作者:维阵漏洞研究员–lawhack
微软的office产品内置了一个名为公式编辑器的组件,该组件主要用来对文档中的Object Linking and Embedding(OLE)对象进行编辑,由于时间久远,该组件也长久没有更新,自从2017年开始,爆出了cve-2017-11882等高危漏洞,用户打开一个特定的rtf文档就会被劫持,触发漏洞导致主机被控制。而WPS内部同样有公式编辑器这一组件,这一组件和office的有所不同,今天笔者对该组件的加载过程进行了逆向分析,并能够通过自己编写的程序主动启动公式编辑器并加载、显示文件中的ole对象。
应用版本
wps office:11.1.0.10000
EqnEdit.exe:2007.12.5.0
分析过程
目标分析
首先确定了ole对象的载体文档为rtf,因为根据office之前爆出的漏洞,在rtf文档通过添加objupdate等关键字,可以使用户在打开文档时,直接触发公式编辑器组件的加载而不必用户去双击激活对应的ole对象。但是在这里WPS并没有提供这样的”便利”,打开构造好的样本,WPS并没有加载公式编辑器组件,还是需要主动双击或者右键激活的方式来加载组件。接下来就看下wps中哪些应用库负责加载该公式编辑器组件。
整体性分析
利用ProcessMonitor等程序对组件的加载过程进行整体性分析。首先关注的点是rtf文档的加载过程,打开wps office后,利用procmon监控wps的执行,打开对应的rtf文档(Embed Equatoin.rtf),procmon的显示如下:
查看函数调用栈如下:
并没有值得注意的,仅仅是获取文件的信息,和rtf文档的解析无关,紧接着,看到如下的文件操作:
查看函数调用栈如下:
可以看到wpsmain.dll中调用了StgOpenStorage函数,该函数主要用来打开一个复合文档文件,并将其进行结构化存储,保存在IStorage类型的结构体中,在ole2中是通用的对复合文档的存储方式。继续看下去,如下:
调用栈如下:
通过名字不难猜测,rtfreader.dll主要用来对rtf文档进行解析。接下来会看到有趣的一点,如下:
虽然在rtfreader中并没有主动激活公式编辑器组件的功能,在这里还是通过com接口对EqnEdit.exe程序所在的文件进行了访问,如果打开procmon中的注册表信息查看功能,我们将看到更多相关的信息,对我们理解整个EqnEdit程序的加载过程略有帮助。如下:
查看调用栈,发现大部分行为主要集中于OleConvertOLESTREAMToIStorage这个函数中:
这个函数主要用来将复合文档中的ole1流对象转换为ole2结构化存储对象,说明此时rtfreader已经对rtf文档的公式编辑器对象(Equation Native Obj)进行了解析、保存等操作,但是并没有主动调用公式编辑器进行加载、显示。接下来双击WPS文档中显示的公式编辑器对象,同时在procmon中添加processname为EqnEdit.exe,则可以看到行为如下:
可以看到EqnEdit被创建,查看详细发现父进程并不是wps.exe,而是svchost.exe:
因为在wps中是通过com接口调用EqnEdit,因此是由特定的服务DcomLaunch负责将LocalServer类型的程序载体启动,对com应用比较熟的话可能对此更加了解。
查看对应的调用栈如下:
可以看出是由函数OleLoad负责加载的,但是其实真正创建EqnEdit程序的并不是这个api,而是由OleRun这个函数负责创建的,后面再细说。
这样我们大概了解了整个EqnEdit程序的加载流程,由rtfreader.dll负责对rtf文档进行解析,将其中的公式编辑器对象内容提取并保存为ole2的结构化存储模式,随后由kso.dll负责加载、激活公式编辑器组件,让公式编辑器能够正常显示。接下来就看下具体的函数是哪些了,后面需要自己写代码将公式编辑器加载起来。
代码级分析
首先查看rtfreader.dll利用到的具体函数,定位到调用OleConvertOLESTREAMToIStorage的函数中,ida显示如下:
由于之前用Dynamorio跑过WPS,因此可以看到程序覆盖状况,标记深色的说明是程序执行过的代码。这里利用windbg进行调试,可以看到第二个参数就是rtf中的公式编辑器对象,如下:
在010editor中打开rtf文档,可以看到对应的obj内容如下:
rtf在保存数据时都是以16进制字符串保存的,所以要看原内容将其转换下即可:
可以看出和调试器中显示的参数内容一致。这里做出猜测,需要进行转换的数据内容就是这里了,在后续写程序时,复合文档所需要的内容也就是这部分,而不是整个rtf文档。
随后就是申请全局内存并通过调用CreateStreamOnHGlobal 函数将数据保存为IStream类型,通过StgCreateDocfile创建结构化存储文档,并通过OleConvertOLESTREAMToIStorage进行转换。
