首页
论坛
课程
招聘
[原创]暴风影音2009(mps.dll)ActiveX远程栈溢出漏洞
2009-5-1 17:55 6222

[原创]暴风影音2009(mps.dll)ActiveX远程栈溢出漏洞

2009-5-1 17:55
6222
暴风影音2009(mps.dll)ActiveX远程栈溢出漏洞
by bugvuln(bugvuln_at_gmail.com)
  niklen(niklenxyz_at_gmail.com)

描述:
暴风影音是国内一款相当流行的万能播放器
http://www.baofeng.com/

受影响的系统:
暴风影音2009 <=[3.09.04.17]

细节:
clsid:6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB
C:\Program Files\StormII\mps.dll
Sub OnBeforeVideoDownload(ByVal URL  As String)

当参数URL是一个超长字符串时,发生栈溢出,利用堆填充技术,攻击者可以很轻松的利用此漏洞执行任意代码

分析:
sub_10014240
  |--.text:1001430A  call    sub_10014D40
  |--sub_10014D40
        |--.text:10014E37  call    dword ptr [eax+8] ; sub_1005DAF0
        |--sub_1005DAF0
              |--.text:1005DBA1  call    dword ptr [edx+4] ; sub_1005EB50
              |--sub_1005EB50
              |--.text:1005EB9A  call    sub_10060320
                    |--sub_10060320
                          |--.text:1006033C    call    ds:lstrcpynA
                    |    add    esp, 1348h
                    |--{ retn     14h

...
.text:1005EB6F                push    ebp
.text:1005EB70                push    esi
.text:1005EB71                mov    esi, [esp+1350h+lpString2]
.text:1005EB78                push    edi
.text:1005EB79                push    offset aStormbox_0 ; "stormbox"
.text:1005EB7E                mov    ebp, ecx
.text:1005EB80                push    esi            ; Str
.text:1005EB81                call    ds:strstr      ;检查下传递进来的参数是否含有"stormbox"
.text:1005EB87                add    esp, 8
.text:1005EB8A                test    eax, eax
.text:1005EB8C                jnz    loc_1005ED67    ;没有!那就xxoo了
.text:1005EB92                push    esi            ; lpString2
.text:1005EB93                lea    ecx, [esp+1358h+var_1034]
.text:1005EB9A                call    sub_10060320
...
.text:10060320                push    esi
.text:10060321                push    edi
.text:10060322                mov    edi, [esp+8+lpString2]
.text:10060326                mov    esi, ecx
.text:10060328                push    edi            ; lpString
.text:10060329                mov    dword ptr [esi], offset off_1007C5A4
.text:1006032F                call    ds:lstrlenA
.text:10060335                inc    eax
.text:10060336                push    eax            ; iMaxLength,唉,上面这是最后一次调用函数来进行长度检查,但是这里仅仅是为了这个最大值参数,
                               ; 还是没有考虑合法性-_-
.text:10060337                lea    eax, [esi+4]
.text:1006033A                push    edi            ; lpString2
.text:1006033B                push    eax            ; lpString1
.text:1006033C                call    ds:lstrcpynA    ; 拷贝到eax指向的堆栈区域,为即将到来的溢出做热身运动
.text:10060342                mov    eax, esi
.text:10060344                pop    edi
.text:10060345                pop    esi
.text:10060346                retn    4
...
.text:1005ED70                pop    edi
.text:1005ED71                pop    esi
.text:1005ED72                pop    ebp
.text:1005ED73                mov    large fs:0, ecx
.text:1005ED7A                add    esp, 1348h
.text:1005ED80                retn    14h           ; 就这样返回,哦豁了

