作者:星轨(oRbIt)
E_Mail:inte2000@163.com
<!-- Search Google -->
输入您的搜索字词 提交搜索表单
|
<!-- Search Google -->
我们每天都使用网络浏览五彩缤纷、动感十足的网页,查询需要的信息,你是否想过这些都是嵌入的脚本代码的功劳呢?如果没有这些脚本代码,网页就只是静态的图片和文字的组合,看起来索然无味,网络的魅力顿失。但是,和任何其他事情一样,嵌入网页的脚本代码也有两面性:一方面,网络工程师可以通过脚本编程为网页带来很多匪夷所思的效果,制作出既漂亮又功能强大的网页;另一方面,别有用心的人也能利用这些代码给你的系统带来危害。一些网站故意将这些恶意代码嵌入网页,搜集访问者的信息,将其网址设为IE的默认打开页面,甚至锁定访问者的注册表,在访问者的计算机上植入木马程序等等。这些恶意脚本代码往往隐蔽执行,在访问者毫无觉察的情况下完成操作,所以具有很大的危害性。
具有破坏性的恶意脚本代码通常也被称为脚本病毒,脚本病毒不是可执行程序,它只是一段程序的代码序列,通常是VB Script,因为VB Script功能强大并且有Windows操作系统的脚本调试器支持,使用它编制的恶意脚本代码往往破坏力巨大。脚本病毒通常可以分为两类,一类是单纯的脚本代码,它的所有功能都在脚本代码中实现,通过在宿主计算机上直接执行脚本代码达到破坏目的。这一类病毒通常是嵌入到网页内欺骗宿主计算机执行或使用Html格式的邮件发送给宿主计算机,欺骗宿主计算机的使用者打开邮件,从而执行病毒代码。另一类脚本病毒是脚本代码和可执行文件相结合的复合型脚本病毒,执行破坏作用的主体是可执行文件,脚本代码只是起到传播和植入作用。这一类型的脚本病毒主要是通过发送电子邮件到宿主计算机,欺骗宿主计算机的使用者打开邮件,通过嵌入Html格式邮件内的脚本代码执行附件中隐藏的病毒体。但是也可以嵌入网页中,利用HTTP协议和IE的漏洞在网页浏览者的计算机上执行,本文就是介绍这样一种方法。
要想在宿主计算机上执行一个程序,首先要将程序文件植入到宿主计算机。正常情况下脚本代码是没有访问宿主计算机的权限的,但是利用HTTP协议和IE的漏洞却可以做到这一点。HTTP协议支持在网页中埋入媒体文件,并且可以扩充媒体文件的类型,但只是根据文件的扩展名称判断媒体文件类型,并没有对媒体文件的合法性(是否真的是这种类型的媒体文件)进行验证,这就给了我们可乘之机--将我们的可执行程序伪装成合法的媒体文件欺骗HTTP协议,使HTTP协议将其当成媒体文件传输。但是怎么利用这一点呢?具体讲就是如何找到这个已经下载到宿主计算机上的文件呢?这就要用到IE浏览器的一个漏洞了,IE在浏览一个网页时会将网页中嵌入的媒体文件都下载到一个临时目录中,这个临时目录的位置是固定的,在保存文件时会使用网页中指定的文件的原始名称,如果该目录中已经存在同名的文件,就在文件名后面添加“[1]”、“[2]”等以示区别。根据这些“规律”我们就可以编写嵌入网页中的脚本代码在浏览器的缓存目录中找到我们的程序。
原理虽然简单,但是还有很多问题需要考虑,首先是如何欺骗放病毒软件。将可执行程序文件的扩展名改成bmp、jpg、gif等媒体文件类型的扩展名并不难,却很难逃过防病毒软件的侦察,很多防病毒软件是通过查看文件的头结构来判断文件类型的,所以简单的改名字是很容易被识破的。不过正所谓“道高一尺,魔高一仗”,我们可以伪造一个头结构来骗过这类防病毒软件。通常我们采用bmp位图文件来伪装可知行程序,伪造一个合法的位图文件头结构,将可执行文件作为位图数据嵌入位图文件。之所以选择伪装成bmp位图文件格式是因为bmp位图文件头结构简单,容易伪造,很多软件都是利用bmp文件伪装自己或隐藏信息。位图文件有一个长度为14个字节的文件头结构和一个长度为40字节的位图信息头结构,使用C++语言可作如下描述:
typedef struct tagBmpFileHeader //位图文件头结构
{
charbfSign[2]; //文件特征,一般是标志“BM”
unsigned longbfSize;
unsigned shortbfReserved1;
unsigned shortbfReserved2;
unsigned longbfOffBits;
}BmpFileHeader;
typedef struct tagBmpInfoHeader //位图信息头结构 (Windows 风格)
{
unsigned longbiSize; //信息结构的大小,40,这个字段必须正确填写
longbiWidth;//位图的宽度
longbiHeight;//位图的高度
unsigned shortbiPlanes;
unsigned shortbiBitCount; //颜色深度
unsigned longbiCompression;
unsigned longbiSizeImage;//位图数据的大小
longbiXPelsPerMeter;
longbiYPelsPerMeter;
unsigned longbiClrUsed;
unsigned longbiClrImportant;
}BmpInfoHeader;
