支付宝ptpusb.dll远程指令执行漏洞 | wooyun-2011-01451| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2011-01451

漏洞标题：支付宝ptpusb.dll远程指令执行漏洞

漏洞作者：路人甲

提交时间：2011-02-28 11:21

修复时间：2011-03-02 17:59

公开时间：2011-03-02 17:59

漏洞类型：远程代码执行

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2011-02-28：细节已通知厂商并且等待厂商处理中
2011-03-02：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

无

详细说明：

阿里巴巴支付宝（Alipay）是阿里巴巴站点所提供的电子商务在线支付服务。
阿里巴巴支付宝的口令输入控件实现上存在漏洞，远程攻击者可能利用此漏洞控制用户机器。
支付宝的口令输入控件ptpusb.dll中存在远程代码执行漏洞。ptpusb.dll以如下方式引用Remove()函数：
InprocServer32: ptpusb.dll
ClassID : 66F50F46-70A0-4A05-BD5E-FBCC0F9641EC
[id(0x60030001), helpstring("method Remove")]
void Remove([in] int idx);
Remove()函数以如下方式处理idx参数：
.text:10003D4E ; Remove
.text:10003D4E
.text:10003D4E sub_10003D4E proc near ; DATA XREF: .rdata:1000B3A4o
.text:10003D4E ; .rdata:1000B41Co ...
.text:10003D4E
.text:10003D4E arg_0 = dword ptr 4
.text:10003D4E arg_4 = dword ptr 8
.text:10003D4E
.text:10003D4E mov eax, [esp+arg_4]
.text:10003D52 test eax, eax
.text:10003D54 jl short loc_10003D78
.text:10003D56 push esi
.text:10003D57 mov esi, [esp+4+arg_0] ; get idx
.text:10003D5B shl eax, 4 ; idx << 4
.text:10003D5E add eax, [esi+8] ; [esi+8]=0
.text:10003D61 push edi ;
.text:10003D62 mov edi, eax ; idx << 4 ==>edi
.text:10003D64 mov eax, [edi+8] ; [(idx << 4)+8]==>eax
.text:10003D67 push eax
.text:10003D68 mov ecx, [eax] ; [[(idx << 4)+8]]==>ecx
.text:10003D6A call dword ptr [ecx+8] ; [[[(idx <<4)+8]]+8]==>jmp addr
.text:10003D6D push edi
.text:10003D6E lea ecx, [esi+4]
.text:10003D71 call sub_10003F35
.text:10003D76 pop edi
.text:10003D77 pop esi
.text:10003D78
.text:10003D78 loc_10003D78: ; CODE XREF: sub_10003D4E+6j
.text:10003D78 xor eax, eax
.text:10003D7A retn 8
.text:10003D7A sub_10003D4E endp
idx是用户可控的DWORD值，因此攻击者可以获得完全控制。例如，如果将idx设置为0x41414141的话，就会在地址[[[14141410h+8]]+8]执行任
意指令。

漏洞证明：

Alipay ActiveX Remote Code Execute Exploit,enjoy it:)
by CK(webmaster@leehoosoftware.org)

修复方案：

为ptpusb.dll设置killbit，或删除%system%\aliedit\ptpusb.dll。

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2011-03-02 17:59

厂商回复：

谢谢反馈，该问题在2007年时已经被发现并修复，请确认是否获取的是旧控件，感谢您对支付宝安全的关注！

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2011-01451

漏洞标题：支付宝ptpusb.dll远程指令执行漏洞

相关厂商：支付宝

漏洞作者：路人甲

提交时间：2011-02-28 11:21

修复时间：2011-03-02 17:59

公开时间：2011-03-02 17:59

漏洞类型：远程代码执行

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2011-01451

漏洞标题：支付宝ptpusb.dll远程指令执行漏洞

相关厂商：支付宝

漏洞作者： 路人甲

提交时间：2011-02-28 11:21

修复时间：2011-03-02 17:59

公开时间：2011-03-02 17:59

漏洞类型：远程代码执行

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2011-01451"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云