-=wking's blog=-

提供有偿代为下载服务。服务器加光纤挂BT/EM/SHARE，速度爆快!只要有源铁定拖下来！

阿里巴巴支付宝远程代码执行漏洞-0DAY

创建时间：2007-02-07
文章属性：原创
文章提交：cocoruder (frankruder_at_hotmail.com)

阿里巴巴支付宝远程代码执行漏洞

by cocoruder(frankruder_at_hotmail.com)
http://ruder.cdut.net

Summary:

   支付宝是由阿里巴巴公司出品的在线支付解决方案，在中国拥有众多用户，更多信息请参考：

   https://www.alipay.com

   在支付宝密码输入控件中存在一个远程代码执行漏洞，远程攻击者可利用此漏洞在被攻击者系统上执行任意代码，进而可安装木马以及间谍程序，窃取相关敏感信息比如淘宝帐号/密码，或者支付宝帐号/密码。



Affected Software Versions:

   当前所有版本



Details:
   
   漏洞存在于由ActiveX控件"pta.dll"导出的"Remove()"函数中，相关信息如下：

   InprocServer32:    pta.dll
   ClassID      :     66F50F46-70A0-4A05-BD5E-FBCC0F9641EC

   [id(0x60030001), helpstring("method Remove")]
   void Remove([in] int idx);

   直接看Remove()函数的处理流程：

   .text:10003D4E ; Remove
   .text:10003D4E
   .text:10003D4E sub_10003D4E    proc near            ; DATA XREF: .rdata:1000B3A4o
   .text:10003D4E                            ; .rdata:1000B41Co ...
   .text:10003D4E
   .text:10003D4E arg_0           = dword ptr  4
   .text:10003D4E arg_4           = dword ptr  8
   .text:10003D4E
   .text:10003D4E                 mov     eax, [esp+arg_4]        
   .text:10003D52                 test    eax, eax
   .text:10003D54                 jl      short loc_10003D78    
   .text:10003D56                 push    esi
   .text:10003D57                 mov     esi, [esp+4+arg_0]    ; get idx
   .text:10003D5B                 shl     eax, 4            ; idx << 4
   .text:10003D5E                 add     eax, [esi+8]        ; [esi+8]=0
   .text:10003D61                 push    edi            ;
   .text:10003D62                 mov     edi, eax            ; idx << 4 ==>edi
   .text:10003D64                 mov     eax, [edi+8]        ; [(idx << 4)+8] ==>eax
   .text:10003D67                 push    eax
   .text:10003D68                 mov     ecx, [eax]        ; [[(idx << 4)+8]]==>ecx
   .text:10003D6A                 call    dword ptr [ecx+8]    ; [[[(idx << 4)+8]]+8]==>jmp addr
   .text:10003D6D                 push    edi
   .text:10003D6E                 lea     ecx, [esi+4]
   .text:10003D71                 call    sub_10003F35
   .text:10003D76                 pop     edi
   .text:10003D77                 pop     esi
   .text:10003D78
   .text:10003D78 loc_10003D78:                    ; CODE XREF: sub_10003D4E+6j
   .text:10003D78                 xor     eax, eax
   .text:10003D7A                 retn    8
   .text:10003D7A sub_10003D4E    endp


   idx是我们可以控制的，因此可以完成有意思的攻击，比如我们设置的idx为0x41414141，程序会执行[[[14141410h+8]]+8]地址的代码。


Solution:

   建议用户通过注册表对相应的CLSID设置Killbit，如不使用支付宝可到%system%\aliedit\目录下删除pta.dll



Disclosure Timeline:

   2007.02.07        发布公告



Attached File:

   这里给出一个用大内存分配实现的exp，把所有需访问其值的地址都置成0x0d0d0d0d，可以很好地达到攻击效果。
   警告：此exp只为展示此漏洞存在，请务用于其它用途。



/************************************************************************************************
Alipay ActiveX Remote Code Execute Exploit,enjoy it:)
by cocoruder(frankruder_at_hotmail.com)
http://ruder.cdut.net
*************************************************************************************************/






--EOF--
最后编辑： king 编辑于2007/03/10 19:31