首页
论坛
课程
招聘
[原创]皮皮播放器超长URL溢出漏洞(0day)
2011-3-17 17:58 5756

[原创]皮皮播放器超长URL溢出漏洞(0day)

2011-3-17 17:58
5756
http://www.wooyun.org/bugs/wooyun-2010-01630

皮皮播放器是一款现在比较流行的网络电视播放软件,

最近在分析皮皮播放器这个软件的时候,发现这个漏洞。
皮皮播放器在处理用户输入的URL的时候,未对其长度进行检测,从而造成溢出。

主要在PIPIPlayer.exe这个程序中
下面分析相关代码:

在sub_430c20函数中
。。。。。。
//用户输入URL后,会执行到这里
    case 32780:
      v9 = *(_DWORD *)(wParam + 4096);
      v22 = 0;
      v21 = v9;
      *(_DWORD *)(wParam + 6344) = 1;
      sub_40D480(v21, v22);
      v42 = 5;
      if ( CDialog::DoModal(&v31) == 1
        && ATL::CStringT<char_StrTraitMFC_DLL<char_ATL::ChTraitsCRT<char>>>::Find(&v32, "://", 0) > 0 ) //判断输入的URL中是否有://字符串
      {
        v10 = (const char *)ATL::CSimpleStringT<char_1>::operator char_const__(&v32);
        if ( strnicmp(v10, "ppfilm://", 9u)     //判断输入的URL中是否有ppfilm字符串
          && (v11 = (const char *)ATL::CSimpleStringT<char_1>::operator char_const__(&v32), strnicmp(v11, "pvod://", 7u)) )//判断输入的URL中是否有pvod://字符串
        {
          v22 = 0;
          v21 = v12;
          v29 = &v21;
          ATL::CStringT<char_StrTraitMFC_DLL<char_ATL::ChTraitsCRT<char>>>::CStringT<char_StrTraitMFC_DLL<char_ATL::ChTraitsCRT<char>>>(
            &v21,
            &Default);
          v20 = v13;
          v28 = &v20;
          LOBYTE(v42) = 6;
          ATL::CStringT<char_StrTraitMFC_DLL<char_ATL::ChTraitsCRT<char>>>::CStringT<char_StrTraitMFC_DLL<char_ATL::ChTraitsCRT<char>>>(
            &v20,
            &Default);
          v18 = v14;
          *(_DWORD *)&Drive = &v18;
          v41 = 7;
          ATL::CStringT<char_StrTraitMFC_DLL<char_ATL::ChTraitsCRT<char>>>::CStringT<char_StrTraitMFC_DLL<char_ATL::ChTraitsCRT<char>>>(&v18);
          LOBYTE(v42) = 5;
          sub_4304F0(v3, v19, v20, v21, v22);
        }
        else
        {
          CommandLine = 0;
          memset(&v34, 0, 0x1FCu);
          v35 = 0;
          v36 = 0;
          //通过这个函数,将输入的URL和路径一起拼成jfCacheMgr.exe的参数,然后并执行jfCacheMgr.exe这个进程。
          sprintf(&CommandLine, "%s%s \"%s\"", dword_48AF30, "jfCacheMgr.exe", v32); //最后把结果放到CommandLine中,由于未对输入的URL的长度进行检测,从而造成溢出。
          memset(&StartupInfo, 0, sizeof(StartupInfo));
          ProcessInformation.hProcess = 0;
          ProcessInformation.hThread = 0;
          ProcessInformation.dwProcessId = 0;
          ProcessInformation.dwThreadId = 0;
          StartupInfo.cb = 68;
          CreateProcessA(0, &CommandLine, 0, 0, 0, 0, 0, 0, &StartupInfo, &ProcessInformation);
          if ( ProcessInformation.hThread )
            CloseHandle(ProcessInformation.hThread);
          if ( (_DWORD)ProcessInformation.hProcess )
            CloseHandle(ProcessInformation.hProcess);
        }
      }
。。。。。。

大家测试的时候,构造:
"ppfilm://AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"

即可让它崩溃

由于该程序编译时候采用/gs选项进行编译,所以利用的时候,得想办法绕过栈cookie的检测。

原本想覆盖SEH链,发现不可行。

现在也没有好的方法利用,

大家要是有什么好的方法,

可以一起来讨论学习:)

安卓应用层抓包通杀脚本发布!《高研班》2021年3月班开始招生!

收藏
点赞0
打赏
分享
最新回复 (10)
雪    币: 284
活跃值: 活跃值 (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
jerrynpc 活跃值 2011-3-17 18:23
2
0
膜拜啊膜拜,膜拜再膜拜
雪    币: 1389
活跃值: 活跃值 (293)
能力值: (RANK:860 )
在线值:
发帖
回帖
粉丝
仙果 活跃值 19 2011-3-17 19:07
3
0
覆盖异常绕过GS?
忘记了
雪    币: 256
活跃值: 活跃值 (14)
能力值: ( LV13,RANK:270 )
在线值:
发帖
回帖
粉丝
冰雪风谷 活跃值 6 2011-3-17 23:14
4
0

面对GS真得无解了么?
雪    币: 643
活跃值: 活跃值 (11)
能力值: ( LV2,RANK:150 )
在线值:
发帖
回帖
粉丝
StudyRush 活跃值 3 2011-3-17 23:26
5
0
GS应该有解吧。好像有通过SEH来利用的,记得泉哥写过一篇http://bbs.pediy.com/showthread.php?t=123572这里只是讲了方法,还是动手实践才是王道。想办法试试。
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
黑界小子 活跃值 2011-3-18 00:43
6
0
泉哥的那偏文章感觉很好
雪    币: 203
活跃值: 活跃值 (11)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
正happy 活跃值 1 2011-3-18 20:08
7
0
不是说,只要SEH没保护就可以通过SEH绕过GS吗?
不懂
雪    币: 256
活跃值: 活跃值 (14)
能力值: ( LV13,RANK:270 )
在线值:
发帖
回帖
粉丝
冰雪风谷 活跃值 6 2011-3-19 21:44
8
0
当然没这么简单。
要利用SEH绕过GS,
首先必须触发异常,如果程序中没有异常,则必须想办法制造异常并触发。
雪    币: 254
活跃值: 活跃值 (53)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
hacker一疒亻 活跃值 2011-3-19 22:09
9
0
一般安装皮皮的机器上都安装有360浏览器,可以利用一下这个浏览器的BUG
雪    币: 83
活跃值: 活跃值 (22)
能力值: ( LV13,RANK:220 )
在线值:
发帖
回帖
粉丝
instruder 活跃值 4 2011-3-21 22:26
10
0
神马bug哈
雪    币: 35
活跃值: 活跃值 (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Justzhl 活跃值 2011-3-21 23:48
11
0
楼主看看泉哥帖子
游客
登录 | 注册 方可回帖
返回