cve2011-2594漏洞分析.doc

Cve 2011-2594 分析研究报告
漏洞介绍:
适用环境:
CVE ID:CVE-2011-2594
CNCVE CVE-20112594
漏洞发布时间:2011-08-29 
漏洞起因:
边界条件错误
影响系统
KMPlayer
 危害
远程攻击者可以利用漏洞以应用程序安全上下文执行任意代码。
 
攻击所需条件
攻击者必须构建恶意KPL文件,诱使用户解析。
 
漏洞信息
KMPlayer是一款流行的媒体播放程序。
KMPlayer处理播放列表中的"Title"条目时存在边界错误,攻击者可以构建恶意KPL文件,诱使用户解析,触发缓冲区溢出,成功利用漏洞可以以应用程序安全上下文执行任意代码。
漏洞poc的构造.
根据漏洞信息介绍,在程序安装目录查找这个kpl文件。
最后在the kmplayer/playlist/,猜测可能是该文件的内容引起的溢出。
用记事本打开改文件:
[playlist]
File1=C:\Program Files\The KMPlayer\
Title1=
Length1=0
Played1=1
NumberOfEntries=1
Version=2
CurrentIndex=0
看到内容,我们可以猜想到这个文件应该记录的是kmplay最后打开视频的记录信息。
当然kpl可以被kmplayer播放器双击打开。
我们猜测可能是Title字段存在漏洞,于是开始填充超长字符串。
经过多次测试,我填充大概6万多个”a”最终导致了溢出。
通过ue 查看文件二进制内容,可以看出改文件是unicode编码的。
Unicode在我们后续的构造利用产生了障碍, 怎么办?
可以把文本文件保存成asc码形式的,从而解决该障碍。保存,双击,可以触发漏洞。

双击该kpl文件程序异常,od加载该程序,
0042E217 8B45 FC mov eax, dword ptr [ebp-4]
0042E21A 8B10 mov edx, dword ptr [eax]
0042E21C FF52 04 call dword ptr [edx+4]
0042E21F 33C0 xor eax, eax
0042E221 5A pop edx
0042E222 59 pop ecx
0042E223 59 pop ecx
0042E224 64:8910 mov dword ptr fs:[eax], edx
0042E227 EB 15 jmp short 0042E23E
0042E229 ^ E9 8A66FDFF jmp 004048B8
0042E22E E8 FD50FDFF call 00403330
0042E233 8B55 FC mov edx, dword ptr [ebp-4]
0042E236 8942 38 mov dword ptr [edx+38], eax
0042E239 E8 4E6BFDFF call 00404D8C
0042E23E 33C0 xor eax, eax
0042E240 5A pop edx
004