本文我们将通过一个恶意文档的分析来理解漏洞 CVE-2015-1641（ MS15-033 ）的具体利用过程，以此还原它在现实攻击中的应用。就目前来看，虽然该 Office 漏洞早被修复，但由于其受影响版本多且稳定性良好，相关利用在坊间依旧比较常见，因此作为案例来学习还是很不错的。

1 样本信息

分析中用到的样本信息如下：

SHA256：8bb066160763ba4a0b65ae86d3cfedff8102e2eacbf4e83812ea76ea5ab61a31 大小：967,267 字节 类型：RTF 文档

和大多数情形一样，漏洞的利用是借助嵌入OLE对象来实现的，我们可由 oletools 工具包中的 rtfobj.py 进行查看：

图0  借助 rtfobj.py 分析样本