当前位置:首页 > 软件开发 > net
firefox

终结动网最新挂马方法

7月1日建党节 partys day ,1941年党中央决定召开“一大”的确1921年7月的首日即7月1日作为党的生日和纪念日。多美好的日子!为什么在这一天还搞黑客活动呢!对的起我们的党吗?呵呵!
一,发现!
言归正传
在华夏黑客论坛 版主交流区发现 jijy 报告论坛被挂马,(在此感谢jijy为论坛做出的贡献)
http://bbs.77169.com/dispbbs_165_59990_1.html
这是最新的网页木马。心中一惊.没打补丁将会弹出帮助!当然的手提电脑是打了补丁的,
当我打开此篇贴子之后,杀毒软件报警。


一,发现!
言归正传
在华夏黑客论坛 版主交流区发现 jijy 报告论坛被挂马,(在此感谢jijy为论坛做出的贡献)
http://bbs.77169.com/dispbbs_165_59990_1.html
这是最新的网页木马。心中一惊.没打补丁将会弹出帮助!当然的手提电脑是打了补丁的,
当我打开此篇贴子之后,杀毒软件报警。
细看此篇贴子,有一点不对地方,skyie用户上面都是 这么会显示这样呢?
立刻 查看贴子源程序! 步骤:ie->查看->源文件
当时感觉就是用 iframe 来挂马的
查找 iframe 看见这些代码!
图一

var actioninfo3=单帖屏蔽;document.write (dvbbs_show_topic(406806,165,残暴二丫,,,dhoihjon@no.com,var actioninfo3=\单帖屏蔽\,,images/userface/image1.gif,【华夏黑客同盟】:一个月学会基本的黑客技术, ,,,,2005-6-29 4:29:22,face1.gif,202.105.138.114,59990,1,0,192360,2,新手上路,, ,13,2005-6-27,85,36,16,,1,0,0,lvl01.gif,4,2005-6-29 4:22:51,0,1,tablebody2,0,0,));



细心的人已经发现了木马!

大家注意看,残暴二丫 这个用户的问题,但是在回贴的子的时候看不到他的贴子,可是木马又发出去了怎么回事呢?
1,木马是怎么发上去的呢?
2,残暴二丫 回贴子的时候为什么看不见呢?
带着问题,我们接着分析一下!
二,分析!
1,木马是怎么发上去的呢?
首先想到在后台查一下 残暴二丫的用户资料。
看到如图2
主页这里代码

这回明白了,原来他是将代码写在主页这里呀!
难道说动网没有过滤?
于是
打开注册页面我注册一个用户试试!


如图3
主页里,我写上

竟然注册成功!跟个贴子,结果可能想而知了!就这么简单的让别人运行了我们的木马页面!


看来是reg.asp页面没过滤。
打开reg.asp(动网注册页面)查看源程序!
userim=checkreal(request.form("homepage")) &""& checkreal(request.form("oicq")) &""& checkreal(request.form("icq")) &""& checkreal(request.form("msn")) &""& checkreal(request.form("yahoo")) &""& checkreal(request.form("aim")) &""& checkreal(request.form("uc"))
分析动网数据库才明白 userim 是text类型用来存储 主页,oicq,icq,msn,yahoo,aim,uc
存储格式
主页oicqicqmsnyahooaimuc
homepage 就是注册时的主页选项,(request.form("homepage")) 从from表单得到数据
checkreal 是不是过滤呢,找到看了一下,不是过滤函数.
看来没有对 homepage 处理好!我们怎么解决一会说!
2,残暴二丫 回贴子的时候为什么看不见 呢?
分析代码,

var actioninfo3=单帖屏蔽;document.write (dvbbs_show_topic(406806,165,残暴二丫,,,dhoihjon@no.com,var actioninfo3=\单帖屏蔽\,,images/userface/image1.gif,【华夏黑客同盟】:一个月学会基本的黑客技术, ,,,,2005-6-29 4:29:22,face1.gif,202.105.138.114,59990,1,0,192360,2,新手上路,, ,13,2005-6-27,85,36,16,,1,0,0,lvl01.gif,4,2005-6-29 4:22:51,0,1,tablebody2,0,0,));

熟悉script脚本的朋友都知道应当是结束代码
大家注意到没有,有两个,那个是结束标记呢?当然是最近的那个
所以,script脚本到 这里就结束了,下面的没有执行所以不显示。
三,终结动网最新挂马方法!
从分析步骤中可能看出是对 homepage 没有处理好!
下面我们写一个程序来处理一下 homepage 的输入!
大家再一下这个代码?
userim=checkreal(request.form("homepage")) &""& checkreal(request.form("oicq")) &""& checkreal(request.form("icq")) &""& checkreal(request.form("msn")) &""& checkreal(request.form("yahoo")) &""& checkreal(request.form("aim")) &""& checkreal(request.form("uc"))
都没处理。
一个一个变量去过滤太麻烦
我们直接对 userim 进入过滤就可以了!
在reg.asp 最下面加一个过滤函数
","过滤")
fstring=replace(fstring,"\","过滤")
fstring=replace(fstring,"--","过滤")
fstring=replace(fstring,"","过滤")
fstring=replace(fstring," ","过滤")
fstring=replace(fstring,"%","过滤")
fstring=replace(fstring,chr(34),""")
fstring=replace(fstring,vbcrlf,"
")
htmlencode2=fstring
end function
%>
接着reg.asp中用到 userim的有两处.
查找到 "userim=" 在这条语句之后加入一条语句
userim=htmlencode2(userim)
到此reg.asp文件过滤完了!
想想可能还有别的文件也用到了userim吧!
可能修改主页选项的应当有三处
1,注册的时候,
2,注册之后可以修改个人信息,
3,管理员在后台修改个人信息
补的方式也都一样,
modifyadd.asp 是修改个人信息时用的文件。相同的步骤
1,加上过滤函数
2,查找到 "userim=" 在这条语句之后加入一条语句
userim=htmlencode2(userim)
后台管理员修改个人信息那个就别管他了。
再想想,还有没有漏补的地方?
对了,在给文件打补丁之前有人已经发木马了!我只删除了一个用户,可能还有别的用户也有问题,而且不知道是那个用户,现在要不然等他再发贴子,看见了有木马再删除,这样太被动了。19万注册用户又不可能一个一个去查一下。
怎么办呢?
搜索一下有问题的用户删除!是个好办法。
sql版的text类型 直接用查询分析器查不出来,
下面我改写了一个程序,主要功能用来搜索text类型的数据并替换它!
如图4


例如
解决之前已经有问题的注册用户(就是已经将主页那改成 的用户)
数据表名
dv_user
字段名
userim
其它条件
userid>180000
将字符:

 ↓相关文章:
© 2006-2008 All Rights Reserved