小资料(40) 2001年 40期 #11.MIME简介   MIME(Multipurpose Internet Mail Extentions),一般译作“多用途的网络邮件扩充协议”。顾名思义,它可以传送多媒体文件,在一封电子邮件中附加各种格式文件一起送出。现在它已经演化成一种指定文件类型(Internet的任何形式的消息:E-mail,Usenet新闻和Web)的通用方法。在使用CGI程序时你可能接触过MIME类型,其中有一行叫作Content-type的语句,它用来指明传递的就是MIME类型的文件(如text/html或text/plain)。   #12.错误的MIME头漏洞的发现   该漏洞是由一个国外安全小组发现的,该小组发现MIME在处理不正常的MIME类型时存在这个问题,攻击者可以创建一个Html格式的E-mail,该E-mail的附件为可执行文件,通过修改MIME头,使IE不能正确处理这个MIME所指定的可执行文件附件。在此,我们来了解一下,IE是如何处理附件的:一般情况下如果附件是文本文件,IE会读它,如果是VIDEO CLIP,IE会查看它;如果附件是图形文件,IE就会显示它;如果附件是一个EXE文件呢?IE会提示用户是否执行!但令人恐惧的是,当攻击者更改MIME类型后,IE就不再提示用户是否执行而直接运行该附件!从而使攻击者加在附件中的程序、攻击命令能够按照攻击者设想的情况进行。大家不妨想像一下,如果前面提到的wincfg.exe不是木马,而是恶意程序,江民炸弹又会怎么样?刹那间,你的硬盘就完蛋了(如果你不懂解法的话)!在Win9X\ME以及WinNT4和Win2000下的Internet Explorer 5.0、5.01、5.5均存在该漏洞,我们常用的微软邮件客户端软件Outlook Express也存在此漏洞。   #13.错误的MIME头漏洞的危害   让我们来看一下如果把上面所说的代码中最后这部分变为下面这样,会产生什么结果呢?   ……   Content-Type: audio/x-wav   name="hello.vbs"   Content-Transfer-Encoding: quoted-printable   Content-ID:   msgbox(“你的计算机好危险哦”)    说明:在此可加上任意的VBS的代码   ……   将该程序编辑存为eml格式的文件,我们运行它,可以看到屏幕上打开一个窗体,显示“你的计算机好危险哦”。对于这种利用错误的MIME头漏调用VBS文件的形式,会有多大危害呢?想一想,当初的爱虫病毒是怎么样的?爱虫病毒还需要骗你执行才使你中毒,但一旦和错误MIME头漏洞结合起来,就根本不需要你执行了,只要你收了这封信且阅读了它,你就中招了。现在流行的欢乐时光病毒很可怕吧?如果它和错误的MIME头漏洞结合,后果会怎样,你能告诉我吗?   不仅如此,MIME还可以与command、cmd命令相结合,进行进一步的攻击。   对于Win9X用户来说,只要你的IE浏览器是5.0、5.01、5.5之中的任意一个版本,在没打补丁的情况下,攻击者完全可以利用欺骗的方式让你打开含有攻击命令的、带有错误MIME头的E-mail文件,达到攻击的目的。事实上,format、deletetree、move等一切MS-DOS下的命令均可加载其中。   而对于WinNT、Win2000用户,尤其是那些不安分守己且网络安全知识贫乏的系统管理员,利用公司的主服务器上网,攻击者可以给他发封信,然后利用在以上所示代码中加上诸如:   net user test 1234567/add   net localgroup administrators test/add   这样的命令增加用户或者超级用户权限,达到进一步入侵的目的。