超星阅读器pdg2.dll ActiveX栈溢出0day漏洞报告-软件逆向-看雪-安全社区|安全招聘|kanxue.com

超星阅读器pdg2.dll ActiveX栈溢出0day漏洞报告

发表于: 2008-8-5 15:37 18728

超星阅读器pdg2.dll ActiveX栈溢出0day漏洞报告

shineast

2008-8-5 15:37

18728

几点说明：
1.该漏洞我曾经发表在《黑客防线》2007年第9期杂志上，经过修改，现发布本评测报告；
2.年初曾将此文转给超星公司技术人员，同时该漏洞也是“看雪论坛辞旧迎新Exploit Me挑战赛”的第二题；
3.发布本评测报告旨在支持『软件安全评测版』成立，祝本版越办越好！

[课程]Linux pwn 探索篇！

上传的附件：

超星阅读器安全评测报告.doc （246.00kb，534次下载）

收藏・7

免费・7

支持

最新回复 (33) 1 2 ▶
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 2 楼很好很强大， 2008-8-5 15:48 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 3 楼好强大，顶。 2008-8-5 15:51 0
ayarei 雪币： 216 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 34 粉丝 0 关注私信	ayarei 1 4 楼路过友情帮顶 2008-8-5 16:22 0
lunglungyu 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 339 粉丝 0 关注私信	lunglungyu 1 5 楼膜拜强大牛人 2008-8-5 16:44 0
vxasm 雪币： 2056 活跃值： (13) 能力值： ( LV13，RANK：250 ) 在线值：发帖 22 回帖 310 粉丝 1 关注私信	vxasm 6 6 楼很强大,一定要顶. 看完报告后,不知道LZ一开始是怎么找到该漏洞的?是手工构造测试数据的吗?有没有什么好的Fuzz工具介绍一下? 2008-8-5 17:22 0
iawen 雪币： 359 活跃值： (430) 能力值： ( LV9，RANK：150 ) 在线值：发帖 11 回帖 174 粉丝 1 关注私信	iawen 3 7 楼确实，偶也很想知道LZ是如何发现的，哈 2008-8-5 17:35 0
Liquidworm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 79 粉丝 0 关注私信	Liquidworm 8 楼为什么不会是逆向分析？老大你好牛啊，这个也是你发现的0day，什么时候偶也可以发现个0day啊。千万别入侵偶的电脑啊。。。 2008-8-5 18:58 0
菜鸟test 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	菜鸟test 9 楼下载！第一次给你啦 2008-8-5 19:17 0
lOOp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 260 粉丝 0 关注私信	lOOp 10 楼强悍的说。顶之 2008-8-5 20:50 0
shineast 雪币： 222 活跃值： (44) 能力值： ( LV10，RANK：170 ) 在线值：发帖 20 回帖 60 粉丝 3 关注私信	shineast 4 11 楼哈哈发现这个漏洞其实也没啥难的去年有点时间偶是把机器上的软件走了一边估计这个软件比较菜于是就重点测试了一把最后发现迅雷啊暴风呀啥的都有漏洞哈哈~~~ 如果嫌费时间的话，就用工具喽 COMRaider 老外写的 2008-8-5 20:56 0
lOOp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 260 粉丝 0 关注私信	lOOp 12 楼像暴风，超星的dll也不少人肉跟踪有什么诀窍吗？？谢谢 2008-8-5 21:01 0
