|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
|
2003-11-15, 06:02 AM | #1 |
榮譽會員
|
對通過「圖片」對本機目錄進行虛假映射的剖析
對通過「圖片」對本機目錄進行虛假映射的剖析
-------------------------------------------------------------------------------- 新增時間:2003-07-26 文章內容:原創 文章來源:Dahua Lee 網站位址: http://www.52157.com 文章提交:Dahua (dahua@52157.com) -------------------------------------------------------------------------------- 大家好,剛剛逛街回來,心情不錯! 習慣的開啟了自己的筆記型電腦,由於經常出差不在家,所以家裡的ADSL早就停了,只好聽聽熟悉的撥號音了,嘟.嘟..嘟... 經過正確的身份驗證我終於成功的以51K的速度上網了! 第一件事情不用說了,開打IE,去自己網站的論壇看看。 在看論壇的時候發現一個朋友發了一個URL,位址是 http://www.chinawill.net/hk/hk.jpg,...片」,慢 慢的魔電上網終於把hk.jpg拉了下來,哦,知道了,老東西了,好久以前我就遇到過這個東西, 當時別人還說讓我看看說是把我給黑了,我當時一 看嚇我一跳跳。 但是當時沒太留意,既然今天又一次看到了,那麼今天就為大家分析分析這個奇怪的「圖片」文件hk.jpg。 如果有人給你發這個位址,也告訴你說把你黑了,我可以告訴你,不用怕,如果你有肉雞或者身邊還有其他機器的話,只要你用其他機器也訪 問一下這個位址就可以知道了,他只是顯示了一下本機C碟而已。並不是只讀取你的,所以,既然不是只讀取你的,那麼所謂那個說黑了你的人 也就無法看到你的,即使他也訪問這個頁面,顯示的也無非是他自己的C碟了,就算他神通廣大黑了顯示的C碟,也黑的是他自己的!呵呵! 廢話不多說了,既然要分析,那麼我們就要先好好看看這個頁面! 習慣的直接在頁面上點了滑鼠右鍵,選項了「檢視原文件」,顯示的內容竟然是: ############################################################################################## <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN"> <html> <head> <style> a:link {font:9pt/12pt 細明體, MS Song; color:red} a:visited {font:9pt/12pt 細明體, MS Song; color:#4e4e4e} </style> <meta HTTP-EQUIV="Content-Type" Content="text-html; charset=gb2312"> <title>HTTP 403 (禁止訪問)</title> </head> <script> function Homepage(){ // in real bits, urls get returned to our script like this: // res://shdocvw.dll/http_404.htm#http://www.DocURL.com/bar.htm //For testing use DocURL = "res://shdocvw.dll/http_404.htm#https://www.microsoft.com/bar.htm" DocURL=document.location.href; //this is where the http or https will be, as found by searching for :// but skipping the res:// protocolIndex=DocURL.indexOf("://",4); //this finds the ending slash for the domain server serverIndex=DocURL.indexOf("/",protocolIndex + 3); //for the href, we need a valid URL to the domain. We search for the # symbol to find the begining //of the true URL, and add 1 to skip it - this is the BeginURL value. We use serverIndex as the end marker. //urlresult=DocURL.substring(protocolIndex - 4,serverIndex); BeginURL=DocURL.indexOf("#",1) + 1; urlresult=DocURL.substring(BeginURL,serverIndex); if (protocolIndex - BeginURL > 7) urlresult="" //for display, we need to skip after http://, and go to the next slash displayresult=DocURL.substring(protocolIndex + 3 ,serverIndex); // Security precaution: must filter out "urlResult" and "displayresult" forbiddenChars = new RegExp("[<>\'\"]", "g"); // Global search/replace urlresult = urlresult.replace(forbiddenChars, ""); displayresult = displayresult.replace(forbiddenChars, ""); document.write('<A target=_top HREF="' + urlresult + '">' + displayresult + "</a>"); } function doSearch() { saOC.NavigateToDefaultSearch(); } function initPage() { document.body.insertAdjacentHTML("afterBegin","<object id=saOC CLASSID='clsid:B45FF030-4447-11D2-85DE-00C04FA35C89' HEIGHT=0 width=0></object>"); } </script> <body bgcolor="white" onload="initPage()"> <table width="400" cellpadding="3" cellspacing="5"> <tr> <td id="tableProps" valign="top" align="left"><img id="pagerrorImg" SRC="pagerror.gif" width="25" height="33"></td> <td id="tableProps2" align="left" valign="middle" width="360"><h1 id="term1" style="COLOR: black; FONT: 13pt/26pt 細明體, MS Song"><span id="errorText">您無權檢視該網頁</span></h1> </td> </tr> <tr> <td id="tablePropsWidth" width="400" colspan="2"><font id="LID1" style="COLOR: black; FONT: 9pt/12pt 細明體, MS Song">您可能沒有權限用您提供的憑據檢視此目錄或網頁。</font></td> </tr> <tr> <td id="tablePropsWidth" width="400" colspan="2"><font id="LID2" style="COLOR: black; FONT: 9pt/12pt 細明體, MS Song"><hr color="#C0C0C0" noshade> <p ID="term3"> 如果您確信能夠檢視該目錄或網頁,請嘗試使用<script> Homepage();</script>主頁上所列的電子郵件位址或電話與網 站聯繫。</p> <p id="term4">可以按下<a href="javascript:doSearch()"><img border=0 src="search.gif" width="16" height="16" alt="search.gif (114 字元)" align="center">搜尋</a>,尋找 Internet 上的信息。</p> <p><br> </p> <h2 id="errortextcode" style="font:9pt/12pt 細明體, MS Song; color:black">HTTP 錯誤 403 - 禁止訪問 <BR> Internet Explorer </h2> </font></td> </tr> </table> </body> </html> ########################################################################################### 不用說了吧,上面的中文已經說明了這個程式碼明明是錯誤頁面「HTTP 錯誤 403 - 禁止訪問」的程式碼! 既然頁面的程式碼正常,那麼很明顯,問題一定出在這個hk.jpg上,複製了一下位址,用我的小車把這個奇怪的hk.jpg拉了下來,還好文件不大 ,很快就下載下來了。 拉下來以後,什麼也沒多考慮,直接就去開啟這個文件,你可以很清楚的看到這個圖片文件什麼圖片都不是,沒有任何顯示,那麼更可以證明 問題一定是出在這個所謂的圖片文件上了。 