-
-
cve 2011-2594 0day poc
-
2011-9-5 10:34
-
大家好, 本人新人 根据漏洞信息 成功构造出 漏洞poc 发出来大家一起交流
漏洞编号: NIPC-2011-2620
CVE编号: CVE-2011-2594
发布日期: 2011-09-02
更新日期: 2011-09-02
漏洞描述:
KMPlayer 3.0.0.1441以及可能一些其他版本中存在堆缓冲区溢出漏洞,允许远程攻击者通过带有超长Title字段的播放列表文件(.KPL)执行任意代码。
现在总结一下发掘漏洞的过程。
poc制作过程:
1.看到漏洞信息,首先先还原漏洞环境, window xp/ KMPlayer 3.0.0.1441d
2.公告说是kpl文件的title字段存在漏洞,所以我们首先要找到一个正常,完整的kpl文件,通过搜索kpl安装目录下的文件,找到了 defeat。kpl文件 。
3.打开此文件,可以清楚的看到里面的title1字段 ,(ps:kpl文件实际上是kmplayer程序记录最后一次打开文件的信息记录文件,同时它也可以被kmp程序双击打开), 此时就开始我们的fuzz测试。填充一段超长字符串。我填充了接近6w个字节的“a”。然后保存文件。
4。双击打开kpl文件,程序溢出,崩溃。
003EE23E 33C0 xor eax, eax
003EE240 5A pop edx
003EE241 59 pop ecx
003EE242 59 pop ecx
003EE243 64:8910 mov dword ptr fs:[eax], edx
003EE246 68 86E23E00 push 003EE286
003EE24B 8B45 FC mov eax, dword ptr [ebp-4]
003EE24E 0FB658 0F movzx ebx, byte ptr [eax+F]
003EE252 8B45 FC mov eax, dword ptr [ebp-4]
003EE255 8B70 14 mov esi, dword ptr [eax+14]
003EE258 8B45 FC mov eax, dword ptr [ebp-4]
003EE25B 8B10 mov edx, dword ptr [eax]
003EE25D FF12 call dword ptr [edx]
程序断到 003EE25D 此时edx地址位61616161
就是我们填充的aaaa。
成功的还原了漏洞场景,
剩下来得就是构造 利用poc 制成exp 。
ps:在利用过程中会遇到 unicode字符限制,此处我们可以把 kpl文件保存位 asc码文件,就不存在unicode问题了。
没什么技术含量 大牛请绕过。
ps:此附件 是针对win7环境版本
可以修稿文件内容:File1=C:\Windows\winsxs\x86_microsoft-windows-tabletpc-inputpanel_31bf3856ad364e35_6.1.7600.16385_none_11656be9d8d5e28f\boxed-delete.avi为 指定已有文件路径 实现windows xp 下利用。
漏洞编号: NIPC-2011-2620
CVE编号: CVE-2011-2594
发布日期: 2011-09-02
更新日期: 2011-09-02
漏洞描述:
KMPlayer 3.0.0.1441以及可能一些其他版本中存在堆缓冲区溢出漏洞,允许远程攻击者通过带有超长Title字段的播放列表文件(.KPL)执行任意代码。
现在总结一下发掘漏洞的过程。
poc制作过程:
1.看到漏洞信息,首先先还原漏洞环境, window xp/ KMPlayer 3.0.0.1441d
2.公告说是kpl文件的title字段存在漏洞,所以我们首先要找到一个正常,完整的kpl文件,通过搜索kpl安装目录下的文件,找到了 defeat。kpl文件 。
3.打开此文件,可以清楚的看到里面的title1字段 ,(ps:kpl文件实际上是kmplayer程序记录最后一次打开文件的信息记录文件,同时它也可以被kmp程序双击打开), 此时就开始我们的fuzz测试。填充一段超长字符串。我填充了接近6w个字节的“a”。然后保存文件。
4。双击打开kpl文件,程序溢出,崩溃。
003EE23E 33C0 xor eax, eax
003EE240 5A pop edx
003EE241 59 pop ecx
003EE242 59 pop ecx
003EE243 64:8910 mov dword ptr fs:[eax], edx
003EE246 68 86E23E00 push 003EE286
003EE24B 8B45 FC mov eax, dword ptr [ebp-4]
003EE24E 0FB658 0F movzx ebx, byte ptr [eax+F]
003EE252 8B45 FC mov eax, dword ptr [ebp-4]
003EE255 8B70 14 mov esi, dword ptr [eax+14]
003EE258 8B45 FC mov eax, dword ptr [ebp-4]
003EE25B 8B10 mov edx, dword ptr [eax]
003EE25D FF12 call dword ptr [edx]
程序断到 003EE25D 此时edx地址位61616161
就是我们填充的aaaa。
成功的还原了漏洞场景,
剩下来得就是构造 利用poc 制成exp 。
ps:在利用过程中会遇到 unicode字符限制,此处我们可以把 kpl文件保存位 asc码文件,就不存在unicode问题了。
没什么技术含量 大牛请绕过。
ps:此附件 是针对win7环境版本
可以修稿文件内容:File1=C:\Windows\winsxs\x86_microsoft-windows-tabletpc-inputpanel_31bf3856ad364e35_6.1.7600.16385_none_11656be9d8d5e28f\boxed-delete.avi为 指定已有文件路径 实现windows xp 下利用。
[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界
|
|
|---|---|
|
|
先沙发
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
