0x01 前言

CVE-2011-0104 是 Microsoft Office 中的 Excel（没有打补丁的情况下）表格程序在处理 TOOLBARDEF 中的 Record 字节时没有对 Len 字段和 Cbtn 字段做过滤导致可以将任意大小的数据复制到任意地址的空间去，从而导致栈溢出漏洞。若攻击者通过构造恶意的 XLB 文件，受害者在未知的情况下打开恶意文件，受害者主机可能会被完全控制。到目前为止 CVE-2011-0104 漏洞还未收录在 metasploit 中

0x02 分析环境

虚拟机：Windows XP sp3 64 位操作系统，ASLR 处于关闭状态，便于调试（提取码：d3ho）
漏洞程序：Microsoft Office Excel 2003，版本：11.0.8211（提取码：woi9）
分析工具：OD，IDA（提取码：v0pt），Windbg（Windbg32，Windbg64），C32Asm（16进制分析文件工具，提取码：4sj8）
样本（POC）：能够触发异常的 .XLB 格式文件（提取码：0oic）

0x03 定位程序异常

有了 POC 下面就可以开始定位异常，通用的做法是利用正宗的微软调试器 Windbg，先运行 EXECEL.EXE 文件吧
附加一个进程，一般是以附加的方式调试，也可以运行一个源程序再调试
找到刚刚运行的 EXECEL.EXE 程序的进程
运行，g 是运行的意思
这里使用打开文件的做法，如果使用的是拖入的方式加载文件，异常触发后会被 Windows 的异常处理给捕捉到，不利于调试，这里要注意
这个样本就是 POC 选中之后打开它
Windbg 成功捕捉到异常，异常出现在 EXECEL.EXE 中，而不是通常的 .dll 文件中。这个异常表示在 0x30089ca1 这个地址，编译器读不出 0x51455047 这个地址，不知道这个地址代表什么。
一个正常的文件加载是不会出现这个异常的，那么为什么会出现这个异常呢，原因就是堆栈中的数据被覆盖了，原来可以读的地址被改成了 POC 样本中的数据导致不可读，0x51455047 这个数据极有可能是 POC 中的数据
最后看一下堆栈中的数据，都被覆盖了

0x04 OD调试

记下刚才程序发生异常的地址，在 OD 中断下
重新运行断在了异常处，暂且将这个异常函数称为 test_error 函数
此时堆栈的情况
下面需要跟踪堆栈，为什么需要跟踪堆栈呢，因为虽然知道异常点触发点，但并不知道堆栈中的数据何时被复制进堆栈的
为了搞清楚这个问题，首先需要定位栈顶位置和 test_error 函数入口点在哪里，但是目前堆栈中的数据被溢出覆盖了，没有办法定位怎么办，这里可以加载一个正常的文件
下图是加载了一个正常的文件并且定位到了异常点，注意此时 EBP 的位置
查看一下堆栈，利用 EBP 找到函数返回地址
enter 一下返回值，断下这个函数，异常就出现在 EXECAL.30089b57 中也就是 test_error 这个函数
之后重新载入有漏洞的文件
运行到刚刚断下的函数后，F7 进入这个函数，运行到如下位置，此时函数已经开辟出 0x60 大小的栈空间
堆栈窗口如下图所示
在数据窗口查看堆栈信息，并且在栈底下内存写入断点
F9 运行两次终于找到了这个污点，就是它将 POC 中的数据复制到了堆栈当中（其实找到查询堆栈复制信息的时候，还可以利用函数调试法来追踪，这里不做过多阐述）
rep 是循环复制命令，计数器为 ecx，也就是 eax / 4 的值，此时 eax 为 0x300，可能是某个处理内存函数的参数
下断点后重新运行，F8 单步之后，堆栈空间被 POC 数据覆盖
和 POC 中的数据作对比，果然一模一样