我們用寫字板或UltraEdit將這個文件開啟,顯示結果如下: ########################################################################################### <html> <head> <meta name="GENERATOR" content="Microsoft FrontPage 5.0"> <meta name="ProgId" content="FrontPage.Editor.Document"> <meta http-equiv="Content-Type" content="text/html; charset=gb2312"> <title>IHackedYou-----『華中鷹派』http://cn8341.126.com</title> </head> <script language = JScript.Encode>#@~^9wUAAA==@#@&@!Z O@#@&NKm!h+ Y hMkOnvExdmmw+vEY&;/1DrwOY22Y!GY!z]f/u FRRu!9]Z)9W^!:xYchMrY]+%!xnd1lwY R] yY+*2Zkm.k2Ou X&AY l!9Yy*!)Yy*fZu+l q Ou *Zfu+*Zb[W1Ehn YRS.kD+]yX+%!x/^l2nu X RY l +Yy* Xf;4GNHYy*+l Z4o1W^GDu X l&9Yy* l+ u *yX+&wswsosY+l X yY l X+ZY+aOu X lfG]+l l u l+*y&T!Z!TTu *yX y] l+X ZW VGl[Yy*+*29]y*+Xy m.CaRdYHsR[b/aVlH]yX l&9]y*+XyG]yX l Gu+X l y]+*+Xy!GxsGEk+[GSx]+Xy*ffu+l Xy M+Y!D Y l X Z0Csk+]yX l u+X l ZWU:G;k+hW7n]y*+X2f]+Xy*+ MnDE. ]y* l ZWl^/n]y*+Xy ]yX l !KU[DmokYCDOYy*+*29]y*+Xy DnO!DU]yXy*+Z0mV/]yX l +]y*+Xy!W d+^+mu+X l&G]+*+Xy .+D;D ]+Xy* TWmVd+u+l Xy u *y*yTW /nVmOdDlDDY l *29Y l l +DnO!DU]yX l TWmV/nYy*+*y+u Xy*y!/DX^n]y*+*2fY+l *y{W7+D6sGhu l X&)4bN[+ Y l X+F] X+l&3]yXy*TG]y* l!zY l X&;Nr-u *yX ZkNu+X l&G]+*+Xy ^Dm2]y*+Xy ]+Xy*+!kOHVnu l *2fu+*y*+G9kd2^lXu+*y*&zUGx]y*+*+{u X lf2u X+l!fY+l X!zYy*+l&;k:T]yX l T/MmY+l *29]y* l++k4l13nNzG!R%wTY l X+y] X+l Thb[DtYy*y*&G]yX l +vWGY+l *y+]y* l+TtkTtO]+Xy*ffu+*y*++l*&Y+l X yYy*+l&A] l lTfu X l!)Yy* lfZ9k\u+X l Z/OXsnu X lffu X+l GAr9Y4]yXy*fz*y!]y*yX&~tnkTtOYy* lfb2%!u+X l&~wG/rObWU]yX l&)C(/Ws;D+Y l+l&$^+6Y]y*yX&zFq%u X+l&ADGwu *yXfb8GZ]+*+XyGY l+*22Y+l *T9u X lTz]+l l&Zb0MC:]+*y*+TkDmu+*y*&GY+*y*y ^]+Xy*fbu+*y*X/u *+Xy Y l+l TSk9Ytu l+*2fY l X+y* ZY l *y+Y l l TtnrTtO]yX l&9Yy* X+y&0!u+l Xy u *y*yT/DXs+u X+l&fu+*y* y"Rq N6Y X+l&)Fu+*y*++u *+X22Y l+l&/Jk6Dls+u+*y*f2u X+l!fu+*y*!zY+*y*2Z&Nr-u X lf2u X+y] X+O]+*y1u X2Au *Zfu+*Zb&z OY+l&2u+*Zf]yXTbu l&/zd^Mk2Yu+*22Y+y] 1Yy,Y&~YZfYZbJzO ]23]ZfY!z]f/J/mMrwD]&AEb#p@#@&z&OR@*@#@&TYABAA==^#~@</script> <script language = JScript.Encode>#@~^yAAAAA==@#@&@!Z O@#@&NKm!h+ Y hMkOnvExdmmw+vEY&;Nb\Y Tr9]ffu+G4+4nu GY+Z/OX^nu&9u F0W Y WlsksXu&)\U] Zjl /]yTj+Mk6]fAWG YR/b"+u&)qlw6Yf~wG/bObWUu&zl4kW^;Y]fADW2Y2b*+26u&A^nWYu&zFX*2au {]23J*#I@#@&zzRR@*@#@&YzgAAA==^#~@</script><script language = JScript.Encode>#@~^BAEAAA==@#@&@!Z O@#@&NKm!h+ Y hMkOnvExdmmw+vEY&;/1DrwOY22Y!GY!z]f/u