还记得在去年的一段时间，我集中曝光了多个知名邮件客户端软件的安全漏洞，这些 安全漏洞至今还有一些没有被修补，不知道这些软件的开发人员是怎么想的，等到用户抛弃 这些软件的时候，他们是不是才会后悔莫及呢？
今天给大家带来的是漏洞还是关于邮件客户端软件的，本次的主角是一个名为“The Bat!”的邮件客户端软件，该软件在国外的用户量较大。本次测试的“The Bat!”版本为 5. 0. 10，如图1所示。

我们知道一般当我们将某个邮件客户端软件安装进入我们自己的系统后，软件后修改 注册表相应键值，使得该软件成为我们收发电子邮件的默认程序。举个简单的例子，我们现 在打开windows系统自带的正浏览器，在其地址栏中输入mailto:test@test. com后回车， 此刻系统就会自动启动你安装的邮件客户端软件。之所以邮件客户端软件能够实现自动启 动，它的原理就是借助了向系统注册表中注册一个对‘^^丨如”协议的响应键值，该键值一 般被称为“mailto URI Handle”，它所对应的注册表键值为：HKEY_CLASSES_ROOT\mailto， 该键值下面有一'个关键的子键值 “HKEY_CLASSES_ROOT\mailto\shell\open\command”，它代 表了哪一个程序来作为系统的默认邮件处理程序，如图2所示。

图2中我们看到，这里注册的键值为“〃C:\Program Files\The Bat!\thebat. exe^
/nologo/o:"%r'这段数值其实分为两个部分，第一个部分是什么程序来作为系统默认邮 件处理程序，这里是 “C:\Program Files\The Batl\thebat.exe”，也就是说是 The Bat! 这个程序来作为系统默认邮件处理程序。第二部分是“斤01叫0/0:"%1"”，这代表着用什么 参数来启动系统的默认邮件处理程序。这里参数的作用主要是当用户点击mailto这样的协 议时，系统会将mailt0后的数值作为参数来传递到前面 Vnologo /0:"%1"”的“％1”处， 这样，邮件客户端软件就能够获得到此刻要向谁发送电子邮件。说了这么多，我们来做一个 演示以便于读者理解。
首先，编写一个网页其中的代码如下：
<a href=mailto: aiwuyan@jybase.net>点击这里〈/a>
这段代码很简单，就是一个超级链接，该超级链接的目标地址为 “maito:aiwuyan@aiwuyan.com”。现在，保存该网页为mail.htm，并将其上传到本地搭建 的^^3服务目录下。打开浏览器，输入网址http://127. 0. 0. 1/mail, htm,打开网页后，我 们点击其中的“点击这里”超级链接，效果如图3所示。
系统自动启动了作6 8&1!程序，同时，
人地址正好就是我们在网页中设定的邮件地式
有了上面这个案例，大家可能就比较理解我们前面对注册表中那个键值的解释。现在， 一切看起来貌似很正常，但我们却在这里发现了一个问题。
The 8&力!在注册启动参数的时候，它的“o”这个参数具有本地权限，我们可以启动 Windows系统的CMD窗口，并切换到The Bat!的安装目录下，我们测试一下“o”这个参数， 我们在0咖窗口输入的命令参数为“thebat /o:"dd"”。
回车后，我们发现系统启动了 The Bat!程序，同时，The Bat!程序给出了一个警告 提示框。
这个警告提示框提醒我们难道说作68站！的“0”参数可以起到对本地系统文件 查找的功能，那么它会不会有更好的功能呢？
现在，还是回到windows窗口中，我们这一次传递给作68站！的“0”参数一个真实程序
的完整路径名称，这里是Windows系统自带的计算器程序路径名，看一看会有什么效果发生。
再次回车，我们发现一个奇异的事情发生了，系统在启动了 The Bat!程序后，同时 也启动了计算器程序！

The Bat!程序的“o”参数看起来执行本地系统上任意程序的功能，这就可以利用 the bat！程序的“o”参数实现远程在用户系统上运行任意程序！但是我们的目的是想要实现“远程”在用户系统上执行，这样漏洞的影响力才够大。要实现这个目的， 方法其实很简单，我们可以建立一个网页文件，在其中输入这样的代码：
<a href=’ mailto: aiwuyan@aiwuyan. com〃 /o: vc: \windows\system32\calc. exe’ >点击这里 〈/a>保存上面的代码为mail•htm，并上传mail•htm到本地搭建的Web服务目录下，现在我 们用浏览器打开脈^伽所在的网址，用鼠标点击其中的“点击这里”超级链接，你就会 发现计算器程序连同The Bat!程序一起启动了 ！