WooYun.org

Thinkpad的驱动在线安装控件。

安装后，系统会安装一些ActiveX控件。

通过对http://think.lenovo.com.cn/webdrivercd/four.aspx?sn=428223CR9HFL87里的JS代码进行分析，摸清楚activex这些函数的用法后，可知结合该控件所提供的AppendExtraDriver、DownloadDriver、GetCurrentDriverPath以及OpenItemFilePath函数可以导致远程命令执行。
具体的利用代码（本地测试代码）见“测试代码部分”
代码工作流程如下：
1. 利用AppendExtraDriver追加一个驱动，驱动编号为0，驱动程序的路径为我们自己编写的 1.js文件。
2. 然后利用DownloadDriver函数来下载编号为0的驱动，驱动会下载至本地目录中。
3. 利用GetCurrentDriverPath函数获取驱动下载的目录，找到1.js所在的路径。
4. 利用OpenItemFilePath函数执行1.js
5. 1.js 内容为：

WScript.CreateObject("WScript.Shell").Run("C:\\windows\\system32\\calc.exe");

这里为了演示，仅执行calc.exe，实则可以执行任意命令。
此外，默认情况下，对于一个联想的用户，并且使用过该控件的情况下， IE会允许该用户在lenovo.com.cn下调用该控件（因为用户之前为了正常使用，会允许lenovo.com.cn），
而我们如果在自己的“域名”下执行上面的代码，则会出现以下提示：

为了避免需要让用户去“点”才能执行，可以找一个联想域下的XSS来避开这个限制。

http://ask.lenovo.com.cn/index.php/Forum/home/uid/616509#'><\/script><script>alert(1);//