300字范文 > html木马制作教程利用Internet Explorer Object Data漏洞制做全新网页木马

html木马制作教程利用Internet Explorer Object Data漏洞制做全新网页木马

时间：2021-11-21 08:48:04

今年8月20日,微软公布了一个最高严重等级的重要漏洞--Internet Explorer Object数据远程执行漏洞。这对于网页木马爱好者来说可是一件好事，我们可以用这个漏洞来制做一款全新的暂时不会被查杀的木马了。在介绍如何制做这个全新网页木马前我先给大家简单介绍一下该漏洞。

一、漏洞描述

该漏洞内由eEye Digital Security发现并于8月20号公布的，微软同一天也发布了相应的公告。在eEye的网站公布页面/html/Research/Advisories/AD0820.html这个文档中提到，Microsoft Internet Explorer是一款流行的WEB浏览程序，Internet Explorer在处理对象"Object"标记时没有正确处理要被装载的文件参数。

"Object"标记用于插入ActiveX组件等对象到HTML页面。"Object"标记的"Type"属性用于设置或获取对象的MIME类型。通常合法MIME类型包括"plain/text"或"application/hta", "audio/x-mpeg"等。Internet Explorer指定远程对象数据位置的参数没有充分检查被装载的文件属性，攻击者可以构建恶意页面，诱使用户访问来运行恶意页面指定的程序。Windows Internet Explorer由于使用了"Enhanced Security Configuration Mode"模式，默认是使用了"Disable ActiveX"，因此此漏洞在Windows IE级别为中等。

这段描述很专业，不过看不懂的菜鸟可以跳过，直接学制做方法。：-)

二、受影响的系统版本

Microsoft Internet Explorer 6.0

Microsoft Internet Explorer 5.5SP2

Microsoft Internet Explorer 5.5SP1

Microsoft Internet Explorer 5.5

Microsoft Internet Explorer 5.01

Microsoft Internet Explorer 5.0.1SP3

Microsoft Internet Explorer 5.0.1SP2

Microsoft Internet Explorer 5.0.1SP1

Microsoft Internet Explorer 6.0SP1

- Microsoft Windows XP