有这样一种视频,它极其诱人,你无法抗拒它的诱惑,点击。在一阵等待之后,你会觉察到刚才看到的只是“海市蜃楼”,此时,你已身处深不见底的“瓮”中。
RealPlayer是大家常用的媒体播放器,用户非常多,因此它一旦出现漏洞,必定会有很多人遭到攻击。以前RealPlayer Server就曾爆出过一个远程溢出漏洞,使得许多影视网站遭到攻击。如今,当大家已淡忘上次的漏洞灾害所带来的痛苦时,新版RealPlayer中又出现了溢出漏洞。
现在,众多“黑客”已蠢蠢欲动,期待利用RealPlayer的溢出漏洞,练练攻击技术,抓几只肉鸡,留着以后入侵时……
解密漏洞
“.smil”漏洞让RealPlayer“受伤”
这次出现的溢出漏洞全名为“RealNetworks RealPlayer .smil文件处理缓冲区溢出漏洞”。RealPlayer处理“.smil”文件的某些属性字段时,未对拷贝操作中的一些字符串作严格的限制,因此存在缓冲区溢出漏洞。攻击者可通过精心构造“.smil”文件使RealPlayer执行任意恶意指令,从而入侵并控制被溢出者的电脑。
提示:“.smil”文件是RealPlayer的一种可播放的文件格式,在“.smil”文件中包含了真实的影片文件地址,以及一些相应的播放设置。当用RealPlayer打开这个文件时,会自动连接文件中真实的影片链接地址,播放相应的影片。
这个漏洞存在于RealPlayer的各个版本中,受影响的版本包括“Windows RealPlayer 10.5 (6.0.12.1040-1056)”、“Windows RealPlayer 10”、“Windows RealOne Player v2 (6.0.11.853 - 872)”、“Windows RealOne Player v2 (6.0.11.818 - 840)”等。
漏洞是怎么形成的
首先,我们来构造一个存在溢出漏洞的“.smil”文件。我们不用手动构造一个“.smil”文件,要知道在网上有更为简单、直接的漏洞利用程序。下载“.smil”溢出漏洞利用程序 “real.exe”(下载地址:http://www.qiangu.net/user/heibaisoft/tools/nuke/real-smil.rar)。
磨刀不误砍柴工,在入侵之前,我们先来了解一下real是怎么进行攻击的。
打开命令提示符窗口,进入溢出程序所在的文件夹。输入“real.exe”,可看到溢出程序的使用格式,real的使用格式为“real.exe ”。
RealPlayer溢出与前段时间流行的图片溢出类似,都是先生成一个带溢出攻击功能的媒体文件,这里是生成一个RealPlayer专用的“.smil”影视文件,因此可直接在“real.exe”后跟一个后缀名为“.smil”的文件名。在此输入“real.exe test.smil”命令并执行后即可生成一个带溢出攻击性的媒体文件“test.smil”,只要有人用存在漏洞的Realplayer程序打开这个媒体文件,就会造成溢出并自动开放本机的13579端口。
黑客是怎么做的
本地溢出攻击试验
现在,让我们直接在本机上双击“test.smil”,将会自动运行RealPlayer播放该文件。RealPlayer打开之后过一段时间就会死掉。此时在命令提示符窗口中输入命令“netstat -an”,可以看到当前系统中打开的端口列表,在端口列表中可看到13579端口已经开放。
此时,直接使用NC或Telnet就可以登录这个端口。我们在此输入“telnet 192.168.1.11 13579”命令。由于我们是在本机上进行试验,因此“192.168.1.11”为本机的IP地址,在实际的入侵中可换成运行了溢出文件的远程主机的IP地址。
执行命令后,不需要输入密码即可连接本机的13579端口,获得一个具有System系统权限的溢出命令窗口。可以进行添加账号、提升账户权限等操作。
远程溢出利用分析
从本机上的试验中可以看出,我们构造的“.smil”文件在本地可以成功地溢出,现在可以考虑如何利用该文件进行远程溢出攻击了。
利用RealPlayer的“.smil”溢出漏洞进行远程攻击,既简单又困难。说它简单,是因为整个攻击的过程很简单,让远程主机打开已制作好的溢出性“.smil”文件,然后用Telnet连接溢出端口就行了,没有太多复杂的操作步骤。说它困难,在于如何“引诱”别人打开已制作好的“.smil”文件。在此为大家介绍两种非常典型的方法。
1.直接运行法
这种方法很简单,为溢出文件取一个具有诱惑性的名字,比如“激情XXX”一类的。然后将该文件通过邮件或聊天软件发送给对方。意志薄弱的人一定禁不住诱惑,会打开这个“视频文件”,那么这个人就中招了。
2.网站攻击法
所谓的网站攻击法,就是将具有溢出性的“.smil”文件链接放入网站中,同样加上诱人的影片介绍。至于添加“.smil”文件的网站,可以自己创建,也可通过入侵其他影视网站服务器,改写其中的“.smil”文件达到目的。例如,我们获得一个Webshell后,可以通过海阳顶端网(如下图所示)或者冰狐浪子ASP木马,直接修改网站中的“.smil”媒体播放文件,将溢出代码添加到文件中,或者直接用已经生成的溢出媒体文件替换网站中的文件。
用户上网时打开了这个“诱人”的视频文件,就会遭到溢出攻击。如果存放该视频文件的网站的访问人数较多,而且该视频文件比较受欢迎的话,一定会有很多人中招。我们只需要定期用X-Scan扫描器扫描一下指定范围的IP地址,只要查到开放了“13579”端口的IP地址,那么这个IP地址所对应的主机就会成为我们的笼中“肉鸡”。
由于带溢出攻击性的“.smil”文件是一个播放文件,集成在网页中后,不像一般的网页木马会被一些杀毒软件所查杀。同时,一般用户也不会对一个可播放的媒体文件过于留心,因此攻击者很容易通过网页的方式进行传播攻击。由此可见,RealPlayer“.smil”溢出漏洞的危害性非常大,普通用户应该加强防范意识,赶快打上该软件的补丁,不要为了那“诱人”的视频文件而忽略了安全。
小知识溢出原理
我们可以利用溢出程序生成一个溢出媒体文件,想知道这个文件中到底存在着什么秘密吗?它是怎样利用漏洞造成溢出的呢?让我们将文件打开看一看吧。
先用记事本打开已生成的test.smil,可以看到“.smil”文件的内容(如右图所示)。要触发RealPlayer的这个溢出漏洞,攻击者需要构造一个有效的“.smil”文件。
在该文件中最重要的部分就是“”,其中“***”代表大于256字节的字符,这样才能导致栈破坏而产生溢出,溢出成功后系统的13579端口会被打开。
只要理解了“.smil”文件的制作原理,谁都可以手动编写这样的文件,或在正常的“.smil”文件中添加溢出代码,打造具有攻击性的.smil文件。