议题作者：教主
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

[options]
-c <file_name> <t1> <t2>
-m <email_addr> <t1> <t2> <smtp_ip> <smtp_port> <mail_from> <mail_subject>


<file_name>      生成的htm文件名
<email_addr>   受害者的email地址
<smtp_ip>      供发送邮件的smtp服务器地址，注意，需要能不需要身份发送匿名邮件。
<smtp_port>      smtp服务器的端口
<mail_from>      邮件中显示的发送者的邮件地址
<mail_subject>   邮件标题

使用connect back shellcode的时候，t1 t2分别为 "connect_back_ip" "connect_back_port"
使用download and execute shellcode的时候，t1 t2分别为"-" "http://xx.xx.xx.xx/trojan.exe"

适用环境：
(1)windows_2000_简体中文_英文_any_version + IE_Any_Version
(2)windows_xp_简体中文_英文_any_version + IE_Any_Version
(3)windows_2000_简体中文_英文_any_version + outlook_express_Any_Version
(4)windows_xp_简体中文_英文_any_version + outlook_express_Any_Version

不需要指定任何版本参数，上述环境下，都可通用此程序！

我想问一下,有没有朋友用过此程序?是根据什么漏洞的??
抱歉我不能提供程序,想问一下用过此程序的朋友.....

没见过该程序，看了搂主的说明。
建议：查看生成的htm，里面的内容就是所利用的漏洞。照我看是个IE溢出。 [s:70]

没有用过，没有具体的程序要人家怎么分析漏洞啊……至少要看看生成的html的代码嘛

我对这种工具有没有用表示怀疑：
要想用非正常方式发送邮件，就必然有非正常代码，甚至是“恶意代码”，如今邮件在线扫描如此厉害，特别是什么“卡巴斯基”，我觉得好象有点危险。

你现在这个，什么也没有，就说一个程序，这样很难说阿，

OUTLOOK的溢出  可以是HTM  甚至TXT文件也可溢出  俄罗斯的代码  自己去找找吧  很久很久很久以前的溢出了  怎么突然发这个？

如楼上所说,你这个我也见过,也试过,代码是从俄罗斯找到的,看说明是OUTLOOK的溢出,试过手上所有版本,没成功过(PS:没有俄文版测试).不知道楼主所说是否是同一种工具,如果是,我倒可以提供,个人感觉利用价值不大,有点过时.

感觉是windows处理图形时候的溢出程序
很久拉

先说句不好听的 您完全可以问给你程序的那个人 到这里来问 是不是有点摆显的意思呢？

推测条件如下：
第一：一般老外的exp或者国内高手自己写的程序都会写清楚影响程序的版本 这是一种严谨的态度 就算疏忽 也是写all version 至于any version这样的写法和中文注解及语法 至少可以证明该程序的编译者是中国大陆人
第二：说明中说到使用shellcode可以推测至少是个溢出类的 不然仅仅是个code execute的问题是无法具备那么高的权限来反弹端口的 既然可以做成htm 一定是remote
第三：该程序同时影响ie和oe 长期以来同时影响ie和oe的漏洞确实不多 我查阅了一下nsfocus的漏洞资料库 没有得到某一个确切符合这个条件的 不排除是0day
第四：现在我们基本可以将该程序定义为 某个国外的人写的exploit被国内的某人通过某渠道拿到了source code 然后重新汉化编译的版本
第五：shellcode也是一个突破口 目前世面上所有可以搜索到的download executes hellcode中 同时支持2k和xp的版本 只有一个 就是mmiller所写的格式正好和这个完全完全的符合 在使用第二种方法时 t1参数"-"明显是为了避免从mmiller那里下恶作剧程序
第六：如果是0day 那么通过程序的说明中的中文全角标点 可以推断其中文修改编译者的专业素质并不高 那么对代码的修改程度一定不大 此人最多是在国外某irc混个脸熟的人

mmiller的shellcode
http://www.eviloctal.com/forum/read.php?tid-20855-toread-1.html

那么搜索关键字就全出来了
Internet Explorer
outlook express
remote
overflow
exploit

结论：
该程序要么是一个0day 要么就是fool&#39;s day 如果是后者 不知道是他fool你 还是你fool我们
此帖已经没有什么可讨论的价值了 结了

同时感染OE和IE的只有一种可能
就是处理HTML内容的时候有溢出
而HTML本身不可能有问题。那就是里面的内容了
比如flash或者图片
所以我推测还是图片处理上的溢出漏洞

第四：现在我们基本可以将该程序定义为 某个国外的人写的exploit被国内的某人通过某渠道拿到了source code 然后重新汉化编译的版本

这个我可以肯定?

oe和ie原理不同，能同时影响两个，远程溢出而且任何版本，all?
恐怕是不大可能的。xp的oe更新已经有了。mmiller的这个溢出也应该不可以用了。
溢出看有wmf的迹象，同意上面 代码罐头 观点，图片或者flash 类的。
但是觉得可能性也不大。主要是对oe的溢出有牵强。
同意EvilOctal 观点，谁给你的问谁去。
ps: 觉得不大可能是0day