WooYun.org

1. 首先是漏洞的背景，见 http://**.**.**.**/test/all/readme.htm
由于漏洞具体利用成因，我已经在 http://**.**.**.**/bugs/wooyun-2010-0175902 里详细描述，此处不再多说。
2. 这个小问题，会导致我们可以通过
通过 location.href="vbefile:/../../../已知路径/1.js" 的方式来调用
wscript.exe "vbefile:/../../../已知路径/1.js"
也就是让系统的wscript来执行一个脚本文件。
3. 这里采用浏览器的缓存机制来向本地写入恶意的缓存文件，再通过location.href="vbefile:/../../../缓存文件"的方式来执行恶意缓存文件。
首先是要得到缓存文件的路径：只要我们知道当前客户端用户名，就可以知道这个缓存目录的路径，
c:/Users/用户名/AppData/Local/Temp/Maxthon3Cache/Temp/Webkit/Cache
然后是缓存文件的文件名，文件名是在
f_000000 -> f_ffffff 范围内依次递增。
虽然 f_000000 -> f_ffffff 的范围看似很大，而实际上能被用到的范围却相对较小，本人常年在使用的chrome，cache目录里 f的最大值仅仅达到6万。
4. 因此，在我们知道用户名的情况下，我们可以首先创建恶意的缓存文件到Cache目录下，然后通过
location.href='vbefile:/../../../../../../../../../Users/用户名/AppData/Local/Temp/Maxthon3Cache/Temp/Webkit/Cache/缓存文件名" //E:jscript /B "';
来执行缓存文件里的恶意代码。
虽然我们并不知道缓存文件名，但是由于缓存文件名是递增的，这可以让我们进行暴力尝试执行。
具体见利用代码。
------------------------
如何得到用户名？
------------------------
1. 找到一个傲游的XSS，
傲游在新的版本，似乎加入了XSS的过滤功能? 不过这里还是可以绕过防护。
http://**.**.**.**/security/safe/?url=http://**.**.**.**/?%3Cimg/src=%221%22/onerror=location=location.hash.slice(1)//#javascript:alert(1);void/**/0;
2. 通过XSS，我们就可以获得Mx3data路径

var getPath=maxthon.system.Environment.getFolderPath('Mx3data');

从路径里，可以得到用户名