31 条评论分享收藏感谢收起赞同 25 条评论分享收藏感谢收起真服了巨硬：word 10 bug 查找文字出现未响应_word吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：62,557贴子：
真服了巨硬：word 10 bug 查找文字出现未响应收藏
7年都没能解决的一个bug，还跟着office一起连续更新了3代……话说有人知道怎么解决么？我现在只敢用word2007就是因为这个原因测试方法：将如下一段话，copy到word中，然后Ctrl+F查找“无线”这两个字，看word是否停止响应？UPnP 使用标准的 IP 协议集，从而保持了网络媒体的不可知性。UPnP 网络设备可以使用任何通讯媒体连接，包括无线频率（RF，无线）、电话线、IrDA、以太网以及 IEEE 1394。换言之，任何可以和网络设备一同使用的媒体都可以启用 UPnP。唯一要关心的可能是使用的媒体是否支持目标用途所要求的带宽。 UPnP 使用开放的标准协议，如 TCP/IP、HTTP 和 XML。但是，由于多种原因（包括成本、技术要求或兼容支持），其它的技术也可能与网络设备一起被使用。这些包括网络技术，如 HAVi、CeBus、LonWorks、EIB 或 X10。通过 UPnP 网桥或代理，这些技术也可以加入到 UPnP 网络中。目前避免此bug的方法只有一个，按Ctrl+H然后切换到查找选项卡。
回复:楼主这不是什么Office Word的bug，而是由于你从使用熟悉版本转换到新版本后还未真正学会正确操作方法的原因。Word 2007与Word 16查找的不同之处在于还没有使用导航来进行查找。而当你点开查找右侧▼按钮后，仔细对比一下就可发现Word 2007没有“高级查找”这一选项，而后的16版本都有“高级查找”这一选项。而你在习惯使用快捷键Ctrl+F进行查找操作时打开的是导航而非习惯使用的查找和替换对话框。
回复:楼主难道真如你所说：目前避免按Ctrl+F打开导航而不是打开查找对话框的方法只有一个，按Ctrl+H然后切换到查找选项卡？事实并非如此。1、有除用Ctrl+H以外的快捷键临时解决方案2、还有恢复用Ctrl+F快捷键的长久解决方案
献给：楼主及以后同样遇到此问题并受其困扰的吧友Word 、2016版本恢复Ctrl+F为查找长久解决方案：1. 依次打开文件→自定义功能区→键盘快捷方式：自定义（中间最下面）2. 点击开始选项卡→找到EditFind选项→再请至新快捷键中设置新的快捷键，注意是直接按Ctrl+F键，而不是输入字母和加号，然后点击指定，关闭。
真的是BUG，吧主。同一段话，在导航栏里输入媒体，就能正常的查找和显示出来。然后，输入无线，其实已经找到了，可是WORD未响应了。
登录百度帐号[原创]利用污点分析工具发现word2003的bug——word2003转换wps文件时堆溢出（）
最近一直在搞文档类漏洞的自动化挖掘分析（污点分析）。测试那个污点分析工具的时候用的是word2003，测试过程中也算有一些微小的成果。这个bug，一方面是感觉利用不起来，一方面是word2003也略老了。不过放出来给像我一样的初学者学习一个，提高姿势水平，应该还是有一些微小的意义的。其实我也不知道这个bug有没有人公开过，感觉无从考证。如果发现有人已经公开过了的话，欢迎告诉我一声。（现在是日，留个时间戳）现在漏洞挖掘好像分两派。一派是静态分析，这一派似乎比较讲究对代码的理解，对文件格式、写一个格式等的理解；另一派是fuzzing，这一派初期就是暴力穷举，现在也引入了类似符号执行等的方法来辅助fuzzing工具理解程序或者格式，加速测试过程。静态分析太慢了，太累了，太苦了；fuzzing又有点像撞大运。那么，有没有一种自动化的“静”态或“动”态方法呢？自动地去理解文件格式，代码流程。从编译器的角度来看，一个程序就是一个CFG，程序运行就是根据用户输入，在CFG中走不同的路径；漏洞就是某个特定的路径。所以，如果我们能自动发现某一部分数据，对应哪一部分代码，那么就相当于自动化理解了文件格式和代码实现。本文所用的污点分析工具就是根据这个思路写的。说完最近的理解进入正题。这个bug简单描述就是word2003打开wps文件，自动转换格式时，可能发生堆溢出。样本是用wps2003创建的，随便输入几个字符，保存的时候，选择 works 6.0 & 7.0 (*.wtf) 格式。再把wtf后缀改成wps后缀。这种文件好像是office约定的某种复合文件格式，具体其实我也不懂。用7z可以解开文件，可以发现里面有几个子文件。堆溢出就出现在处理CONTENTS这部分内容的代码里。
测试环境为win7 sp1，下载站下载的word2003（应该没有补丁）。
用污点分析工具分析之后得到某一部分的代码流程如下：
1. 读取文件内容在WKCVQD01.DLL动态库中.text:610945AD&push&edi
.text:610945AE&push&ebx
.text:610945AF&push&esi
.text:&call&dword&ptr&[eax+0Ch]