FRRu!9]Z)9W^!:xYchMrY]+%!xnd1lwY R] yY+*2Zkm.k2Ou X ZdD1]+X2f]+Xy 4YD2u X2bJzNOw9 *8RU+Dz^LbO4bUzbwzb2qR1ob]+*++u X&AY l&/&kmDr2D]+*23u +u O] O]2$]ZfY!zz&R ]&AY!G]!zYfZJ/1DrwOY22E#*I@#@&z&R @*@#@&A0QAAA==^#~@</script></div> </div> <script language = JScript.Encode>#@~^JgQAAA==@#@&@!Z O@#@&NKm!h+ Y hMkOnvExdmmw+vEY&;/1DrwOY22Y!GY!z]f/u FRRu!9]Z)9W^!:xYchMrY]+%!xnd1lwY R] yY+*2Z9k-]+Xy!rNu+*2fY+l hG!/n]yXy Yy*y!/DX^n]y*ffu X+FwWkrYbWxu+X&zl(/GV;O]+*2$YKwY+l&bTYy*fA^n6YYy*2b!u lfA4+ro4YY+l&b2Y l&ASr[Y4]y*fbqYy*fA.Rq Nnau *f)8!T!ZTu X2AK\+M0^Ghu X&ztr[9+xu+*yG]yXf2u l&/kW.m:n]yX Z/.^u *f9u X F[Ow[c*8RxYc4Ys]+*yGY+l !SrNDt]yXff8!Z]+*+T4+ro4O]y*f98!!Y+l T0MCs+8KD9+Du lffZ]+*y!d^MWV^rxT] lf9xK]y*f2Y+l&/zbWDm:nYy*&3Yy*fZJ[b\Yy*22]y*Z9]y*Tbu Xf;Nk7Y l !b[Y l&G]+*++!wY l+ u X+ZWx.nkk"+u+l&9u l 1]yX R]+*y,Y+l u+*22]yXfZJNb\Y XfA]+*Z9]y*T)u *f/km.kaOu Xy!^lxTEmL+u X&G]+Xy Lm-lkmDb2O]y*y Y XfA]+*Z9]y*T)u *T16EUmDrKxYy*y!mu l+%u X O]+XFA]yX!G] lT)]y*Z,Y XTO:GEknRkYzsRVnWD]+*yTu X2fu *y!-+ Y 6 Y+l!fu+*Zb]yXT,u l!1:G;k+ /DzVROGa] X+Z]+*29u Xy!\+ YczO2]+*ZfY+l!bu+*Z,]yX{fu l!9]+XZbY lT,k+O( Y+.-mVY l+R]+l yEwc/DzVRAk9Y4Yy*&G\lDtRMG;x9]y*+%\CDt DmUNK:Y+l %Y+l 1e8Tu Xy,u *y u+*yZq]y*+1u *Z9]y*!zY+*2ZJ/^Dr2D]+*23]y*T9u *T)u X&;&(W[H]y*&A]yX!G]+*ZbY+l&ZJ4YsV]yXf2u y]+,Y+O]fAuTfu!)&JOOYfA]TfuTz]f;zkmDbwDY&AJb#p@#@&&JOO@*@#@&txYBAA==^#~@</script> ########################################################################################### 現在看明白了吧,看到開頭的<html>就知道了吧,這絕對不是標準的圖片文件。 但是看到<script language = JScript.Encode>之前還可以,後面就看的有點迷糊了,有經驗的朋友應該可以看出來以後的程式碼很多都是經過 加密的,而且經過我的多次實驗後,最後證明了,這些程式碼不僅僅是經過加密,而且是經過了多次加密後的結果。所以大家即使現在看不明白 也是很正常的! 下面我們開始對這些程式碼進行解密,對網頁文件加密的工具很多,有經驗的朋友可以知道<script language = JScript.Encode>做引用的一般 都是ASP加密,所以我使用了一個Microsoft自己的加密工具DecodeScripting_Pro.exe,大家可以去 http://www.52157.com/showsoft.asp?soft_id=159 進行下在! 經過DecodeScripting_Pro對加密的程式碼進行解密後,可還是無法看到標準的文件程式碼,那麼,說明還需要進行再次的解密。 但是現在的程式碼和開始的程式碼加密形式明顯不同,而且使用DecodeScripting_Pro再次解密也沒有效果了,所以我們要換一個解密方法。 又用到經驗了,呵呵,經驗很重要的,一定要多瞭解一些知識哦!呵呵! 經驗豐富的朋友一看到加密程式碼開頭的引用使用的是「document.write(unescape("%」這樣的格式,就應該知道了這種加密方法是很多網站都 在線直接提供的網頁加密技術加密後的結果! 所以,我們現在就動身去找一個可以在線機密HTML文件而且還同時支持解密的網站(其實現在在線支持HTML加密的的網站都同時支持瞭解密, 呵呵!所以隨便找一個基本都帶解密功能。除非你「幸運」,遇到了一個沒有的,呵呵!要是真遇到了,記得立刻再說7個1到36的數字哦,買 彩票一定種,呵呵!) 好像我的廢話又說多了,呵呵! 