文件头结构的bfSign必须是“BM”,bfSize是整个位图文件的大小,bfOffBits对于24位位图就是文件头结构加位图信息头结构的大小,对于使用调色版的位图文件还要跨过调色版区域,一般可以随便填写,防病毒软件通常不检查这个字段,bfReserved1和bfReserved2必须是0。位图信息头结构的biSize必须是40,biBitCount通常选择24,因为24位位图计算大小比较简单。biSizeImage 由biWidth和biHeight以及biBitCount字段共同决定,可以根据可执行文件的大小适当的填写,但是要保证biWidth*biHeight*biBitCount / 8稍大于可执行文件的大小,在计算biSizeImage还要注意位图文件的数据每行按4字节对齐,适当的选择biWidth和biHeight,使计算出来的biSizeImage稍大于可执行文件的大小,多出来的部分可以用随机数字填充。
骗过浏览器和防病毒软件之后要做的事情就是找到我们的假bmp位图文件,将可执行文件从位图文件中还原并执行。IE在浏览网页时会将网页中嵌入的媒体文件下载到一个缓存目录中,这个缓存目录可以从注册表中得到,其位置是:
HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders/Cache
使用脚本对象WScript.Shell的RegRead方法可以很方便地得到这个目录,这样就可以找到我们的假位图文件,当然为了防止缓存目录中存在重名文件的问题,可以为我们的假位图文件适当地取一个长一点的比较怪异的名字。找到浏览器自动下载的假位图文件之后就可以从假位图文件中还原出我们的可执行程序,不过在IE的缓存目录中直接操作文件会引起Windows系统的警告,所以还要将伪装的位图文件复制到系统的临时目录中执行还原操作。直接操作二进制文件并不是VB Script的特长,并且通过Scripting.FileSystemObject对象操作二进制文件会引起防病毒软件的警觉,但是使用Scripting.FileSystemObject操作文本文件一般不会引起防病毒软件的注意,所以我们可以结合Win-DOS的批处理文件和DEBUG命令巧妙地解决这个问题。Win-DOS批处理文件是一个由DOS命令组成的文本文件,类似于Unix/Linux的Shell程序,其文件扩展名为.bat,我们生成的这个批处理文件要完成以下几个任务:将假位图文件从IE缓存目录拷贝到Windows的临时目录中,从假位图文件中还原出可执行文件,删除临时文件,将还原出的可执行程序拷贝到Windows的系统目录中,删除临时目录中的假位图文件以及最后运行还原出的可执行程序。只有还原出可执行文件的操作麻烦一点,其他的操作都可以用copy和del命令完成,所以我在下一段重点讲解如何不使用Scripting.FileSystemObject对象从假位图文件中还原可执行文件的操作。
还原可执行文件需要另外一个DOS命令:Debug,Debug是一个功能强大的调试工具,它有很多子命令,可以将二进制文件映射到内存中,也可以将内存中的数据写入文件,我们就利用这个特性完成可执行程序文件的还原工作。Debug命令的w子命令可以将二进制文件在内存中的映射的部分或全部写回到文件中,使用w子命令时BX寄存器存放要写入数据大小的高16位,CX寄存器存放写入数据大小的低16位,这个写入数据的大小就是我们嵌入假位图文件中的可执行文件的大小。使用w子命令要指定写入数据开始位置的偏移量,也就是要跳过假位图文件的头结构和位图信息头结构。现在举一个例子,假设嵌入假位图文件的可执行文件大小是143562字节,换算成16进制就是230C9H,位图头结构加位图信息头结构共54个字节,换算成16进制就是36H,这时Debug命令序列可以这样写:
debug ../假位图文件的位置/fakefile.bmp //装入假位图文件
-rbx
-2//显示BX寄存器的值并修改成2
-rcx
-30C9//显示CX寄存器的值并修改成30C9
-w136//从36H处开始写回文件
-q//退出Debug命令
此时假位图文件fakefile.bmp的大小是143562字节,其内容就是可执行文件,将其更名为fakefile.exe并拷贝到系统目录就可以执行了。
以上就是对这种方法的完整描述,可以看出来,这是一种非常危险的方法,网页制作者可以不经允许在访问者的计算机上执行非法程序,甚至可以使用Del,Deltree,Format等DOS命令破坏用户的文件系统。虽然这种方法设计的很巧妙,能够骗过防病毒软件,貌似很厉害,其实也很容易防范。该方法的重点在脚本代码方面,只要卸载Windows的脚本调试器就可以阻断脚本代码的执行,如果是Windows 95/98.Me的用户,可以将Windows 的Command目录下的Deltree.com、Format.com、Debug.com、Fdisk.exe这几个命令程序改个文件名就可以防范脚本代码通过Win-DOS的批处理文件执行这些命令。
分享到:
相关推荐
IE浏览器自动下载并运行.exe程序 demo。具体介绍请查看博客:https://blog.csdn.net/qq_24484085/article/details/84785658
个人资源暂时保存. 设计目的为通用(IE/Command) 客户端程序更新(启动)服务.只完成了自定义协议部分. thanks.
