Posted on

SafeSign加密组件 Dll Hijacking(某行网银引入)

偶然发现一个网银引入的Dll Hijacking。

手头有个某行的网银,用的是捷德的UKEY,捷德的UKEY使用了国外SafeSign的加密组件。这个组件注册到系统中后,会在数字证书验证时被调用到。组件会加载一个叫做aetcmgr的DLL,但是这个DLL并未被安装到系统中,而且调用时未指定全路径,因此会造成一个dll hijacking。

比如我把一个会转向https网址的网页和一个恶意的aetcmgr.dll发给一个人的话,如果那人装了工行的网银,用IE打开网页时IE就会尝试加载aetcmgr.dll。

测试网页如下如下,XXX请替换为任意一个https的网址:

<head>
 
<meta http-equiv="refresh" content="0;url=https://XXXX">
 
</html>

我让aetcmgr.dll 在DLLMAIN中弹了一个MSGBOX。
19002130cb5dbe3594d659fca70faa417a5ff6b1

IE的调用栈如下
19001302996c89d73dc6a6b5aba1326293bea4f5

因为这个组件是注册到系统中的,所以漏洞可大可小,会影响到很多验证数字证书的程序,在我系统上的就有IE、阿里旺旺、盛大的云梯等会尝试加载这个DLL,当然,如何利用就要考虑下了。

发到乌云几个月了:http://wooyun.org/bugs/wooyun-2013-024077

不过这个漏洞兜这么个大圈子,估计他们也不好处理。

Posted on

MDecoder的隐藏功能及历史版本下载

在配置文件config.ini的[main]中添加这么一行后可以打开MDecoder的隐藏功能:FullFunc=True,打开的两个小功能是:
1,自动保存网页到MDecoder目录的子目录Download下。网页是拼接过的,把网页内包含的JS拼接到了网页内部。
2,解密选项增加三个:Scan,解密页面给扫描用的解密方法;Parser,会进行简单的词法分析来拼接字符串;HookUnescape,没啥好解释的。

MDecoder历史版本下载地址:

http://www.mtian.org/down/MDecoder v0.21.zip
http://www.mtian.org/down/MDecoder v0.22.zip
–>
http://www.mtian.org/down/MDecoder v0.66.zip

另外,短期内没有更新这个工具的打算了。