首页
社区
课程
招聘
[求助]关于迅雷VodUrl DapFileSize漏洞
发表于: 2011-3-18 11:32 4809

[求助]关于迅雷VodUrl DapFileSize漏洞

2011-3-18 11:32
4809
关于迅雷的pplayer.dll插件存在漏洞,在去年一月份就在sebug曝出,
详情Xunlei 是一款在线加速下载程序。更多详细信息请参考:
http://www.xunlei.com

{F3E70CEA-956E-49CC-B444-73AFE593AD7F}
Xunlei 提供的XPPlayer ActiveX控件存在缓冲区溢出,远程攻击者可以利用漏洞以应用程序权限执行任意指令。
问题存在于DapFileSize,VodUrl等方法处理中,由于对参数缺少充分过滤,构建恶意WEB页,诱使用户访问,可导致以应用程序权限执行任意指令。

链接:http://sebug.net/vulndb/15182/

在网上找了一个poc,主要内容如下
<object id=ooxooxx classid="CLSID:{F3E70CEA-956E-49CC-B444-73AFE593AD7F}">
<PARAM NAME="cx" VALUE="0x30323436">
<PARAM NAME="cy" VALUE="0x31333537">
<PARAM NAME="UiMode" VALUE="-2">
<PARAM NAME="VodUrl" VALUE="AAA............AAAA">
<PARAM NAME="PlayType" VALUE="BBB.............BBB">
<PARAM NAME="DapCID" VALUE="CCCC......CCCCC">
<PARAM NAME="DapFileSize" VALUE="DDD.....DDDDD">
<PARAM NAME="DapFileExt" VALUE="EEE......EEEEEE">
<PARAM NAME="innerPlayerType" VALUE="-1">
</object>
其中有所省略,完整的在附件中 poc.rar
打开poc运行提示如下:

然后点击确定浏览器没有异常反应,但是当关闭浏览器时出现异常,


通过ollydbg加载IE传入参数,然后在OLEAUT32.DLL.DispCallFunc下断点通过,
通过对参数的判断知道调用的是那些函数,重点分析的是VodUrl和DapFileSize,后来发现在VodUrl先做了一些判断然后对传入的参数在堆中分配空间以后就出来了,我曾对分配的内存下硬件断点但是知道后来出错也没有断下。

还有就是在POC中涉及到了很多的变量和函数,到底是哪个引起或者说是相互作用所引起的呢,后来发现是<PARAM NAME="innerPlayerType" VALUE="-1">
如果有它就会异常。怎回事呢?

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 227
活跃值: (120)
能力值: ( LV10,RANK:160 )
在线值:
发帖
回帖
粉丝
2
传个pplayer.dll上来看看
2011-3-20 14:04
0
游客
登录 | 注册 方可回帖
返回
//