WEB开发网
开发学院网络安全安全技术 攻防实战:深入剖析最新IE7.0 0day漏洞利用代码 阅读

攻防实战:深入剖析最新IE7.0 0day漏洞利用代码

 2008-12-16 13:42:01 来源:WEB开发网   
核心提示: 图12查看ko.exe文件壳使用upx脱掉该壳,简要分析该执行程序,攻防实战:深入剖析最新IE7.0 0day漏洞利用代码(7),ko.exe执行后释放一个jiocs.dll到windows目录,通过Rundll32.exe将该dll文件注册起来,漏洞出在 OLEDB32.dll 这个文件

图12查看ko.exe文件壳

使用upx脱掉该壳,简要分析该执行程序,ko.exe执行后释放一个jiocs.dll到windows目录,通过Rundll32.exe将该dll文件注册起来。至于jiocs.dll简单看了下,是一个download下载者,这也和前面监控的现象相符合。

3.分析漏洞触发原理

不怎么会javascript,所以也没有具体分析,看了http://hi.baidu.com/vessial的介绍,大体知道是怎么触发这个漏洞的了?0day代码片断:

if(wxp||w2k3)document.write('<XMLID=I><X><C><![CDATA[<image SRC=http://rਊr.book.com
src=http://www.google.com]]><![CDATA[>]]></C></X></xml><SPAN DATASRC=#I DATAFLD=C
DATAFORMATAS=HTML><XML ID=I></XML><SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML></SPAN>');

关键触发是由于这个Image SRC的字段的数据造成的http://rਊr.book.com

mshtml.dll会对这个SRC作解析,刚好该地址它们拼在一起就是一个可利用的堆地址,可使shellcode填充到这个地址空间去,从而执行我们的代码。

四、漏洞补丁及安全防范

关于该漏洞的补丁microsoft直到12月15号相关的补丁也没有出来,国内的一些安全组织倒是提前给出了安全补丁,呵呵,值得表扬!

给出国内的一些补丁下载地址:

360安全卫士  http://dl.360safe.com/360fixmsxml.exe

江民 http://filedown.jiangmin.com/KVIEXMLPatch.exe

IE 最新 0day 波及了微软全线系统,目前暂时没有补丁。微软于近日发布了一份安全通报,指导您如何暂时屏蔽此漏洞。

漏洞出在 OLEDB32.dll 这个文件上。所以我们的目的就是屏蔽这个文件。对此,微软连出了4个杀手锏:

上一页  2 3 4 5 6 7 8  下一页

Tags:攻防 实战 深入

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接