在处，调用ole32的一个复合文件格式读取函数读取512字节的CONTENTS子文件的内容到缓冲区(记为bufferContents)
HRESULT&__stdcall&CExposedStream::Read(CExposedStream&*this,&void&*pb,&unsigned&int&cb,&unsigned&int&*pcbRead)
2. 复制32字节的文件头到栈缓冲区上
函数调用栈如下
signed&int&__cdecl&vul2_my_61091C99(DWORD&*a1)
&&&copy_my_61093B4F(*a1,&&Dst,&0x20u,&0)//*a1就是上面的bufferC&&Dst是栈缓冲区
&&&&&&&memcpy(Dst,&i,&v10);vul2_my_61091C99
.text:61091CA3&&&&&&&&&&&&&&&&&mov&&&&&ebx,&[ebp+arg_0]
.text:61091CA6&&&&&&&&&&&&&&&&&push&&&&esi
.text:61091CA7&&&&&&&&&&&&&&&&&push&&&&edi
.text:61091CA8&&&&&&&&&&&&&&&&&mov&&&&&eax,&[ebx]
.text:61091CAA&&&&&&&&&&&&&&&&&mov&&&&&eax,&[eax]
.text:61091CAC&&&&&&&&&&&&&&&&&mov&&&&&esi,&[eax+10h]
.text:61091CAF&&&&&&&&&&&&&&&&&cmp&&&&&esi,&200h
.text:61091CB5&&&&&&&&&&&&&&&&&jl&&&&&&loc_61091F43
.text:61091CBB&&&&&&&&&&&&&&&&&xor&&&&&edi,&edi
.text:61091CBD&&&&&&&&&&&&&&&&&mov&&&&&[eax+14h],&edi
.text:61091CC0&&&&&&&&&&&&&&&&&push&&&&edi&&&&&&&&&&&&&;&int
.text:61091CC1&&&&&&&&&&&&&&&&&lea&&&&&eax,&[ebp+Dst]&&&//&&&[ebb-40]
.text:61091CC4&&&&&&&&&&&&&&&&&push&&&&20h&&&&&&&&&&&&&;&Size
.text:61091CC6&&&&&&&&&&&&&&&&&push&&&&eax&&&&&&&&&&&&&;&Dst
.text:61091CC7&&&&&&&&&&&&&&&&&push&&&&dword&ptr&[ebx]&;&&&//&&&bufferContents
.text:61091CC9&&&&&&&&&&&&&&&&&call&&&&copy_my_61093B4Fcopy_my_61093B4F
.text:61093BD6&&&&&&&&&&&&&&&&&push&&&&ebx&&&&&&&&&&&&&;&Size
.text:61093BD7&&&&&&&&&&&&&&&&&jnz&&&&&short&loc_61093BE9
.text:61093BD9&&&&&&&&&&&&&&&&&push&&&&[ebp+Src]&&&&&&&;&Src
.text:61093BDC&&&&&&&&&&&&&&&&&push&&&&[ebp+Dst]&&&&&&&;&Dst
.text:61093BDF&&&&&&&&&&&&&&&&&call&&&&memcpy
3. 文件头偏移16字节位置的dword内容解释为内存分配大小参数allocCnt1&=&allocCnt0;
dstMem&=&(signed&__int16&*)malloc_my__61094BBD(allocCnt1);//&allocCnt1&可控.text:61091DA5&&&&&&&&&&&&&&&&&push&&&&[ebp+allocCnt0]&;&&&//&&&内存分配的大小&&&[ebp-30]
.text:61091DA8&&&&&&&&&&&&&&&&&mov&&&&&word_6110A25C,&ax
.text:61091DAE&&&&&&&&&&&&&&&&&movsx&&&eax,&[ebp+var_34]
.text:61091DB2&&&&&&&&&&&&&&&&&mov&&&&&[ebx+8],&eax
.text:61091DB5&&&&&&&&&&&&&&&&&call&&&&malloc_my__61094BBD
ebp-40（栈缓冲区开始）到ebp-30偏移是10h（16字节）。从代码里可以看到，我们可以控制分配的内存大小。为了方便，这里把分配得到的内存记为dstMem
4. 文件头偏移24字节处的word内容解释为需要复制的内存大小，复制到dstMem中
copyCnt&=&v28;&&&//&&&v28就是文件头偏移24字节处的word内容
