史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > Hacker/Cracker 及加解密技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2005-12-12, 12:23 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 從動網的網頁掛木馬漏洞看網頁木馬防範

動網最近新出的前台管理員、至頂漏洞詳細大家都已經很熟悉了。


禍不單行,前不久動網又爆出了掛馬漏洞。相對於前面提到的漏洞來說,掛馬漏洞的危害更大——無需取得任何權限,即可在論壇上連上網路頁木馬,直接危害到廣大線人的安全。


在這裡我將簡單介紹一下掛馬漏洞的原理和利用方法,以及對於相應網頁木馬的防範方法。希望廣大動網論壇斑竹早日打好修正檔,免得自己的論壇變成別人利用的工具。


  此次攻擊的檔案類型屬於跨站攻擊,在動網6.0的時候也出現過這種檔案類型的cookies收集漏洞。


原理是使動網的使用其他網站的惡意頁面,實習跨站攻擊。動網6.0的時候是通過偽造上傳頭像的方法收集用戶的cookies,而這次我們把目標瞄準了個人資料的個人主頁:
先註冊個用戶,在個人主頁那個空中填寫
以後只要你參與的帖子都會自動使用惡意網站,做廣告、掛木馬、拿cookie...等等,幹什麼都行。不難想像,只要在熱門貼或者置頂貼上回覆一下,危害將有多大。



說了利用方法,我們再來看看導致漏洞的原因。開啟reg.asp(動網註冊頁面)檢視源程序! UserIM=checkreal(Request.form("homepage")) &"|||"& checkreal(Request.form("OICQ")) &"|||"& checkreal(Request.form("ICQ")) &"|||"& checkreal(Request.form("msn")) &"|||"& checkreal(Request.form("yahoo")) &"|||"& checkreal(Request.form("aim")) &"|||"& checkreal(Request.form("uc"))
分析動網資料庫才明白 UserIM 是TEXT檔案類型用來儲存於 主頁,OICQ,ICQ,msn,yahoo,aim,uc 儲存於格式 主頁|||OICQ|||ICQ|||msn|||yahoo|||aim|||uc。homepage 就是註冊時的主頁選項,(Request.form("homepage")) 從from表單得到資料 ,checkreal 是不是過濾呢,找到看了一下,不是過濾函數. 看來沒有對 homepage 處理好!
從分析步驟中可能看出是對 homepage 沒有處理好, 下面我們寫一個程序來處理一下 homepage 的輸入。
UserIM=checkreal(Request.form("homepage")) &"|||"& checkreal(Request.form("OICQ")) &"|||"& checkreal(Request.form("ICQ")) &"|||"& checkreal(Request.form("msn")) &"|||"& checkreal(Request.form("yahoo")) &"|||"& checkreal(Request.form("aim")) &"|||"& checkreal(Request.form("uc"))
都沒處理。一個一個變數去過濾太麻煩我們直接對 UserIM 進入過濾就可以了。在reg.asp 最下面加一個過濾函數","過濾")
fString=replace(fString,"\","過濾")
fString=replace(fString,"--","過濾")
fString=replace(fString,"'","過濾")
fString=replace(fString," ","過濾")
fString=replace(fString,"%","過濾")
'fString=replace(fString,CHR(34),""")
fString=replace(fString,vbCrlf,"")
HTMLEncode2=fString
end function
%>
接著reg.asp中用到 UserIM的有兩處.尋找到 "UserIM=" 在這條語句之後加入一條語句UserIM=HTMLEncode2(UserIM) 到此reg.asp文件過濾完了!
當然還有別的文件也用到了UserIM:
1,註冊的時候,
2,註冊之後可以修改個人訊息,
3,管理員在後台修改個人訊息
補的方式也都一樣,
modifyadd.asp 是修改個人訊息時用的文件。相同的步驟:
1,加上過濾函數
2,尋找到 "UserIM=" 在這條語句之後加入一條語句
UserIM=HTMLEncode2(UserIM)
考慮到這個漏洞的巨大危害,光靠論壇斑竹打修正檔是不夠的。作為線人也應該行動起來,熟悉一般網頁木馬的中毒症狀,未雨綢繆,防範於未然。
  我們先來看一下目前流行網頁木馬的種類及其症狀:
1. Mshta網頁木馬:一般裝防火牆的朋友會發現要求mshta訪問網路,然後會彈出一個空白的asp頁面。這個漏洞還是比較老的,但是做為第一個影響xp的ie漏洞還是有很大的危害
2. Chm網頁木馬:最近比較流行,中毒情況是彈出一個空白的求助文件。同時這個漏洞還很容易和其他漏洞結合。它是利用chm文件的漏洞實現木馬下載的,所以大家在看chm求助文件時同樣要小心。



3. Js網頁木馬:IE會莫名奇妙的僵死,甚至整個系統僵死幾秒鍾。很容易判別。



4. Xp2溢位:在我的blog:linkboy.3322.org上就有這樣的溢位程式碼,大家可以看一下,同樣會造成系統的不正常僵死。
  說了4個檔案類型的網頁木馬中毒狀況,我們在看一下防範方法,有效率90%以上,可以防止90%以上木馬在你的電腦上被執行,甚至殺毒軟體發現不了的木馬都可以禁止執行。先說一下原理。



現在網頁木馬無非有以下幾種方式中到你的機器裡
1.把木馬文件改成BMP文件,然後配合你機器裡的DEBUG來還原成EXE,網上存在該木馬20%


2.下載一個TXT文件到你機器,然後裡面有具體的FTP位址,FTP連上他們有木馬的機器下載木馬,網上存在該木馬20%(mshta變種)


3.也是最常用的方式,下載一個HTA文件,然後用網頁控件解釋器來還原木馬。該木馬在網上存在30%以上(mshta網頁木馬)


4.採用JS指令碼,用VBS指令碼來執行木馬文件,該型木馬偷QQ的比較多,偷傳奇的少,大概占30%左右
知道了原理那就開始防範,首先把系統檔案下的mshta.exe文件改名。然後將註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ 下為Active Setup controls新增一個關於CLSID的新鍵值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然後在新鍵值下新增一個REG_DWORD 檔案類型的鍵Compatibility,並設定鍵值為0x00000400即可。還有windows(winnt)\command\debug.exe和windows(winnt)\ftp.exe都給改個名字 (或者移除)。



如果你覺得手動式打修正檔很麻煩的話還可以使用一個不錯的軟體:網路安全助手,最新版本5.7。



該軟體是目前唯一能夠針對各種網頁木馬指出防範措施的軟體,使用起來也很方便,只要簡單設定一下,然後點擊「確定」就可以了。同時軟體還有其他一些安全性設定,大大加強了Windows的安全性。

大家可以在google或百度上搜尋一下,下載一個試試。


經過這樣的設定後,我專門找別人發的木馬網址去測試,實驗結果是上了大概20個木馬網站,有大概15個瑞星會報警,另外5個瑞星沒有反映,而我的機器沒有增加出來新的EXE文件,也沒有新的工作出現,只不過有些木馬的殘骸留在了IE的臨時資料夾裡,沒有被執行起來,沒有任何危險性。當然,ie漏洞層出不窮,作為線人平時仍要小心,注意微軟的漏洞報告,及早打上修正檔。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 08:56 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1