Casey Smith最近在Twitter分享了他的研究成果，执行一段JavaScript代码即可反弹一个Http Shell，很是奇妙，所以就对这个技术做了进一步研究。

本文源自一次与TK闲聊，期间得知成功绕过CFG的经过与细节(参考：[利用Chakra JIT绕过DEP和CFG])。随即出于对技术的兴趣，也抽出一些时间看了相关的东西，结果发现了另一处绕过CFG的位置。所以这篇文章中提到的思路与技术归根结底是来自TK提示的，在此特别感谢。

IE沙箱逃逸是IE浏览器安全研究的一个重要课题，其中有一类漏洞会借助ElevationPolicy设置中的白名单程序的缺陷来完成沙箱逃逸。IE在注册表中有一个和ElevationPolicy类似的名为DragDrop策略设置，这引起了我们的注意。在本文中，笔者将以一个攻击者的视角，尝试各种途径来突破IE沙箱的这一安全策略，通过分析所遇到的障碍，达到对IE沙箱拖拽安全策略进行详细解析的目的。

ActiveX的Fuzzer相当之多，本次我们暂时使用一个老牌但是性能较弱的开源Fuzzer：COMRaider。选择它的原因是它是一个图形化的Fuzzer，界面元素简单。但是说弱则是因为它的测试用例实在太少，而且比较陈旧（但是你可以手动添加）。比它强悍的工具还有很多，例如AxMan Fuzzer，但是AxMan的界面实在是没法截图，所以我还是用这个来演示好了……

本文简要介绍了流行的三个浏览器动态Fuzz工具cross_fuzz、grinder、X-Fuzzer的原理及其优缺点，并提供了一种通过动静结合的方式兼顾可重现性、通用性、高效性、自动化程度高的浏览器fuzz方法。

IE9开始，微软使用了全新的JavaScript引擎—工程代号Charka版本9的JavaScript引擎。而IE8中它的版本还是5，也就是说5到9之间其实没有什么其他版本了，既然版本号跳跃如此之大，那Charka（下均称Jscript 9）到底有什么改进呢？

James Forshaw在2014年11月曾向微软报告过一个Windows Audio Service的本地权限提升漏洞。

Windows Audio Service负责管理系统中所有进程的音频会话。这个服务会把会话参数存储到HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig。

最近国外安全研究人员rotlogix连续曝光了安卓版海豚浏览器（dolphin browser）和水星浏览器（mercury browser）的安全漏洞[1,2]，尽管这两个浏览器在国内并不流行，但其中的远程攻击手法和一系列漏洞组合的利用颇值得玩味，于是对这两个漏洞进行了复现和学习，分享与大家共同进步。

说到ActiveX，则不得不提到COM（组件对象模型）。COM出现时要解决的问题是，“能否把软件做到和硬件一样”，硬件的理想情况是比如有人规定了USB的规范，（Server）提供一个USB接口之后，（Client）只要正确实现了USB就可以让二者相联系，扩展出更多的功能（USB键鼠，U盘，摄像头，等等）。这之中Server（集线器）并不需要知道另一头Client（键盘？鼠标？）具体做啥的，只是知道我（Server）提供给你（Client）一个符合USB规范的接口，你（Client）弄上个东西连接成功就能用，至于你（Client）如何实现就不是我（Server）的事情了。

本文将简要介绍Jscript5.8引擎处理相关代码、字符操作、函数操作的一些内容，下一篇中流砥柱（II）将以同样的方式介绍Jscript 9 （Charka）的处理方式。

本文V.1，V.2两节也将尽量只从脚本的角度来解释部分内容，第三部分将从实例中简单总结一下通用SHELLCODE的实现方法。 下一章脚本先锋IV中，将介绍简单的shellcode分析方式。至于与其他系统安全机制结合起来的内容，“脚本先锋”系列中暂时就不提了，而将留在后续章节中介绍。

接着上一篇的来，本文多为Javascript的脚本阅读和解释，阅读都是自行完成，所以不免可能会出现一些错误或者联想过度的情况，如果你发现了哪儿有问题请重重地拍出来。

回顾一下，前两篇概述了一下IE的以下内容：IE的历史，各个版本新增的功能、简单的HTML渲染逻辑和网站挂马对IE安全带来的挑战。
从这章开始，将继续以网马为契机，逐渐深入讲述IE的漏洞分析与安全对抗的相关知识。 脚本先锋系列将持续4章，前2章内会介绍网马中常见的加密方式和处理对策。后续会介绍对Shellcode的分析，共2章。

1、自动选择默认桌面 2、开始菜单回归 3、Metro应用窗口化 4、虚拟桌面 5、智能分屏 6、全局搜索 7、其它产品新特性 8、Windows10产品新特性总结

三节的内容并不是强联系，需要了解的内容也并不相同，跳过一节并不会影响到其他内容的理解，请根据需要来阅读。