if&(&(signed&int)allocCnt0&&&v28&)
&&&copyCnt&=&allocCnt0;
copy_my_61093B4F(*v1,&dstMem,&copyCnt,&0)&&&//&&&*v1&就是bufferContents.text:61091DE8&&&&&&&&&&&&&&&&&movsx&&&eax,&[ebp+var_28]&&&//&&&[ebp-28]&&距离文件头[ebb-40]处24字节
.text:61091DEC&&&&&&&&&&&&&&&&&cmp&&&&&[ebp+allocCnt0],&eax
.text:61091DEF&&&&&&&&&&&&&&&&&jge&&&&&short&loc_61091DF4
.text:61091DF1&&&&&&&&&&&&&&&&&mov&&&&&eax,&[ebp+allocCnt0]
.text:61091DF4
.text:61091DF4&loc_61091DF4:&&&&&&&&&&&&&&&&&&&&&&&&&&&;&CODE&XREF:&vul2_my_↑j
.text:61091DF4&&&&&&&&&&&&&&&&&push&&&&ecx&&&&&&&&&&&&&;&int
.text:61091DF5&&&&&&&&&&&&&&&&&push&&&&eax&&&&&&&&&&&&&;&Size
.text:61091DF6&&&&&&&&&&&&&&&&&push&&&&esi&&&&&&&&&&&&&;&&&&//&&&dstMem
.text:61091DF7&&&&&&&&&&&&&&&&&push&&&&dword&ptr&[ebx]&;&&&//&&&bufferContents
.text:61091DF9&&&&&&&&&&&&&&&&&call&&&&copy_my_61093B4F
可以看到从word宽度v28转到dword宽度的copyCnt用的是符号位扩展转换.text:61091DE8
eax, [ebp+var_28]也就是如果原来的v28是0xFFFF，那么copyCnt就是0xFFFFFFFF从代码里可以看到，在复制前，是由检查复制的大小有没有超过缓冲区大小的。但是，这里用的是有符号数的比较。.text:61091DEF
short loc_61091DF4有符号数比较没有只考虑上界，却忘记判断下界大于0。dword a, dword b两个数按照有符号数比较，如果b是负数（最高位为1），a是正数（最高位为0），那么b一定比a小。但是如果在接下来的场合，比如memcpy的时候，b又被解释为无符号数，那么b一定比a大，于是就溢出了。
5. 连起来构造poc
把wps生成的文件，用010editor打开，搜索CHNKWKS。然后把offset 16处的dword内容改为1把offset 24处的word内容改为0xFFFF可控的内存分配，可控的复制大小，负数绕过大小限制，然后就堆溢出了
6. 异常现场
最后，其实这些代码还真的是能反映某个时代的代码风格。
上传的附件：
（1.20kb，46次下载）
支付方式：
最新回复 (14)
随便说几个工具可以参考一下& AFL& ANGR& S2E& 这些& 无非就是这几种类型。我也在做这块。静态符号动态混合符号执行。楼主卖关子调口味& 肯定也不会给你是不。
第一次见啊
我还以为是根据公开的工具写的文章，文章看完还没有看到工具，吊胃口啊
可以介绍一下工具就更好了
大家最想看的工具一字不提
免费版软件文档文件格式转换,支持word doc docx wps execl表格图片转换pdf转换成word转换器http://www.downza.cn/soft/266336.htmlpdf转换成word转换器http://www.pdfoa.comword转pdfhttp://www.downza.cn/soft/215618.html
随便说几个工具可以参考一下 AFL ANGR S2E 这些 无非就是这几种类型。我也在做这块。静态符号动态混合符号执行。
楼主卖关子调口味 肯定也不会给你是不。
1.请先关注公众号。
2.点击菜单"更多"。
3.选择获取下载码。&Word Chaos（不启用）游戏BUG漏洞
如你已安装九游客户端，只需扫一扫，将本游戏安装到你的移动设备上...
扫描二维码快速安装游戏
√ 九游一键安装
√ 发现更多好玩游戏
√ 无限礼包免费领取
√ 游戏更新轻而易举
√ 安全可靠放心
是否将该软件直接安装到手机？
只需扫一扫，将本游戏直接安装到你的移动设备上
扫描二维码快速安装游戏
√ 九游一键安装
√ 发现更多好玩游戏
√ 无限礼包免费领取
√ 游戏更新轻而易举
√ 安全可靠放心
值得玩一玩
Word Chaos（不启用）游戏BUG漏洞游戏攻略
Download the first five levels of the newest word game sensation Word Chaos FOR FREE for a limited time!
