由错误MIME漏洞的利用想到的

  由错误MIME漏洞的利用想到的

  由错误MIME漏洞的利用想到的......

  ---IE Object Data 数据远程执行漏洞的利用

  作者:冰狐浪子

  邮箱:icyfox@eyou.com

  主页:www.godog.y365.com

  测试代码://y365.com/godog/eml/

  声明:因为本文所讲方法破坏性极大,可以和错误MIME漏洞及com.ms.activeX.ActiveXComponent漏洞相媲美,因此请不要利用本文所讲内容用于破坏!否则后果自负!

  网友braveboy3来信问我一些问题,信中提到Internet Explorer Object数据远程执行漏洞,我急忙驱猫上网查看,从绿盟科技上找到了漏洞资料,同时请braveboy3给了一个测试该漏洞的网页。

  下面我结合自己的测试简单介绍一下这个漏洞:

  由于IE处理对象标记OBJECT的DATA标签时没有正确处理要被装载的文件参数,当"OBJECT"标记中用于设置对象的MIME类型的"Type"属性不为空时,IE会根据标记中的"Type"值装载文件,此时若控件不安全则IE会提示是否执行,测试代码如下:

  但当"Type"属性为空时,IE会根据服务器返回的HTTP头中的Content-Type来处理数据,此时却没有充分检查被装载的文件属性,也就是说如果服务器返回的HTTP头中的Content-Type是application/hta等,那么脚本就会绕过安全区域限制而能够执行。(见网友braveboy3提供的测试网页://202.113.125.60/pic/test/test.html)

  看到上面的介绍相信大家一定会想到通过更改服务器的MIME映射为:扩展名.hta对应application/hta来利用此漏洞,;而熟悉ASP编程的朋友可能会想到通过用“<%response.contenttype=>”这条语句来设置MIME类型而利用该漏洞(也可用其他的动态网页语言如:PHP等)。事实上网上此漏洞的利用方法也多为上面两种方法。可是大多数网友并没有自己的服务器,而且现在的免费空间却鲜有支持ASP或其他动态网页语言的,所以此漏洞利用起来有点困难(老鸟例外,有肉鸡呀!呵呵....)

  怎么办?难道我们只有眼睁睁的看着漏洞从眼皮底下走过?NO!那不是“黑客”行为!

  大家对错误MIME漏洞耳熟能详了吧?它的利用借助了eml格式的文件。大家一定还记得“Content-Type: audio/x-wav;”这句代码吧?它就是用于设置MIME类型的!是不是想到了点什么?对把它改成“Content-Type: application/hta;”;可怎样设置OBJECT的DATA标签的URL地址呢?看MIME漏洞利用中的这句“

  打开test.htm文件就可以看到结果!

  /*和*/之间的内容是注释可去掉,可以参照《黑客防线》第九期“无坚不摧的杀手锏--利用Windows帮助文件漏洞运行木马”一文,在不使用com.ms.activeX.ActiveXComponent漏洞(此漏洞早已出现,可能多数已打补丁)情况下,下载执行木马程序。