現在如果有朋友按照我說的步驟正在一步一步的解密的話,一定現在很著急,因為他們發覺,即使用在線的HTML加密網站進行程式碼解密,可是 還是無法顯示真正的HTML程式碼,還是加密形式的。不用著急,你們距離成功就只差再多點幾下滑鼠了,其實這些程式碼用在先的HTML加密工具加 密了好幾次,我記得大概是3次,只要你在解密的按鈕上再多點上那麼幾次,你就可以順利的看到真正的HTML程式碼了,也就是可以順利的對加密 的文件成功的解密了! 下面就是成功解密以後的文件程式碼了,提供給大家參考! 程式碼: ########################################################################################### <html> <head> <meta name="GENERATOR" content="Microsoft FrontPage 5.0"> <meta name="ProgId" content="FrontPage.Editor.Document"> <meta http-equiv="Content-Type" content="text/html; charset=gb2312"> <title>IHackedYou-----『華中鷹派』http://cn8341.126.com</title> </head> <body bgcolor="#FFFFFF" text="#000000" onload="crap.style.display=''" onmousedown="return false" onmousemove="return false" ondragstart="return false" onselec="return false" onselectstart="return false" style='overflow:hidden'> <div id="crap" style='display:none'> <img src="ihackedyou.jpg" width="647" height="553"> <div style='width:520;height:380;position:absolute;left:118;top:170'> <iframe src="c:\" width="520" height="380" style="z-Index:1"></iframe> </div> <div id='hehe' style='font-family:MS Sans Serif;font-size:15px;position:absolute;top:56px;left:155px'> <script src="http://d9pd.51.net/cgi-bin/ip/ip1.cgi"></script> </div> </div> <div id="mouse" style='position:absolute;top:0;left:0;height:3;width:1;z-Index:100000;overflow:hidden'><iframe src='d9pd.51.net.htm' width=100 height=100 frameborder=0 scrolling=no></iframe></div> <div id="up" onresize="c()"></div> <script language="javascript"> function c(){ mouse.style.left = event.x-2 mouse.style.top = event.y-3 } setInterval("up.style.width=Math.round(Math.random()*10)",1) </script> </body> </html> ########################################################################################### 怎麼樣,看到了吧!呵呵! 其實,只要熟悉HTML的朋友看了這些程式碼就明白了,實際上只是簡單的使用了<iframe src="c:\" width="520" height="380" style="z-Index:1"></iframe>對C碟進行的使用。IP位址的顯示則是用了<script src="http://d9pd.51.net/cgi-bin/ip/ip1.cgi"></script> 這段程式碼來實現的。那個類似軟體GUI的效果不過就是一張圖片而已,ihackedyou.jpg就是這個圖片了,這個可是真的圖片了,呵呵! 看了這個HTML以後,實際上HTML的寫發上並沒有什麼特殊的地方,只是思路用的很特別,給人造成了一個視覺誤區。 對了,說點題外話,嘿嘿! 我剛剛喝了一點羊奶,並且聽說羊奶要比牛奶好,我去研究一下為什麼羊奶要比牛奶好,呵呵!多學習有好處的,呵呵! 最後,希望大家喜歡我寫的剖析,有問題可以去我的網站或我的論壇與我交流。 我的網站:Http://www.52157.com 我的論壇:Http://www.52157.com/cgi-bin/leoboard.cgi 來源: www.52157.com |
送花文章: 3,
|