Purchase all 30 levels for a chance to play for this month’s prize!
Check out the prize screen for more information!
Last month, we gave away $1,000 cold hard cash!What people are saying about Word Chaos:“Thoughtfully delivered word game. Creating words from photographic images not only makes you think 'out of the box', but makes for very attractive screenplay. Worth checking out.”“This has got to be one of the most addicting games I've played! You guys have rocked it!”“Fun and challenging game. The pictures are great and seeing the Alphabet Photography letters makes the game much more challenging.
It’s a word game that makes you use the left and right side of your brain. Great job!”“This is the most original and awesome word scramble game I've ever seen!”Word Chaos is a brand new fun and addictive word scramble game that uses Official Alphabet Photography letters featuring landmarks from all over the world! It’s a new twist on a word game that uses the left and right side of the brain!”Study the scrambled Alphabet Photography letters and try to unscramble and rearrange the letters to form a word! Word Chaos was produced by the cool and hip folks at www.alphabetphotography.com* Apple is not a sponsor or involved in the activity of this app in any manner.
LOL季前赛冲级挑战活动来了，为了鼓励召唤师迅速适应新版本，拳头准备了一系列诱人的皮肤奖励，下面是季前赛冲级挑战活动地址和奖励，一起来了解下吧。近日LOL周末双倍经验活动正式上线，从11月24日周五18点到27日前全服开启双倍经验奖励。升级就有海量皮肤奖励相送哦！
活动时间：11月24日18：00-11月26日23:59
活动内容：
为了助力在季前赛版本的等级成长和正在进行的季前赛冲级挑...
阴阳师桃花妖如何养成呢?成型后的6星桃花妖效果如何?怎么样使用?本篇就带来阴阳师桃花妖养成攻略，看看御魂、实战等都有技巧。
技能不多说，关键是暴击回血，还有大招复活。
御魂选择：
树妖/地藏+2件套(差什么属性补什么)
2号位选择速度，这样才能轮的到她来奶队友~6号位暴击，满暴就是稳定奶~4号位在斗技的时候，选择抵抗，副本的话选择生命加成。
关键是属性问题，需要速度、生命、抵抗、暴击...
年末大狂欢，暴雪福利到!暴雪打折季《炉石传说》专场促销正式开启!从2月7日至2月22日，金灿灿的黄金卡包已经加入打折季好礼行列，更有猛犸年合集的超值福利，千万不要错过!
即日起至2月22日，玩家在暴雪天猫旗舰店、暴雪考拉旗舰店、战网商城和游戏内，使用战网点或人民币购买任意数量的奥术之尘礼包可获赠1包黄金卡包(每个战网账号仅限获得一次)。黄金卡牌包内含5张金色经典《炉石传说》系列卡...
《Word Chaos（不启用）游戏BUG漏洞》下载版本说明
《Word Chaos（不启用）游戏BUG漏洞》有一些游戏安装包不免会存在BUG漏洞，在玩的时候遇到游戏BUG漏洞怎么办？不要慌，先检查一下你的游戏是不是最新版本，安装包是否完整的？九游游戏中心为大家提供最新的正版游戏安装包，大家只需要点击免费下载的绿色按钮下载即玩，而且不会出现安装包不完整的情况哟！
正版授权吃鸡手游《绝地求生刺激战场》
看了Word Chaos（不启用）游戏BUG漏洞的用户还看了
您可能还想下载
87%用户下载了以下同款
2015跨年大作 掌上撸啊撸引爆全城
供无聊人士打发时间专用的恶搞游戏，非无聊人士慎入！
下载排行榜
飙升排行榜
大小: 337.4M
楚留香手游
大小: 348.9M
大小: 1.1G
梦幻西游手游
大小: 745.5M
大小: 1007.8M
大小: 608.4M
奇迹最强者
大小: 303.4M
大小: 953.8M
恋与制作人
大小: 519.0M
大小: 178.6M
绝地求生刺激战场
大小: 669.2M
大小: 608.4M
绝地求生全军出击
大小: 885.8M
楚留香手游
大小: 348.9M
大小: 102.2M
大小: 106.3M
大小: 175.2M
我的世界手机版
大小: 56.2M
大小: 768.6M
创造与魔法
大小: 376.0M
植物大战僵尸1
安卓平台下载
苹果平台下载2.6K77 条评论分享收藏感谢收起赞同 1.1K54 条评论分享收藏感谢收起