此文件中的程序可单独运行,完好的模拟IE6程序,可以进行WEB开发兼容性测试等。运行时,有的杀软会报毒,直接添加信任就可以。 我在WIN7_64及32位IE9的机子上都进行过测试,完全可用。其它系统应该也可以。 IETester...
LABVIEW程序,运行可以用来关闭计算机。
IE脚本错误请运行安装此程序 IE脚本错误请运行安装此程序 IE脚本错误请运行安装此程序 IE脚本错误请运行安装此程序 IE脚本错误请运行安装此程序 IE脚本错误请运行安装此程序
利用MS11_003 IE漏洞攻击win7主机
利用IE上网时,只要在地址栏中输入几个字母,与这几个字母模糊匹配的地址就会自动显示出来供用户选择(如下图),用户通过按键盘上的上、下箭头在已有选项中遍历,找到自己需要的选项后,按回车键进行选择,也可以...
该工具打开后进行修复即可,无需从新启动,本人找了一个下午才发现的解决办法,经试用后已成功解决问题。
非常麻烦,有些浏览器你有禁止/允许active控件按钮,但其实不能生效,所以本想在浏览器你集成个下拉按钮,但本人不会编,又因为有非浏览器程序也会调用ie(比如MSN),所以我想在系统托盘里运行本程序也是个好的办法。...
逃逸IE浏览器沙箱_在野0Day漏洞利用复现
最新IE7漏洞0day的分析.php 最新IE7漏洞0day的分析.php
大规模攻击一触即发 360紧急发布IE漏洞独家补丁 据了解,微软的官方补丁可能还要等两周左右,目前微软提供的临时方案是开启IE浏览器DEP保护、禁止JS脚本和ACTIVEX选项。这一方案尚不能彻底堵住漏洞,对用户正常浏览...
我们需要建立一个实现IObjectWithSite接口的COM组件,不同的是,我们还需要实现IDispatch接口,在IObjectWithSite接口的SetSite方法中获得IE的WebBrowser接口并建立自身与WebBrowser的连接,然后如果在IE的...
设置IE代理P和端口的方便小程序,方便直接设置IE的代理IP地址和端口号,避免通过IE的菜单省去繁琐步骤。
解决某些.exe的电子书在IE7下打不开。将.exe的电子书直接拖到电子书For IE7 自动转换程序.exe上即可。
IE8升级程序
中毒后,桌面会多出一个IE,假IE,想删除也删除不掉,顽固IE桌面修复程序可以完美解决桌面出现双IE删不掉的问题,针对目前流行的双IE删不掉,一般运行后都可以去除部分运行后,桌面会出现一个未知图标,但是你已经...
为了保证客户端安全,xmlhttp是无法跨域获取信息的。但是IE出现安全问题,在服务端通过mhtml重定向漏洞,可以利用xmlhttp跨域获取敏感信息。本文介绍了通过xmlhttp请求本域的页面。
现在大部分的人都在使用IE6,而IE7也也在慢慢的成为一种趋势,所以现在的项目首先在兼容IE6,然后再在兼容IE7,可IE又是WINDOWS的核心程序,所以MS就不让IE的多个版本共存,这下项目调试就麻烦了,不可能一个人用两...
联想工程师专用小工具 IE运行时报错修复工具V1.61.1联想工程师专用小工具 IE运行时报错修复工具V1.61.1联想工程师专用小工具 IE运行时报错修复工具V1.61.1联想工程师专用小工具 IE运行时报错修复工具V1.61.1联想...