[Poc] cve-2014-1776_IE秘狐_POC

之前有人发了“全套”,可惜JS里面缺少一部分内容,所以是没办法触发的
这个是在国外老外某个blog上扒下来的,可以触发~~
  1. (900.938): Access violation - code c0000005 (first chance)
  2. First chance exceptions are reported before any exception handling.
  3. This exception may be expected and handled.
  4. eax=bbbbbbbb ebx=0020a6f0 ecx=e1bdfb7c edx=3d11a988 esi=0020a6f0 edi=001acbd0
  5. eip=3d125156 esp=0161cd74 ebp=0161cd98 iopl=0         nv up ei ng nz na pe nc
  6. cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00010286
  7. mshtml!CMarkup::IsConnectedToPrimaryMarkup+0xd:
  8. 3d125156 8b400c          mov     eax,dword ptr [eax+0Ch] ds:0023:bbbbbbc7=????????
  9. 0:008> db esi
  10. 0020a6f0  aa aa aa aa bb bb bb bb-bb bb bb bb bb bb bb bb  ................
  11. 0020a700  bb bb bb bb bb bb bb bb-bb bb bb bb bb bb bb bb  ................
  12. 0020a710  bb bb bb bb bb bb bb bb-bb bb bb bb bb bb bb bb  ................
  13. 0020a720  bb bb bb bb bb bb bb bb-bb bb bb bb bb bb bb bb  ................
  14. 0020a730  bb bb bb bb bb bb bb bb-bb bb bb bb bb bb bb bb  ................
  15. 0020a740  bb bb bb bb bb bb bb bb-bb bb bb bb bb bb bb bb  ................
  16. 0020a750  bb bb bb bb bb bb bb bb-bb bb bb bb bb bb bb bb  ................
  17. 0020a760  bb bb bb bb bb bb bb bb-bb bb bb bb bb bb bb bb  ................
  18. 0:008> kb 10
  19. ChildEBP RetAddr  Args to Child              
  20. 0161cd78 3d125212 001acbd0 3d1d27b8 00000000 mshtml!CMarkup::IsConnectedToPrimaryMarkup+0xd
  21. 0161cd98 3d1251bb 0020a6f0 00000003 0161cdbc mshtml!CMarkup::OnCssChange+0x52
  22. 0161cda8 3d53db1e 00000003 001acbd0 3d1d27cc mshtml!CElement::OnCssChange+0x1d
  23. 0161cdbc 3d13899b 8001004c 00030080 3d1d27b8 mshtml!CStyleElement::OnPropertyChange+0xf9
  24. 0161ce9c 3d13fa3a 3d1d27cc ffffffff 001acbdc mshtml!NUMPROPPARAMS::SetNumberProperty+0x2d8
复制代码
附件: 您需要登录才可以下载或查看附件。没有帐号?注册

是的,之前就没看到过全的可以用的,看来手慢就没新鲜的,多谢lz了,先看看。
n0th!n9 ,d01n9

TOP

OK,收下了,谢谢LZ

TOP

收藏了,谢谢

TOP

本帖最后由 blursight 于 2015-1-14 10:01 编辑

楼主什么环境测试的,除了IE8外其他版本我还是没啥反应。

TOP

回复 5# blursight


我是ie8 xp测试的=-=,没反应??

TOP

本帖最后由 blursight 于 2015-1-14 14:35 编辑

https://withgit.com/hdarwin89/co ... 014-1776/step1.html
I simplified 1776 poc.

TOP

本帖最后由 blursight 于 2015-1-14 15:20 编辑
I simplified 1776 poc.
hdarwin89 发表于 2015-1-14 13:41



    crashed in win7 +IE9 or upper?
    I test on windows 7 sp1 IE 9/10/11. No crash is found. in IE8, the exp triggered.

TOP

回复 8# blursight


    enable pageheap

TOP

win7 +IE8没反应?

TOP