关系式编辑器漏洞 在2018年年，OceanLotus进行了这项国际性主题活动，以运用包括CVE-2018-11882系统漏洞的文本文档。该系统漏洞坐落于开启和编写数学公式的部件中。 36o安全系数剖析OceanLotus应用的故意文本文档。 环节1 尽管故意文本文档是由.doc拓展的，但该文本文档事实上是1个RTF文件格式的文本文档，如图所示1如图，在其中包括很多没用的统计数据

　　RTF没用域 尽管有许多没用的统计数据，但Word依然可以取得成功开启RTF文档。如图所示2如图，在偏移0xC00处，有个EQNOLEFILEHDR构造，后跟MTEF头和MTEF纪录。

　　FONT纪录值

　　- FONT纪录文件格式 由于名字字段名在拷贝以前不查验其尺寸，因此它将会会上溢。假如名字过长，则会开启系统漏洞。如图所示2中的偏移0xC26如图，在RTF文档的內容中，堆栈是全部shellcode，0x90是NOP，回到详细地址是0x402114。此详细地址偏向EQNEDT32.exe中的RET命令，而且没用。这造成EIP偏向包括shellcode的name字段名的打头。

　　从shellcode刚开始 详细地址0x45BD3C储存1个简接引证的自变量，直至它抵达当今载入的MTEFData构造的表针，该构造都是剩下shellcode的部位。 Shellcode的目地是实行置入在打开文档中的第二段shellcode。最先，原始shellcode将试着传送全部系统软件句柄循环系统，查验句柄PID是不是与WinWord中系统进程的PID相同，及其打开文档的浏览掩码是不是为0x12019F以搜索打开文档的句柄。以便确定找到恰当的句柄，将应用CreateFileMapping涵数投射文档的內容。 shellcode将查验文本文档的最终4个字节数是不是为yyyy。这类技术性称为蛋捕猎。寻找配对项后，文本文档将作为ole.dll拷贝到临时文件夹中。随后是最毒的文档的最终13个字节数。

　　文本文档结尾的标识 AABBCCDD和yyyy 标识中间的31位值是与下个shellcode的偏移偏移。它应用CreateThread函数调用。获取的shellcode与OceanLotus机构一块儿应用。 第2环节 获取部件 文件夹名称和目录名是动态性挑选的。

　　编码将任意挑选坐落于C: \ Windows \ system32的可执行文件或DLL文档的名字。

　　随后查寻其資源并获取FileDescription字段名作为文件夹名称。如果不是，编码将从ProgramFiles％或C: \ Windows文件目录中任意挑选1个文件夹名称。

　　也要保证文件夹名称不包括Windows，Microsoft，desktop，system，system32，syswow64，以保证它与目前文档的名字不一样。

　　假如该文件目录已存有，则文件目录名字将驱动器NLS_ {6十位数}。将剖析此环节的0x102資源，并将文档公布到％ProgramFiles％或％AppData％。

　　建立時间将被改动为与kernel32.dll同样。 比如，下列是应用C: \ Windows \ system32 \ TCPSVCS.exe作为数据库建立的文件夹名称和文件列表： 获取不一样的部件 資源0x102的构造比较复杂，包括： 文件夹名称文件夹名称 文件大小和格式文件的尺寸和內容 缩小文件格式缩小文件格式（RtlDecompressBuffer涵数应用COMPRESSION_FORMAT_LZNT1） 详细的居住权 释放器的0x101包括2个31位自然数，用以标示中止的保持方法。第一位值表达恶意程序怎样在沒有管理员权限的状况下驻留。

　　下一个自然数表达恶意程序已根据提高的管理权限进行其

　　服务项目名字是沒有扩展名的文件夹名称。演示文稿的名字是文件夹名称。可是，假如它早已存有，请加上字符串版本号1.网络攻击根据服务项目保证存有是延展性的：假如服务项目不成功，服务项目将在1秒后重启。随后，新的服务项目密匙注册表值WOW64将设定为4，表达这是31位服务项目。