但这里需要注意的是第一个参数OLESTREAM是需要自己实现内部的读写函数。
接下来程序会创建一个objinfo流,如下:
抛开解析rtf文档外,基本上rtfreader为加载EqnEdit程序所需要做的就这些了,接下来看下kso.dll的主要实现。
定位到KAxOleObjectSite::_loadObject函数,ida查看如下:
在104AA00D函数中,负责ole加载工作,如下:
看下OleLoad的函数参数如下:
其中pStg来源于在rtfreader中转换后的IStorage结构化存储数据,猜测是同类的,如下:
0:000> dds 05dc0818 l405dc0818 76a2121c coml2!CExposedDocFile::`vftable'05dc081c 76a21200 coml2!CExposedDocFile::`vftable'05dc0820 05dc081805dc0824 05dc08400:000> dds 76a2121c l476a2121c 76a2b750 coml2!CExposedDocFile::QueryInterface76a21220 76a2b260 coml2!CExposedDocFile::AddRef76a21224 76a31c90 coml2!CExposedDocFile::Release76a21228 76a429f0 coml2!CExposedDocFile::CreateStream
0:000> dds 0e2b1c68 0e2b1c68 76a2121c coml2!CExposedDocFile::`vftable'0e2b1c6c 76a21200 coml2!CExposedDocFile::`vftable'0e2b1c70 0e2b1c680e2b1c74 0e2b1c90
虽说地址发生了变化,但内容应该是一致的,第二个参数是要启动的com组件的接口标识符,这里EqnEdit.exe的CLSID为{0002CE21-0000-0000-C000-000000000046},而要交互的接口的iid为{00000112-0000-0000-C000-000000000046},表明要获取的接口类型为IOleObject,在oleviewdotnet中也可以看到,如下:
通过这个接口暴露出的函数我们可以让EqnEdit.exe程序窗口显示。
返回到KAxOleObjectSite::_loadObject函数中,可以看到,通过OleLoad函数拿到了OLEOBJECT对象,接着通过调用OleRun函数来启动对应的com程序即EqnEdit.exe程序,此时,如果是在调试状态的话,当运行了OleRun函数后,可以观察到EqnEdit.exe已经正常启动。
eax=06ab2094 ebx=0ef20d30 ecx=06f93928 edx=6c97e984 esi=06f93928 edi=06f93944eip=6cd66682 esp=0019c484 ebp=0019c4b0 iopl=0 nv up ei pl nz na po nccs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00000202kso!KAxOleObjectSite::_loadObject+0x7d:6cd66682 ff1560f2ea6e call dword ptr [kso!KKeyboardHook::s_setPopupWidgets+0xf78 (6eeaf260)] ds:002b:6eeaf260={ole32!OleRun (7702bfb0)}0:000> peax=00000000 ebx=0ef20d30 ecx=0019c450 edx=00000001 esi=06f93928 edi=06f93944eip=6cd66688 esp=0019c488 ebp=0019c4b0 iopl=0 nv up ei pl nz na po nccs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00000202kso!KAxOleObjectSite::_loadObject+0x83:6cd66688 89450c mov dword ptr [ebp+0Ch],eax ss:002b:0019c4bc=00000000
但此时窗口并没有显示,真正要激活窗口还需要执行对应的动作,主要实现在KAxOleObjectSite::DoVerb中,如下:
只需要执行默认的0号动作即可将EqnEdit.exe窗口激活显示,调试时信息如下:
0:000> reax=00000000 ebx=06f93958 ecx=7707d250 edx=770031c8 esi=06f93928 edi=0c838468eip=6cd671bd esp=0019c55c ebp=0019c59c iopl=0 nv up ei pl nz na po nccs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00000202kso!KAxOleObjectSite::DoVerb+0x106:6cd671bd ffd1 call ecx {ole32!CDefObject::DoVerb (7707d250)}0:000> dd esp l80019c55c 06ab2094 00000000 00000000 06f939580019c56c 00000000 00372608 00000000 a70b1960
那么大概的流程以及关键的代码函数都比较清楚了,接下来就是开发过程。
开发过程
在开发前需要了解整个com客户端的开发过程,推荐阅读ole2高级编程这本书,虽然比较过时,但是内容非常丰富,主要看第九章OLE相关的。如果仅是简单的实现激活EqnEdit程序的话就没必要实现所有的组件如IAdviseSink、IOleClientSite。
到这里依旧不完全确定前面所了解的内容是否能够最终激活EqnEdit程序,需要我们去一步步调试去解决出现的问题。
1.首先要调用ole2.0相关api,需要包含Ole2.0头文件,并且包含对应的lib库。
#include#pragma comment( lib, "ole32.lib" )
2.调用OleInitialize()函数,如果没有调用的话,后面会报错。
3.读取本地的公式编辑器二进制数据,这里我将对应的内容提取到文件中,只需读取该文件即可。
4.将二进制数据转换为IStorage结构化存储数据,通过调用CreateStreamOnHGlobal、StgCreateDocfile、OleConvertOLESTREAMToIStorage函数即可。
5.实现IAdviseSink、IOleClientSite接口,笔者使用纯C的方式来实现,如下:
IOleClientSiteVtbl* myclientvtbl = new IOleClientSiteVtbl; IOleClientSite myclientsite; myclientsite.lpVtbl = myclientvtbl; myclientsite.lpVtbl->QueryInterface = queryinterface; myclientsite.lpVtbl->AddRef = addref; myclientsite.lpVtbl->Release = release; myclientsite.lpVtbl->SaveObject = saveobj; myclientsite.lpVtbl->GetMoniker = getmoniker; myclientsite.lpVtbl->GetContainer = getcontainer; myclientsite.lpVtbl->OnShowWindow = onshowwindow; myclientsite.lpVtbl->ShowObject = showobj; myclientsite.lpVtbl->RequestNewObjectLayout = requestnew;
6.调用OleLoad函数获取对应的OleObject对象:
res = OleLoad(docstorage, IID_IOleObject, (LPOLECLIENTSITE)newclientsite, (LPVOID*)&myoleobj);
7.设置hostnames:
myoleobj->lpVtbl->SetHostNames(myoleobj,L"WPS文字", L"newtest.rtf");
8.调用OleRun执行对应的com对象:
OleRun((LPUNKNOWN)myoleobj);
9.调用OleSetContainedObject 进行通知:
res = OleSetContainedObject((LPUNKNOWN)myoleobj, 1);
10.调用OleObject对象的doverb接口函数,激活EqnEdit.exe:
res = myoleobj->lpVtbl->DoVerb(myoleobj,0, 0, (LPOLECLIENTSITE)&myclientsite, 0, (HWND)0, 0);
到了这一步,基本上EqnEdit.exe就会弹出并且将要解析的符号内容显示出来。
11.最后调用OleUninitialize结束,当然最好在之前将所有申请的资源进行释放。
视频演示:
https://www.bilibili.com/video/BV13p4y1k7CM
今天的文章到这里就结束了,期待更多分享。
来源:freebuf.com 2020-10-30 18:48:15 by: 极光无限SZ
请登录后发表评论
注册