wlkcrq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	wlkcrq 13 楼强人，，，学习下~~谢谢~~ 2008-8-6 02:35 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 14 楼一般是搜索容易出现编程问题的API相关性线索再逆向测试即可。 2008-8-6 09:03 0
Nisy 雪币： 167 活跃值： (1574) 能力值： ( LV9，RANK：250 ) 在线值：发帖 68 回帖 668 粉丝 42 关注私信	Nisy 5 15 楼感谢分享分析文章可以给出分析方案并送给该软件的技术员修复隐患之后可以隐藏软件ID 从技术的层面分析程序的隐患这样效果可能也不错 2008-8-6 10:02 0
wofan[OCN] 雪币： 2899 活跃值： (1753) 能力值： ( LV9，RANK：850 ) 在线值：发帖 55 回帖 810 粉丝 8 关注私信	wofan[OCN] 21 16 楼很有趣的文章，『软件安全评测版』好。 2008-8-6 10:12 0
aoanzhishu 雪币： 190 活跃值： (20) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 133 粉丝 0 关注私信	aoanzhishu 4 17 楼轻轻的,呼吸一口新鲜的空气 2008-8-6 13:23 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 18 楼问个问题啊，shellcode中的 while (buffer.length < 1024) buffer+="\x05"; 这里为什么是小于1024，而且加的是\x05啊，我测试过好几组其他数据，都没成功过 2008-8-6 16:14 0
shineast 雪币： 222 活跃值： (44) 能力值： ( LV10，RANK：170 ) 在线值：发帖 20 回帖 60 粉丝 3 关注私信	shineast 4 19 楼 \x05 是为了最后跳到 05050505这个地址也就是跳如我们的shellcode 2008-8-6 17:02 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 20 楼顶！楼主是不是“爱无言”呢？崇拜，看了你很多文章，也去你的blog看过 2008-8-6 18:36 0
nietsme 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	nietsme 21 楼顶一个，人才~ 2008-8-7 13:12 0
菜的懒猫雪币： 249 活跃值： (35) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 51 粉丝 1 关注私信	菜的懒猫 2 22 楼 LZ和failwest是同学。。。。都一个实验室的。 2008-8-7 16:48 0
shineast 雪币： 222 活跃值： (44) 能力值： ( LV10，RANK：170 ) 在线值：发帖 20 回帖 60 粉丝 3 关注私信	shineast 4 23 楼回20楼：爱无言是我的好友 2008-8-8 02:37 0
vxasm 雪币： 2056 活跃值： (13) 能力值： ( LV13，RANK：250 ) 在线值：发帖 22 回帖 310 粉丝 1 关注私信	vxasm 6 24 楼测试了一下，到目前为止，超星的最新版本中都还没有修改这些BUG，并且厂商似乎也知道了这些漏洞，可惜的是，他们认为这些漏洞不足为害。见：http://note.ssreader.com/show_topic.asp?Topicid=284301&forumid=2 另外请教一下LZ，测试到异常发生时，是如何定位到“pdg2.dll中的偏移地址为00020228的这条指令”的？我用OD调试时仅看到EIP显示为05050505，却发现不了任何和00020228或者WideCharToMultiByte有关的信息，怎么知道这个异常来自于pdg2.dll的哪条指令调用呢？ 2008-8-11 16:50 0
小猫猫雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 21 粉丝 0 关注私信	小猫猫 25 楼学习中。。。。。。。。 2008-8-11 22:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

