QQ发现多个溢出漏洞

   来源:QQ个性签名www.51322.com 发布时间：2007-04-28  

Tencent QQ 多个远程溢出漏洞 　　by axis(axis_at_ph4nt0m.org) 　　摘要: 　　QQ是由Tencent公司开发的一个IM软件，在中国有着非常广泛的用户。 　　DSW Avert在200612.31发现了QQ的几个0day漏洞，并通知了QQ官方。QQ在2007.1.1进行了升级。事实上，在此之前，幻影旅团 (ph4nt0m)的axis就已经发现了这些漏洞，出于一些原因未曾公布，现在漏洞被公开了，所以将细节和可利用的POC公布如下： 　　QQ的这几个漏洞，均是由于Activex Control造成的，相关dll分别是：VQQPLAYER.OCX,VQQsdl.dll,V2MailActiveX.ocx 　　其中有一个成功利用后，将可远程控制用户电脑，因为是activex的，所以只需要用户安装过QQ，甚至不需要其登录，就可以成功利用。 　　另外几个漏洞分别是拒绝服务漏洞，不可执行,在此不再赘述。 　　影响版本: 　　Tencent QQ2006正式版及之前所有版本。(未升级2007.1.1补丁) 　　细节: 　　在VQQPLAYER.OCX中，由于程序员的粗心，存在一个栈溢出漏洞，在函数返回时，可以控制EIP。 　　漏洞存在的Method是LaunchP2PShare, 　　ClassId是{AC3A36A8-9BFF-410A-A33D-2279FFEB69D2} 　　其原型是： 　　[id(0x00000030)] 　　VARIANT_BOOL LaunchP2PShare( 　　BSTR szExeName, 　　long nDuration); 　　第一个参数没有进行长度检查，为超长字符串时，将造成一个栈溢出。 　　幻影旅团将对此发布一个POC代码，请勿将此作为非法用途 　　POC: 　　------------------------------------------ 　　/* 　　*----------------------------------------- 　　* 　　* Tencent QQ VQQPlayer.ocx (all version) 0day 　　* 　　* 　　* Author: axis 　　* Date: 2006-12-27 　　* Mail: axis@ph4nt0m.org 　　* 　　* Bug discovered by axis@ph4nt0m.org 　　* : 　　* : 　　* : 　　* : 　　* :Usage: filename [htmlfile] 　　* : filename.exe site.com/file.exe localhtml.htm 　　* 　　* 在VQQPlayer.ocx中的LaunchP2PShare函数的第一个参数没有做边界检查，超长将在MFC42.dll覆盖到eip和seh 　　* QQ是vc6编译的，所以可以用覆盖返回地址的方法，不过要求覆盖eip和以前的是可见字符，要求比较苛刻 　　* 而且覆盖返回地址的方法，和QQ安装路径有关，因为是这样覆盖起 c:program files encentqqAAAAA.... 　　* 覆盖seh方法比较通用，使用heap spray的方法，跳到0x0c0c0c0c中去执行shellcode，但是会关闭ie。

上一篇：妙除QQ病毒，让隐藏文件现身   下一篇：QQ爆高危漏洞危害IE浏览器