解析RealPlayer溢出漏洞

       有這樣一種視頻，它極其誘人，你無法抗拒它的誘惑，點擊。在一陣等待之后，你會覺察到剛才看到的只是“海市蜃樓”，此時，你已身處深不見底的“甕”中。
　　RealPlayer是大家常用的媒體播放器，用戶非常多，因此它一旦出現漏洞，必定會有很多人遭到攻擊。以前RealPlayer Server就曾爆出過一個遠程溢出漏洞，使得許多影視網站遭到攻擊。如今，當大家已淡忘上次的漏洞災害所帶來的痛苦時，新版RealPlayer中又出現了溢出漏洞。

　　現在，眾多“黑客”已蠢蠢欲動，期待利用RealPlayer的溢出漏洞，練練攻擊技術，抓幾只肉雞，留著以后入侵時……

　　解密漏洞

　　“.smil”漏洞讓RealPlayer“受傷”

　　這次出現的溢出漏洞全名為“RealNetworks RealPlayer .smil文件處理緩沖區溢出漏洞”。RealPlayer處理“.smil”文件的某些屬性字段時，未對拷貝操作中的一些字符串作嚴格的限制，因此存在緩沖區溢出漏洞。攻擊者可通過精心構造“.smil”文件使RealPlayer執行任意惡意指令，從而入侵并控制被溢出者的電腦。

　　提示:“.smil”文件是RealPlayer的一種可播放的文件格式，在“.smil”文件中包含了真實的影片文件地址，以及一些相應的播放設置。當用RealPlayer打開這個文件時，會自動連接文件中真實的影片鏈接地址，播放相應的影片。

　　這個漏洞存在于RealPlayer的各個版本中，受影響的版本包括“Windows RealPlayer 10.5 (6.0.12.1040-1056)”、“Windows RealPlayer 10”、“Windows RealOne Player v2 (6.0.11.853 - 872)”、“Windows RealOne Player v2 (6.0.11.818 - 840)”等。

　　漏洞是怎么形成的

　　首先，我們來構造一個存在溢出漏洞的“.smil”文件。我們不用手動構造一個“.smil”文件，要知道在網上有更為簡單、直接的漏洞利用程序。下載“.smil”溢出漏洞利用程序 “real.exe”(下載地址:www.qiangu.net/user/heibaisoft/tools/nuke/real-smil.rar)。

　　磨刀不誤砍柴工，在入侵之前，我們先來了解一下real是怎么進行攻擊的。

　　打開命令提示符窗口，進入溢出程序所在的文件夾。輸入“real.exe”，可看到溢出程序的使用格式，real的使用格式為“real.exe ”。

　　RealPlayer溢出與前段時間流行的javascript:;" onClick="javascript:tagshow(event, '%CD%BC%C6%AC');" target="_self">圖片溢出類似，都是先生成一個帶溢出攻擊功能的媒體文件，這里是生成一個RealPlayer專用的“.smil”影視文件，因此可直接在“real.exe”后跟一個后綴名為“.smil”的文件名。在此輸入“real.exe test.smil”命令并執行后即可生成一個帶溢出攻擊性的媒體文件“test.smil”，只要有人用存在漏洞的Realplayer程序打開這個媒體文件，就會造成溢出并自動開放本機的13579端口。

　　黑客是怎么做的

　　本地溢出攻擊試驗

　　現在，讓我們直接在本機上雙擊“test.smil”，將會自動運行RealPlayer播放該文件。RealPlayer打開之后過一段時間就會死掉。此時在命令提示符窗口中輸入命令“netstat -an”，可以看到當前系統中打開的端口列表，在端口列表中可看到13579端口已經開放。

　　此時，直接使用NC或Telnet就可以登錄這個端口。我們在此輸入“telnet 192.168.1.11 13579”命令。由于我們是在本機上進行試驗，因此“192.168.1.11”為本機的IP地址，在實際的入侵中可換成運行了溢出文件的遠程主機的IP地址。

　　執行命令后，不需要輸入密碼即可連接本機的13579端口，獲得一個具有System系統權限的溢出命令窗口?？梢赃M行添加賬號、提升賬戶權限等操作。

　　遠程溢出利用分析

　　從本機上的試驗中可以看出，我們構造的“.smil”文件在本地可以成功地溢出，現在可以考慮如何利用該文件進行遠程溢出攻擊了。

　　利用RealPlayer的“.smil”溢出漏洞進行遠程攻擊，既簡單又困難。說它簡單，是因為整個攻擊的過程很簡單，讓遠程主機打開已制作好的溢出性“.smil”文件，然后用Telnet連接溢出端口就行了，沒有太多復雜的操作步驟。說它困難，在于如何“引誘”別人打開已制作好的“.smil”文件。在此為大家介紹兩種非常典型的方法。

　　1.直接運行法

　　這種方法很簡單，為溢出文件取一個具有誘惑性的名字，比如“激情XXX”一類的。然后將該文件通過郵件或聊天軟件發送給對方。意志薄弱的人一定禁不住誘惑，會打開這個“視頻文件”，那么這個人就中招了。

　　2.網站攻擊法

　　所謂的網站攻擊法，就是將具有溢出性的“.smil”文件鏈接放入網站中，同樣加上誘人的影片介紹。至于添加“.smil”文件的網站，可以自己創建，也可通過入侵其他影視網站服務器，改寫其中的“.smil”文件達到目的。例如，我們獲得一個Webshell后，可以通過海陽頂端網(如下圖所示)或者冰狐浪子ASP木馬，直接修改網站中的“.smil”媒體播放文件，將溢出代碼添加到文件中，或者直接用已經生成的溢出媒體文件替換網站中的文件。

圖1

　　用戶上網時打開了這個“誘人”的視頻文件，就會遭到溢出攻擊。如果存放該視頻文件的網站的訪問人數較多，而且該視頻文件比較受歡迎的話，一定會有很多人中招。我們只需要定期用X-Scan掃描器掃描一下指定范圍的IP地址，只要查到開放了“13579”端口的IP地址，那么這個IP地址所對應的主機就會成為我們的籠中“肉雞”。

　　由于帶溢出攻擊性的“.smil”文件是一個播放文件，集成在網頁中后，不像一般的網頁木馬會被一些殺毒軟件所查殺。同時，一般用戶也不會對一個可播放的媒體文件過于留心，因此攻擊者很容易通過網頁的方式進行傳播攻擊。由此可見，RealPlayer“.smil”溢出漏洞的危害性非常大，普通用戶應該加強防范意識，趕快打上該軟件的補丁，不要為了那“誘人”的視頻文件而忽略了安全。