shineast

发帖

回帖

170

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (33) 1 2 ▶
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 2 楼很好很强大， 2008-8-5 15:48 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 3 楼好强大，顶。 2008-8-5 15:51 0
ayarei 雪币： 216 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 34 粉丝 0 关注私信	ayarei 1 4 楼路过友情帮顶 2008-8-5 16:22 0
lunglungyu 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 339 粉丝 0 关注私信	lunglungyu 1 5 楼膜拜强大牛人 2008-8-5 16:44 0
vxasm 雪币： 2056 活跃值： (13) 能力值： ( LV13，RANK：250 ) 在线值：发帖 22 回帖 310 粉丝 1 关注私信	vxasm 6 6 楼很强大,一定要顶. 看完报告后,不知道LZ一开始是怎么找到该漏洞的?是手工构造测试数据的吗?有没有什么好的Fuzz工具介绍一下? 2008-8-5 17:22 0
iawen 雪币： 359 活跃值： (430) 能力值： ( LV9，RANK：150 ) 在线值：发帖 11 回帖 174 粉丝 1 关注私信	iawen 3 7 楼确实，偶也很想知道LZ是如何发现的，哈 2008-8-5 17:35 0
Liquidworm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 79 粉丝 0 关注私信	Liquidworm 8 楼为什么不会是逆向分析？老大你好牛啊，这个也是你发现的0day，什么时候偶也可以发现个0day啊。千万别入侵偶的电脑啊。。。 2008-8-5 18:58 0
菜鸟test 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	菜鸟test 9 楼下载！第一次给你啦 2008-8-5 19:17 0
lOOp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 260 粉丝 0 关注私信	lOOp 10 楼强悍的说。顶之 2008-8-5 20:50 0
shineast 雪币： 222 活跃值： (44) 能力值： ( LV10，RANK：170 ) 在线值：发帖 20 回帖 60 粉丝 3 关注私信	shineast 4 11 楼哈哈发现这个漏洞其实也没啥难的去年有点时间偶是把机器上的软件走了一边估计这个软件比较菜于是就重点测试了一把最后发现迅雷啊暴风呀啥的都有漏洞哈哈~~~ 如果嫌费时间的话，就用工具喽 COMRaider 老外写的 2008-8-5 20:56 0
lOOp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 260 粉丝 0 关注私信	lOOp 12 楼像暴风，超星的dll也不少人肉跟踪有什么诀窍吗？？谢谢 2008-8-5 21:01 0
wlkcrq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	wlkcrq 13 楼强人，，，学习下~~谢谢~~ 2008-8-6 02:35 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 14 楼一般是搜索容易出现编程问题的API相关性线索再逆向测试即可。 2008-8-6 09:03 0
Nisy 雪币： 167 活跃值： (1574) 能力值： ( LV9，RANK：250 ) 在线值：发帖 68 回帖 668 粉丝 42 关注私信	Nisy 5 15 楼感谢分享分析文章可以给出分析方案并送给该软件的技术员修复隐患之后可以隐藏软件ID 从技术的层面分析程序的隐患这样效果可能也不错 2008-8-6 10:02 0
wofan[OCN] 雪币： 2899 活跃值： (1753) 能力值： ( LV9，RANK：850 ) 在线值：发帖 55 回帖 810 粉丝 8 关注私信	wofan[OCN] 21 16 楼很有趣的文章，『软件安全评测版』好。 2008-8-6 10:12 0
aoanzhishu 雪币： 190 活跃值： (20) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 133 粉丝 0 关注私信	aoanzhishu 4 17 楼轻轻的,呼吸一口新鲜的空气 2008-8-6 13:23 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 18 楼问个问题啊，shellcode中的 while (buffer.length < 1024) buffer+="\x05"; 这里为什么是小于1024，而且加的是\x05啊，我测试过好几组其他数据，都没成功过 2008-8-6 16:14 0
shineast 雪币： 222 活跃值： (44) 能力值： ( LV10，RANK：170 ) 在线值：发帖 20 回帖 60 粉丝 3 关注私信	shineast 4 19 楼 \x05 是为了最后跳到 05050505这个地址也就是跳如我们的shellcode 2008-8-6 17:02 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 20 楼顶！楼主是不是“爱无言”呢？崇拜，看了你很多文章，也去你的blog看过 2008-8-6 18:36 0
nietsme 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	nietsme 21 楼顶一个，人才~ 2008-8-7 13:12 0
菜的懒猫雪币： 249 活跃值： (35) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 51 粉丝 1 关注私信	菜的懒猫 2 22 楼 LZ和failwest是同学。。。。都一个实验室的。 2008-8-7 16:48 0
shineast 雪币： 222 活跃值： (44) 能力值： ( LV10，RANK：170 ) 在线值：发帖 20 回帖 60 粉丝 3 关注私信	shineast 4 23 楼回20楼：爱无言是我的好友 2008-8-8 02:37 0
vxasm 雪币： 2056 活跃值： (13) 能力值： ( LV13，RANK：250 ) 在线值：发帖 22 回帖 310 粉丝 1 关注私信	vxasm 6 24 楼测试了一下，到目前为止，超星的最新版本中都还没有修改这些BUG，并且厂商似乎也知道了这些漏洞，可惜的是，他们认为这些漏洞不足为害。见：http://note.ssreader.com/show_topic.asp?Topicid=284301&forumid=2 另外请教一下LZ，测试到异常发生时，是如何定位到“pdg2.dll中的偏移地址为00020228的这条指令”的？我用OD调试时仅看到EIP显示为05050505，却发现不了任何和00020228或者WideCharToMultiByte有关的信息，怎么知道这个异常来自于pdg2.dll的哪条指令调用呢？ 2008-8-11 16:50 0
小猫猫雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 21 粉丝 0 关注私信	小猫猫 25 楼学习中。。。。。。。。 2008-8-11 22:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复