CVE-2013-1493 aka Yet Another Oracle Java 0day

[pwd]

@El- you are unable to find the jar archive?

 

[steklo]

jd, jshrink половину не декомпилит, кто нить может подсказать что еще можно заюзать ?

showmycode.com?

 

[Gdark]

Спойлер: 183

http://www.sendspace.com/file/fsn3h1

 

[el-]

http://blog.spiderlabs.com/2013/03/fresh-c...-by-coolek.html

 

[паук]

el- есть оригинальный jar декомпельнуть ?
с меня полный разбор если получу .jar

 

[pwd]

Nobody releases the jar as a valuable asset

 

[madamKury]

Для просмотра этого блока Вам необходимо создать не менее 183 сообщений

Ой, что же там под замком-то? :unsure:
Вы там что ли пароль свой написали или для чего такое неподъёмное кол-во постов..

 

[el-]

толи я неудачник, толи все таки сплоит нестабильный, мне не удалось увидеть калк ( подсунутый вместо оригинального svchost.cfg ) как с оригиналом под 7u10 так и в пересобраном варианте под 6 ветку, на хп ... за все запуски только раз дропнулся краш лог, хз даже как такое отлаживать.

паук, у тебя ящик переполнен...

Спойлер: 77

http://www.sendspace.com/file/d7mfgt
пасс: UAIHtfn3c2hrcncmr2jhrd2nrmd2

 

[el-]

опа а экзе которое svchost.cfg, содержит шелкод который очень похож ( не прямо один в один но есть одинаковые строки, функции, например для шифрования ) на тот который был в Watering Hole Campaign

 

[Gdark]

Ой, что же там под замком-то?
Вы там что ли пароль свой написали или для чего такое неподъёмное кол-во постов..

Сплоит этот там, а т.к его не было ни в каком паблик паке, значит он имеет ценность

толи я неудачник, толи все таки сплоит нестабильный, мне не удалось увидеть калк ( подсунутый вместо оригинального svchost.cfg ) как с оригиналом под 7u10 так и в пересобраном варианте под 6 ветку, на хп ... за все запуски только раз дропнулся краш лог, хз даже как такое отлаживать.

сплоит вполне стабильный(x64 не пашет по моим тестам).
забудь svchost.cfg, правь сорс.

 

[el-]

Gdark, виртуалка xp sp3 x86, ни разу не сработал, что там править в сорце, ты разобрался в эксплуатации ? какая у тебя ось, версия явы, и т.д. можно подробнее ?

зы. некто в твиттере тоже говорил что он работает 10 из 10, хотя первоисточник fireeye сразу сказали что он не стабилен.

ззы. выйди в жабу если не сложно.

 

[Falcon]

Тоже проверял - на xpsp3, 32bit, jre 1.6.35 под ff19, ie8 - работает стабильно и довольно быстро, обнуляет SecurityManager и дальше выполняй что хочешь.

 

[el-]

действительно на локальной машине работает довольно стабильно. причем у меня машина х64, дело именно в виртуалках, надо будет посмотреть что там не так.
нашел место где бага + разобрался в эксплуатации
ждем, что напишет паук, а потом если что я его дополню ...

 

[pwd]

:P trying this jar patience

 

[steklo]

На версиях от 1.7.11 вылетает алерт, но сплойт вполне рабочий

// В safari не захотел срабатывать

 

[паук]

.....

 

[madamKury]

Великолепный обзор от маэстро можно прочесть тут — CVE-2013-1493 ImAlpha, CMM.cmmColorConvert alpha memory corruption by EL-