首页
论坛
专栏
课程

[原创]皮皮播放器超长URL溢出漏洞(0day)

2011-3-17 17:58 5263

[原创]皮皮播放器超长URL溢出漏洞(0day)

2011-3-17 17:58
5263
http://www.wooyun.org/bugs/wooyun-2010-01630

皮皮播放器是一款现在比较流行的网络电视播放软件,

最近在分析皮皮播放器这个软件的时候,发现这个漏洞。
皮皮播放器在处理用户输入的URL的时候,未对其长度进行检测,从而造成溢出。

主要在PIPIPlayer.exe这个程序中
下面分析相关代码:

在sub_430c20函数中
。。。。。。
//用户输入URL后,会执行到这里
    case 32780:
      v9 = *(_DWORD *)(wParam + 4096);
      v22 = 0;
      v21 = v9;
      *(_DWORD *)(wParam + 6344) = 1;
      sub_40D480(v21, v22);
      v42 = 5;
      if ( CDialog::DoModal(&v31) == 1
        && ATL::CStringT<char_StrTraitMFC_DLL<char_ATL::ChTraitsCRT<char>>>::Find(&v32, "://", 0) > 0 ) //判断输入的URL中是否有://字符串
      {
        v10 = (const char *)ATL::CSimpleStringT<char_1>::operator char_const__(&v32);
        if ( strnicmp(v10, "ppfilm://", 9u)     //判断输入的URL中是否有ppfilm字符串
          && (v11 = (const char *)ATL::CSimpleStringT<char_1>::operator char_const__(&v32), strnicmp(v11, "pvod://", 7u)) )//判断输入的URL中是否有pvod://字符串
        {
          v22 = 0;
          v21 = v12;
          v29 = &v21;
          ATL::CStringT<char_StrTraitMFC_DLL<char_ATL::ChTraitsCRT<char>>>::CStringT<char_StrTraitMFC_DLL<char_ATL::ChTraitsCRT<char>>>(
            &v21,
            &Default);
          v20 = v13;
          v28 = &v20;
          LOBYTE(v42) = 6;
          ATL::CStringT<char_StrTraitMFC_DLL<char_ATL::ChTraitsCRT<char>>>::CStringT<char_StrTraitMFC_DLL<char_ATL::ChTraitsCRT<char>>>(
            &v20,
            &Default);
          v18 = v14;
          *(_DWORD *)&Drive = &v18;
          v41 = 7;
          ATL::CStringT<char_StrTraitMFC_DLL<char_ATL::ChTraitsCRT<char>>>::CStringT<char_StrTraitMFC_DLL<char_ATL::ChTraitsCRT<char>>>(&v18);
          LOBYTE(v42) = 5;
          sub_4304F0(v3, v19, v20, v21, v22);
        }
        else
        {
          CommandLine = 0;
          memset(&v34, 0, 0x1FCu);
          v35 = 0;
          v36 = 0;
          //通过这个函数,将输入的URL和路径一起拼成jfCacheMgr.exe的参数,然后并执行jfCacheMgr.exe这个进程。
          sprintf(&CommandLine, "%s%s \"%s\"", dword_48AF30, "jfCacheMgr.exe", v32); //最后把结果放到CommandLine中,由于未对输入的URL的长度进行检测,从而造成溢出。
          memset(&StartupInfo, 0, sizeof(StartupInfo));
          ProcessInformation.hProcess = 0;
          ProcessInformation.hThread = 0;
          ProcessInformation.dwProcessId = 0;
          ProcessInformation.dwThreadId = 0;
          StartupInfo.cb = 68;
          CreateProcessA(0, &CommandLine, 0, 0, 0, 0, 0, 0, &StartupInfo, &ProcessInformation);
          if ( ProcessInformation.hThread )
            CloseHandle(ProcessInformation.hThread);
          if ( (_DWORD)ProcessInformation.hProcess )
            CloseHandle(ProcessInformation.hProcess);
        }
      }
。。。。。。

大家测试的时候,构造:
"ppfilm://AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"

即可让它崩溃

由于该程序编译时候采用/gs选项进行编译,所以利用的时候,得想办法绕过栈cookie的检测。

原本想覆盖SEH链,发现不可行。

现在也没有好的方法利用,

大家要是有什么好的方法,

可以一起来讨论学习:)

[公告]安全服务和外包项目请将项目需求发到看雪企服平台:https://qifu.kanxue.com

最新回复 (10)
jerrynpc 2011-3-17 18:23
2
0
膜拜啊膜拜,膜拜再膜拜
仙果 19 2011-3-17 19:07
3
0
覆盖异常绕过GS?
忘记了
冰雪风谷 6 2011-3-17 23:14
4
0

面对GS真得无解了么?
StudyRush 3 2011-3-17 23:26
5
0
GS应该有解吧。好像有通过SEH来利用的,记得泉哥写过一篇http://bbs.pediy.com/showthread.php?t=123572这里只是讲了方法,还是动手实践才是王道。想办法试试。
黑界小子 2011-3-18 00:43
6
0
泉哥的那偏文章感觉很好
正happy 1 2011-3-18 20:08
7
0
不是说,只要SEH没保护就可以通过SEH绕过GS吗?
不懂
冰雪风谷 6 2011-3-19 21:44
8
0
当然没这么简单。
要利用SEH绕过GS,
首先必须触发异常,如果程序中没有异常,则必须想办法制造异常并触发。
hacker一疒亻 2011-3-19 22:09
9
0
一般安装皮皮的机器上都安装有360浏览器,可以利用一下这个浏览器的BUG
instruder 4 2011-3-21 22:26
10
0
神马bug哈
Justzhl 2011-3-21 23:48
11
0
楼主看看泉哥帖子
游客
登录 | 注册 方可回帖
返回