|
Moderation History | New Thread | Reply | Subscribe
|
|
doormimiz
Member since Feb 25, 2026
|
TL;DR: в Internet Explorer 6 есть эксплойт, который работает через обычное посещение веб-страницы. Если пользователь посещает сайт, у него запускается команда через shell-код. Ссылки на исходный код в низу поста
В Internet Explorer 6 есть уязвимость, которая позволяет исполнить произвольную команду записанную через shell-код (т. е. через команды напрямую к процессору) просто при помощи посещения специально созданной страницы. Работает на Windows XP как без SP, так и с последним SP3, на Windows 2000 с установленным IE 6 не работает.
Эксплойт работает так: сначала при помощи heap-spray память заполняется одинаковыми кусками ненужных данных, т.е. обычного шума, в результате чего шеллкод всегда оказывается на предсказуемом адресе, где он и будет исполняться. Также при помощи архитектуры NOP slide в случае, если шеллкод не попал на нужный адрес, процессор будет искать по ближайшим адресам, чтобы все-таки исполнить шеллкод.
Далее эксплойт создаёт большое количество DOM-объектов браузера. После этого один из элементов страницы специально удаляется через innerHTML = "", из-за чего Internet Explorer освобождает связанную с ним область памяти. Однако объект события (event object) всё ещё продолжает ссылаться на уже освобождённую память. Это приводит к классической уязвимости типа use-after-free - браузер обращается к объекту, которого фактически уже не существует.
Сразу после освобождения памяти эксплойт повторно заполняет её контролируемыми данными через JavaScript. В результате Internet Explorer считает, что работает со старым объектом браузера, хотя на самом деле в памяти уже находятся подготовленные атакером данные.
При обращении к полям этого поддельного объекта происходит повреждение внутренних указателей браузера. В итоге выполнение кода перенаправляется в заранее подготовленную область heap spray, где уже расположен шеллкод.
В результате все это гарантировано приводит к исполнению, шеллкод можно вписать любой, конкретно в нашем примере это будет calc.exe.
ССЫЛКИ:
http://pastebin.downgrade-net.ru/paste.php?id=683 |
| Posted May 18, 2026, 10:43 AM |
Quote
|
morion
Member since May 18, 2026
|
годная находка, очень радует когда такие дыры выкапывают. всегда интересно потыкать такие вещи :-] |
| Posted May 18, 2026, 11:06 AM |
Quote
|
morion
Member since May 18, 2026
|
и кстати, а под 5-ый ишак есть такое? |
| Posted May 18, 2026, 11:08 AM |
Quote
|
doormimiz
Member since Feb 25, 2026
|
morion said on 18.05.2026, 11:08 AM:
> и кстати, а под 5-ый ишак есть такое?
Под 5й другие методы |
| Posted May 18, 2026, 11:47 AM |
Quote
|
michelson8
Member since Mar 15, 2026
|
/up |
| Posted May 18, 2026, 01:09 PM |
Quote
|
michelson8
Member since Mar 15, 2026
|
В IE 7 тоже работает |
| Posted May 18, 2026, 01:13 PM |
Quote
|
Social
