维先生的博客

提取出{\object…}闭合的部分然后组成新文件这步有一个问题，就是很多漏洞的触发单文件拖进rtf文件就会崩溃，无法有效提出{\object…}闭合的部分，这个问题请问楼主是如何解决的呢？

请问下我按照您的流程做下来，用Excel打开样本能弹出计算器，但是直接双击就不行，是为什么呢？我用010Edit查看了下您的样本，数据结构也有区别，您是怎样处理到可以直接双击弹出计算器的呢？？？？？？

多个activeX.bin数据完全相同，堆喷到内存覆盖一片范围内的地址，根据内存对齐的特性和shellcode的size调整和计算activeX.bin的size和数量即可。

你好，请问一下，在office 漏洞利用中经常用activeX.bin 来bypass ASLR， 那么，activeX.bin 是如何来构造，并加入shellcode 的呢？

大神，求解… 7FFA4512你怎么确定存放在这个内存里的？？？？ 你是怎么确定这里有个跳转的 jmp esp

我想起来了，确实是会出现你说的这种情况，应该是word有预览的结构，估计这样需要把相关的结构字段也修改一下才行。我好像之前也没成功，忘了。。 你可以再试试，用docx格式的，替换里面的文档，再转成rtf。或者用其他的软件如wps试试转换或插入。或者只能去研究一下rtf文档的各种字段说明了。

我手动替换rtf文档中的docx文件时一直出错，只替换对应的十六进制编码的内容好像无效，现实的依然是以前的docx文档的内容，但是变成了图片类似的……谢谢

你说的两个问题我提两个简单的解决方案。首先是如何嵌入的问题 你可以先尝试通过word软件嵌入一个正常的，然后用记事本等编辑器打开找到对应的字段位置，然后替换嵌入的文件。第二个问题构造堆喷有很多方法，本质就是嵌入一些在文件打开时就会被自动读取到内存的文档资源，比如某些activeX控件，拿listctrl控件来说吧，你嵌入一个该控件，对其设置一些静态的属性，比如表头名称，随便输入一些超长字符串撑大内存；接着复制多个该控件进行保存，这样文件一打开就能喷射了，最终喷射的内存布局需要你自己根据需要修改对应的文件数据来调整。

你好，请问怎么将带poc的docx文件插入到rtf文件中，如果直接用word的插入功能，会导致崩溃。还有怎么手动构造堆喷射的docx? 谢谢

0x56B340

可以给的样本都在附件了啊，按照视频演示的方法也可以自己制作可以触发漏洞的样本。

您好 麻烦问一下演示中第一步用到的.xls样本可以发一份用用吗 我是一个大学生 在做一个这方面的实验 在网上没有找到合适的样本 麻烦您了

你需要安装一下open xml sdk，就按这关键字去找资料，下载个安装包引入就行了。

我在用C# 编译你文中的自动生成样本那段代码，报一个错
错误 1 未能找到类型或命名空间名称“SmartTagRun”(是否缺少 using 指令或程序集引用?)

我不知道这个需要引用什么，C#没弄过，谢谢

@需要帮助 我这个就是从xp sp3的系统符号离线包找到的啊 好像是这个WindowsXP-KB936929-SP3-x86-symbols-full-ENU.exe，你可以找找看

MSCOMCTL.dbg 请问老师这个符合文件从哪里下载 MSDN上没搜到，下载了XP SP3的系统离线符合，没找到

@曲折的洞幺之路 请叫我小菜，不是大神！你提的这个我自己也没实践过，不过记得袁哥说过，这类漏洞怎么也得要做到这种才有脸用到apt去，正常思路应该是修复堆栈吧，下回试验一把。

了解！发现docx的确是如此，msf生成的是rtf文件。还有，请问大神，想这类溢出漏洞之后，怎么才能让这个文件和正常一样打开呢（就好像没问题一样）？之前我调一个播放器漏洞也是一样，也遇到这个问题了。

@曲折的洞幺之路 用metasploit生成的doc应该实际上是docx，它是open xml文件格式，可以用zip解压缩看内部的结构，我给的docx样本就是这样，其中有个activeX目录，里面的bin文件就有"Cobj"的数据结构。你单纯在office里插入列表控件是不会出现"Cobj"数据结构的，因为"Cobj"是属于列表控件的数据对象的子对象，必需要列表控件有初始化数据才可以，而数据可以通过VBA脚本编译生成。

但是，您给的样本doc 或者网上下的doc，还是用metasploit生成的doc，用winhex打开，都没找到"Cobj"这个，但是确实能够触发漏洞并执行。我用excel创建xlsx，也插入了列表控件，用010Editor打开也没看到"Cobj"。请问这是不是doc，xlsx保存的方式和xls有什么差别导致的吗