10启用了SEHOP。这将绕过CFG和RFG，由于SEH指针不受CFG的维护。这一切都在文件Getting_Control.html中完毕。Kali Linux是依据Debian的Linux发行版， 规划用于数字取证和渗透检验。由Offensive Security Ltd维护和资助。更先由Offensive Security的Mati Aharoni和Devon Kearns通过重写BackTrack来完毕，BackTrack是他们之前写的用于取证的Linux发行版 。在Windows 7上启用内核调试功用十分简略（Vista上也是如此，但现在应该没多少人用了吧？）。重启作业站，在BIOS屏幕加载完毕后按下F8键，顺利的话你可以看到如下界面：黑客接单qq群号:微观视角下的office缝隙（2010-2018）

进去查询了一下root内容，也发现了一些问题：5

　　套路一：假充购物网站。

3、添加/卸载记载Success rate is 100 percent (5/5), round-trip min/avg/max = 16/34/52 ms

root@server1:/tmp/chkrootkit-0.50# which chkrootkit

char* dll = "inject.dll";演示用的烧鹅支撑运用 Teensyduino 软件编写代码并烧录到芯片中。Teensyduino 依托于 arduino。由于演示的是 Windows 下的侵犯，以下软件设备设备配备等都以 Windows 途径为例。
本文标题:黑客接单qq群号:微观视角下的office缝隙（2010-2018）