ModLoad: 41f50000 41fc7000  C:\WINDOWS\system32\mshtmled.dll
ModLoad: 10000000 100e2000  C:\Program Files\StormII\mps.dll
ModLoad: 75ff0000 76055000  C:\Program Files\StormII\MSVCP60.dll
ModLoad: 02c60000 02c96000  C:\Program Files\StormII\meedb.dll
ModLoad: 02ca0000 02d2e000  C:\Program Files\StormII\splayers.dll
ModLoad: 02730000 0274e000  C:\Program Files\StormII\rndrmgr.dll
ModLoad: 02d30000 02e48000  C:\Program Files\StormII\SubDecoder.dll
ModLoad: 4b640000 4b7e6000  C:\WINDOWS\system32\d3d9.dll
ModLoad: 6dd20000 6dd26000  C:\WINDOWS\system32\d3d8thk.dll
ModLoad: 736d0000 73719000  C:\WINDOWS\system32\DDRAW.dll
ModLoad: 73b30000 73b36000  C:\WINDOWS\system32\DCIMAN32.dll
ModLoad: 74be0000 74c0c000  C:\WINDOWS\system32\OLEACC.dll
ModLoad: 72f70000 72f96000  C:\WINDOWS\system32\WINSPOOL.DRV
ModLoad: 76320000 76367000  C:\WINDOWS\system32\COMDLG32.dll
ModLoad: 02eb0000 02ed2000  C:\Program Files\StormII\mediainfo.dll
ModLoad: 719c0000 719fe000  C:\WINDOWS\system32\mswsock.dll
ModLoad: 60fd0000 61025000  C:\WINDOWS\system32\hnetcfg.dll
ModLoad: 71a00000 71a08000  C:\WINDOWS\System32\wshtcpip.dll
ModLoad: 7cf70000 7d0d8000  C:\WINDOWS\system32\quartz.dll
ModLoad: 63380000 633f8000  C:\WINDOWS\system32\jscript.dll
(a0.8b0): Access violation - code c0000005 (first chance)
First chance exceptions are reported before any exception handling.
This exception may be expected and handled.
eax=ffffff00 ebx=01b3f33c ecx=41414141 edx=00142f90 esi=01b3f328 edi=01b3f340
eip=41414141 esp=0175f588 ebp=01b3f338 iopl=0        nv up ei pl nz ac po nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000            efl=00210212
41414141 ??              ???

解决办法:
在厂商没有推出相应的补丁之前,
建议用户通过注册表对相应的CLSID:6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB设置Killbit
或者将以下文本保存为.REG文件并导入:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB}]
"Compatibility Flags"=dword:00000400

--EOF--

看雪2022 KCTF 秋季赛 防守篇规则,征题截止日期11月12日!(iPhone 14等你拿!)

收藏
点赞0
打赏
分享
最新回复 (9)
雪    币: 558
活跃值: 活跃值 (20)
能力值: ( LV13,RANK:290 )
在线值:
发帖
回帖
粉丝
dge 活跃值 6 2009-5-2 11:10
2
0
顶。。。。。。。。。。。。。。。
雪    币: 423
活跃值: 活跃值 (396)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
starrysky 活跃值 2009-5-2 15:15
3
0
楼主是个猛男
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
aarwwefdds 活跃值 2009-5-2 15:32
4
0
测试页面....不知道是否符合楼主所说的漏洞
http://xuanwobbs.com.cn/test/bf.htm
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
windsun 活跃值 1 2009-5-2 15:57
5
0
还有影音风暴,真搞不清是什么关系
雪    币: 247
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
bugvuln 活跃值 2009-5-2 19:43
6
0
[QUOTE=aarwwefdds;615609]测试页面....不知道是否符合楼主所说的漏洞
http://xuanwobbs.com.cn/test/bf.htm[/QUOTE]

对塞....
雪    币: 254
活跃值: 活跃值 (78)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
hacker一疒亻 活跃值 2009-5-6 18:25
7
0
[QUOTE=aarwwefdds;615609]测试页面....不知道是否符合楼主所说的漏洞
http://xuanwobbs.com.cn/test/bf.htm[/QUOTE]

如果说LZ的东东很强的话,你就是强中强了!
QQ123037149
想和你进一步交流有关这个软件的问题
雪    币: 254
活跃值: 活跃值 (78)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
hacker一疒亻 活跃值 2009-5-6 18:27
8
0
LZ你真的很厉害哟,如果这几个洞都是你发现的话,这个软件公司可以给你一笔不小的钱了,呵呵,一个玩笑.我们是为了技术
很期待你的来电QQ123037149
我曾关注过2008年的时候这个软件的漏洞问题,做过研究.
雪    币: 201
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
longmang 活跃值 2009-5-10 15:40
9
0
我安装了暴风影音版本: 3.09.03.30,3.09.03.25,3.09.04.17,但是在mps.dll导出函数里都没有OnBeforeVideoDownload这个函数,一直没有办法溢出。
谁能给我发一个有漏洞的安装版本:chsh_long@163.com
谢谢
雪    币: 212
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
lingqu 活跃值 2009-5-21 21:25
10
0
是不是现在就有人利用了这个漏洞啊。
http://tech.sina.com.cn/i/2009-05-21/20553114392.shtml
游客
登录 | 注册 方可回帖
返回