|
Dr.COM Client是北京城市热点资讯有限公司推出的宽带上网认证客户端软件。它配合Dr.COM硬软件服务端,能够有效管理企业与院校的上网流量控制、防代理接入、计费划价等功能。但金无足赤、人无完人,Dr.COM的客户端软件存在有内存显示明文账号和密码的漏洞。
目前,全国有几百家高校都在使用这套产品管理其校园网,除了架设必要的软硬件服务端外,基本上每个终端机都需要安装Dr.COM的客户端软件Dr.COM Client。在对其进行安全分析过程中,我发现Dr.COM的客户端进程空间中存在用户登录所用到的账号和密码信息,而且这些信息是明文显示的。
Dr.COM的客户端程序是ishare_user.exe,下面我们用OllyDbg对其进行调试分析。首先按下F9,让程序运行起来,然后利用字符搜索插件Ultra String Reference进行内存字符串搜索,如图1所示。在众多的搜索结果中,我们能发现在很多地方都有我们登录的账号和密码信息,如004011CD、00401208、0040128F、004076B9、004076C8等,如图2所示。但大家仔细观察就会发现,这许多地址的反汇编代码中都存在这样的格式:
mov xxx , 0041AF8C
mov xxx , 0041C41B
0041AF8C和0041C41B这两个地址其实就是Dr.COM客户端内存中存在明文密码的地址。下面我们来验证一下。打开WinHex的内存查看功能,再打开ishare_user的进程空间,搜索地址0041C41B,果不其然,账号和密码信息都以明文显示着,如图3所示。
[1] [2] [3] 下一页 |
